- Deutsche Unternehmen reizen laut OTRS Umfrage bestehende Möglichkeiten für mehr IT-Sicherheit längst nicht aus
- Schwachstellenmanagement wurde trotz gestiegener Gefahrenlage weniger Aufmerksamkeit geschenkt als im Vorjahr
- Vertrauen in staatliche Anbieter für Informationen zu Schwachstellen massiv gestiegen
Oberursel, 15. Dezember 2022 – Deutsche Unternehmen stehen im kommenden Jahr vor der Mammutaufgabe, sich für die seit Beginn des Ukraine-Kriegs nochmals gestiegene Bedrohungslage im Cyberraum zu rüsten. Technische Unterstützung kommt dabei im internationalen Vergleich in Deutschland bisher besonders selten zum Einsatz. Nicht ganz ein Drittel (32 Prozent) hierzulande verwendet beispielsweise derzeit eine Security, Orchestration, Automation and Response Software (SOAR) als Teil ihres Incident Managements. In den USA und Singapur sind es doppelt so viele (65 Prozent). Die Nutzung von Tools für Schwachstellenmanagement ist in Deutschland gegenüber dem Vorjahr sogar um ein Fünftel gesunken. Zudem mangelt es an Bewusstsein dafür, an welchen Stellen ernstzunehmende Gefahren für die IT-Sicherheit lauern. Jedes zweite deutsche Security-Team (51 Prozent) hatte schon einmal Schwierigkeiten, einen Patch anzubringen, weil es eine ältere Software-Version verwendet hat. Knapp die Hälfte (47 Prozent) nennt als Grund dafür, sich der ernsten Konsequenzen nicht bewusst gewesen zu sein. Zu diesen Ergebnissen kommt der zweite Teil der aktuellen Studie „OTRS Spotlight: Corporate Security“, für die das Softwareunternehmen OTRS AG in Zusammenarbeit mit dem Marktforschungsunternehmen Pollfish weltweit 500 Mitarbeitende in IT-Sicherheitsteams befragt hat, darunter 100 in Deutschland.
SIEM, SOAR, Schwachstellenmanagement: Nutzen klar, Nutzung ausbaufähig
Trotz der niedrigen Einsatzrate scheint der Nutzen von Tools wie SOAR den meisten befragten IT Security-Mitarbeitenden klar zu sein. Über die Hälfte (53 Prozent) plant derzeit, eine solche Software einzuführen. Die Investition ist vielversprechend: Zwei Drittel der Befragten weltweit, die bereits ein SOAR nutzen, sehen darin den Vorteil, dass die Arbeit mit der IT insgesamt besser läuft. Mehr als die Hälfte (56 Prozent) bestätigt, dass es sie vor zukünftigen Sicherheitsvorfällen schützt. In jedem zehnten deutschen Unternehmen gibt es jedoch keinerlei Pläne ein SOAR einzuführen. Weitere fünf Prozent wissen schlicht nicht, ob sie bereits eines einsetzen oder die Einführung geplant ist.
Tools für Security Information and Event Management (SIEM) (72 Prozent) und Schwachstellenmanagement (70 Prozent) sind in Deutschland zwar bereits wesentlich häufiger im Gebrauch als SOAR Software, jedoch ebenfalls seltener als im Durchschnitt aller untersuchten Länder (77 und 81 Prozent). Tools für Schwachstellenmanagement hilft denen, die bereits eines nutzen, vor allem dabei, Schwachstellen schneller zu finden (74 Prozent), sie zu schließen und sicherer zu agieren (69 Prozent) und sie zu strukturieren und zu dokumentieren (63 Prozent).
Fehlende Investitionsbereitschaft hemmt effektive IT Security
Nicht nur fehlende Investitionen in zusätzliche Tools erschweren es IT Security Teams, ihr Unternehmen effektiv zu schützen. Auch bei Lösungen, die bereits im Einsatz sind, erhöhen Kosteneinsparungen das Sicherheitsrisiko. Geld sparen zu wollen, geben 39 Prozent als Grund dafür an, schon einmal eine veraltete Softwareversion verwendet und deshalb einen Patch nicht anbringen gekonnt zu haben. Neben dem Bewusstsein für die ernsten Folgen, die es haben kann, veraltete Software zu nutzen, fehlte es in 43 Prozent der Fälle auch an Wissen darüber, dass eine neue Version verfügbar war.
„Täglich werden neue Angriffe auf die IT von Unternehmen aus allen Branchen und jeder Größe bekannt. Trotzdem vernachlässigen immer noch viele das Thema und geben ihren IT und Security Teams nicht die nötigen Mittel an die Hand, um sich so gut wie möglich gegen Cyberattacken zu schützen und auf den Ernstfall vorzubereiten – entweder weil sie die Gefahr unterschätzen oder vor den notwendigen Investitionen zurückschrecken“, gibt Christopher Kuhn, COO der OTRS AG, zu bedenken. „Diese Unternehmen spielen mit dem Feuer. Bei der IT-Sicherheit an technischem Support zu sparen, gleicht einer Feuerwehr ohne Löschwagen. Tools werden nicht jeden einzelnen Angriffsversuch abwehren können, aber den Schaden minimieren.“
Vertrauensfrage? Kommerzielle Anbieter verlieren gegenüber dem Staat
Einige Verschiebungen gab es gegenüber dem Jahr zuvor bei der Verwendung verschiedener Informationsquellen zu Schwachstellen. Noch etwas mehr als die Hälfte der deutschen Security Teams bezieht Informationen zu Schwachstellen von kommerziellen Anbietern (53 Prozent). Damit sind diese zwar nach wie vor die beliebteste Anlaufstelle, im letzten Jahr kamen sie allerdings noch auf 70 Prozent. Vendoren haben ebenso an Beliebtheit eingebüßt (-35 Prozent). Währenddessen haben staatliche Anbieter von Informationen zu Schwachstellen einen enormen Zulauf erlebt. Waren es 2021 noch sieben Prozent, die dem Staat in dieser Angelegenheit trauten, sind es in diesem Jahr über ein Drittel (34 Prozent). Das entspricht einem Anstieg um 386 Prozent. Dieser Trend ist über alle untersuchten Länder hinweg zu erkennen. Auch Mailinglisten sind hierzulande beliebter geworden (+122 Prozent). In Mexiko haben diese sich mit 56 Prozent sogar an die Spitze der dort am meisten verwendeten Informationsquellen geschoben.
Incident Management-Plan als Grundlage vorhanden
Das Fundament für eine solide IT Security-Infrastruktur ist in der überwiegenden Mehrheit aller befragten Unternehmen bereits vorhanden: In Deutschland haben 94 Prozent einen Incident Management-Plan. Rund zwei Dritteln (67 Prozent) hat dieser besonders dabei geholfen, ihre IT-Sicherheit zu optimieren und ernsthaftere Konsequenzen zu vermeiden; der Hälfte hat er geholfen, Vorfälle zu dokumentieren und zu strukturieren. 40 Prozent wissen dank des Incident Management-Plans gleich, was sie tun müssen und 34 Prozent hat er dabei unterstützt herauszufinden, weshalb Vorfälle passierten.
Geht es darum, ihre Sicherheitsprozesse im Rahmen des Security Incident Managements abzubilden, kombinieren deutsche Unternehmen oft mehrere Frameworks. Am häufigsten finden mit 47 Prozent die Standards nach ISO/IEC 27035 Verwendung, danach folgen CERT (35 Prozent), NIST (27 Prozent) und KRITIS (24 Prozent). Nur 8 Prozent nutzen kein einziges Framework, um ihre Sicherheitsprozesse abzubilden.
„Die Grundlage für eine starke IT Security ist in den allermeisten Unternehmen mittlerweile vorhanden. Darauf gilt es nun aufzubauen, denn Incident Management-Pläne allein reichen nicht aus, um sicher agieren und damit langfristig das eigene Geschäft absichern zu können“, meint Christopher Kuhn. „Der Fokus sollte zum einen darauf liegen, das Bewusstsein für Gefahrenquellen und notwendige Präventivmaßnahmen im gesamten Unternehmen zu schärfen. Zum anderen sollten Führungskräfte nicht weiter zögern, in Tools zu investieren, die ihr Team dabei unterstützen, die Sicherheit weiter zu erhöhen und im Notfall schnell und effektiv reagieren zu können.“
###
Über die Umfrage
Die verwendeten Daten beruhen auf einer Online-Umfrage der Pollfish Inc., an der 500 Mitarbeitende in IT Security-Teams in Deutschland, den USA, Brasilien, Mexiko und Singapur zwischen dem 06.10.2022 und 22.10.2022 teilnahmen, darunter 100 in Deutschland. Die gleiche Umfrage wurde 2021 mit Ausnahme der Fragen zu den Entwicklungen seit Beginn des Krieges in der Ukraine so schon einmal durchgeführt. Für den Vergleich zum Vorjahr wurden die Ergebnisse dieser Umfrage herangezogen.
Die Ergebnisse des ersten Teils der Studie stehen hier zur Verfügung.
Bildmaterial / Infografiken
Über die OTRS AG
Die OTRS AG ist der Hersteller und weltweit größte Dienstleister für die Enterprise Service Management Suite OTRS, ausgezeichnet mit dem Gütesiegel SERVIEW CERTIFIED TOOL. Sie bietet Unternehmen ein branchenunabhängiges Solution Management für die strukturierte Kommunikation in Customer Service, IT Service Management und Security Management. Neben dem Kernprodukt OTRS sorgen die Sicherheitslösungen STORM und CONTROL für ein effizientes Incident Management und eine transparente Dokumentation gemäß Standards wie ISO 27001.
Zu den Kunden der OTRS AG zählen unter anderem Lufthansa, Airbus, Porsche, BSI (Bundesamt für Sicherheit in der Informationstechnik), Max-Planck-Institut, Toyota und TUI Cruises. Das Unternehmen besteht aus der OTRS AG und ihren fünf Töchtern OTRS Inc. (USA), OTRS S.A. de C.V. (Mexiko), OTRS ASIA Pte. Ltd. (Singapur), OTRS Do Brasil Soluções Ltda. (Brasilien) und OTRS Magyarország Kft. (Ungarn). Die OTRS AG ist im Basic Board der Frankfurter Wertpapierbörse gelistet.
Weitere Informationen unter: www.otrs.com.