Cybersicherheit und Unternehmen

Gestern schrieb ich zur Rolle der Nutzer in Datenschutzmaßnahmen. Heute stelle ich die Unternehmen in den Mittelpunkt des Beitrags. Das „Risk & Compliance Bureau“ vom Wall Street Journal führt auf seiner Seite alle relevanten Studien zur IT-Sicherheit auf. Jedes Mal lese ich sie mit gewisser Faszination. Es überrascht mich, was untersucht wird und welche Ergebnisse geliefert werden. Man kann im Generellen folgende Trends im Umgang mit Cyberrisiken beobachten:

1. Übertreibung
Viele Firmenchefs schätzen ihre IT-Sicherheit besser ein, als sie in der Wirklichkeit ist. RedSeal, eine Analysefirma für Cybersicherheit, befragte 350 Führungskräfte aus der Vorstandsebene, ob ihre Betriebe gegen IT-Risiken gut aufgestellt sind (Infografik hier). 60% der Befragten waren sehr sicher („beyond a reasonable doubt“). Im Gegensatz dazu belegen weitere Studien, dass über 97% der Firmennetzwerke eingebrochen wurden. “It’s remarkable how many executives say their networks are secure – until we drill down into the issue, and it becomes obvious not only that there are vulnerabilities, but also that many organizations have no idea where those weak spots are,” sagt Ray Rothrock, der Präsident von RedSeal.

2. (Mangelnde) Prüfung der neuen Lieferanten
Die Firma Achilles untersuchte die Risiken in den Supply Chains von Oil- und Gasunternehmen (Bericht hier) und befragte 65 Geschäftsführer aus Großbritannien, den Vereinigten Staaten, Spanien, Brasilien und Skandinavien. 13% der Teilnehmer gaben zu, dass sie bei der Auswahl ihrer Lieferanten weder interne Risiko-Einschätzung noch ein Risikomodell nutzen. (Vermutlich ist bei Neuverträgen nur der Produktpreis entscheidend.) 22% verlassen sich auf eigene Einschätzung, 27% verfügen über ein Risikomodell und 36% nutzen die Kombination von beiden.

3. Unsichtbarer Gewinn von Schutzmaßnahmen
Rand Corporation betonte in ihrer Studie „The Defender’s Dilemma: Charting a Course Toward Cybersecurity“, dass der Gewinn von IT-Schutzmaßnahmen sich sehr schwer quantifizieren lässt. Die Ausgaben für die Datensicherheit sind dagegen klar. Vielleicht ist es daher schwierig, die Kosten für Malware-Systeme usw. freizubekommen, da man davon keine quantifizierbaren Ersparnisse sehen kann.

4. Zu spät entdeckt
Die Datensicherheitsfirma “Solutionary” berichtet, dass 76% der im Jahr 2014 identifizierten Sicherheitslücken in Firmennetzwerken älter als zwei Jahre waren. 9% der Lücken waren älter als 10 Jahre.

5. Von Externen entdeckt
Trustwave analysierte 574 Fälle von Cyberangriffen und stellte fest, dass 81% davon nicht von betroffenen Firmen selbst, sondern von Externen entdeckt wurden. Zu guter Letzt: Incapsula fand heraus, dass 47% der Ziele von DDoS-Attacken innerhalb von nächsten 60 Tagen wieder angegriffen werden.

Jeff Sheldon
Nicht einfach stehen bleiben, sondern sich vor Cyberkrimenellen schützen, Quelle
Advertisements

Ich freue mich auf jedes Feedback!

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s