Im vergangenen Jahr hat die Privatwirtschaft weltweit mehr als 75 Milliarden Dollar für Security-Software ausgegeben. Sind Systeme und Daten dadurch sicherer geworden?
Nein, sagen viele Analysten – und zwar nicht, weil die neueste Software nichts taugen würde, sondern weil auch die „Bad Guys“ in den vergangenen Jahren eine Menge dazugelernt haben. Datendiebstähle haben sich in den letzten zwei Jahren vervielfacht. Als eines der übelsten neuen Probleme erweist sich die sogenannte Ransomware, bei der Angreifer Geld dafür verlangen, dass sie wichtige Daten freigeben, die sie zuvor verschlüsselt oder entwendet haben.
In den kommenden Jahren sollen die Ausgaben für Security-Software (die Milliarden, die Banken für Betrugsprävention ausgeben, sind dabei übrigens noch gar nicht mitgerechnet) um durchschnittlich sieben Prozent steigen, sagen Gartner und andere Analystenfirmen. Viele Unternehmen setzen aber noch nicht auf neue technische Ansätze wie Security Analytics. Überdies führt die wachsende Verbreitung von Cloud Computing dazu, dass sich wertvolle Firmendaten öfter außerhalb des sichereren Rechenzentrums befinden. Und Hacker können personenbezogene Daten von Mitarbeitern oder Firmengeheimnisse viel einfacher als früher zu Geld machen.
„Eine permanente Aufholjagd“
„Ich denke nicht, dass Unternehmen bei der Cyber-Sicherheit schlechter geworden sind, aber sie müssen sich mit Komplexitäten herumschlagen, die es vor zehn Jahren schlicht noch nicht gab“, kommentiert Analyst Robert Westerveld von der IDC im Gespräch mit der US-Fachzeitschrift „Computerworld“. „Das ist eine unendliche Geschichte, eine permanente Aufholjagd.“
Patrick Moorhead von Moor Insights & Strategy geht kritischer ins Gericht mit den Anwendern. „Der private Sektor tut im Bereich Security nicht so viel wie er sollte und könnte“, so der Experte. Es gebe mittlerweile Tools, um Identitäten und Dateien zu schützen, nur verwende die leider niemand; stattdessen redeten sich die Firmen heraus.
Das größte Risiko stelle weiterhin – auch bei der Ransomware – menschliches Fehlverhalten dar, konstatiert Jack Gold von J. Gold Associates (die Ein-Mann-Analystenfirmen haben immer so lustige Namen, Anm. d. A.): „Firmen geben Unsummen für den Schutz gegen externe Bedrohungen aus, aber eine einfache E-Mail mit einem Hack kann das alles umgehen.“ Erschwerend kommt laut Gold hinzu, dass Unternehmen mit dem Bereitstellen von Sicherheits-Patches im Schnitt sechs Monate hinterherhinken. „Das ist, als ließe man seine Eingangstür unverschlossen, obwohl man weiß, dass Einbrecher die Nachbarschaft unsicher machen.“
Hohe Dunkelziffer
Das Sicherheits-Dilemma der Privatwirtschaft wird zusätzlich dadurch verkompliziert, dass Unternehmen nicht öffentlich darüber sprechen wollen, dass sie gehackt wurden – aus Angst davor, Kunden oder Investoren zu verlieren. Experten gehen davon aus, dass die Dunkelziffer für Cyber-Attacken sehr viel höher ist als die öffentlich eingestandenen Angriffe. Und falls Kunden mit neueren Sicherheitssystemen erfolgreich seien, was speziell auf Finanzdienstleister und Telcos zutreffe, dann möchten sie damit ungern angeben aus Angst, damit nur neue Angreifer anzulocken.
In einer aktuellen, anonymen Umfrage des Ponemon Institute bei gut 3000 IT-Mitarbeitern und Endnutzern in Firmen aus den USA und Europa gaben 76 Prozent der Befragten an, sie seien in den vergangenen zwei Jahren vom Verlust oder Diebstahl wichtiger Daten betroffen gewesen – ein deutlicher Anstieg gegenüber den 67 Prozent aus der vergleichbaren Erhebung zwei Jahre zuvor. Von den 1371 befragten Endanwendern sagten 62 Prozent, dass sie Zugriff auf Firmendaten hätten, die sie eigentlich nicht sehen dürften.
Die befragten ITler sahen die Benutzerkonten durch Nachlässigkeit von Insidern mehr als doppelt so stark gefährdet als durch andere Faktoren wie Angriffe von extern oder Rache von frustrierten Mitarbeitern oder Freiberuflern. Zusätzlich verschärft sieht Ponemon die Situation dadurch, dass Mitarbeiter und Third Parties oft auf deutlich mehr Daten zugreifen können als nötig. Ferner würden Firmen die Aktivitäten rund um E-Mail- und Dateisysteme, wo die meisten sensiblen Daten liegen, immer noch zu wenig überwachen.
Das Sicherheitsniveau ist im Übrigen branchenabhängig. Einen besonders schlechten Ruf genießen dabei das Gesundheitswesen und dort insbesondere Krankenhäuser. Die IDC schrieb kürzlich in einem Report, dass Kliniken, Universitäten sowie Versorger hinsichtlich ihrer Sicherheits-Fähigkeiten und –praxis am schlechtesten abschneiden.
“Eine Sache von Prioritäten”
Für die Privatwirtschaft sei das Schritthalten in puncto Cyber-Sicherheit ein sich kontinuierlich entwickelnder und verändernder Prozess, heißt es abschließend. „Unternehmen müssen das einfach im Auge behalten“, bilanziert die Gartner-Analystin Avivah Litan. „Firmen wenden für das Problem nicht genug Zeit und Geld auf. Sie denken, das müssten sie nicht. Dabei ist das eine Sache von Prioritäten.“ Die Angriffe würden trotz immer besserer Sicherheits-Software immer schlimmer, so die Expertin weiter. „Wenigstens die grundlegende Technologie muss im Einsatz sein. Wir alle leben in einem wirklich schlechten Viertel und wir alle brauchen Schlösser an den Türen.“
Retarus bietet ein umfassendes Portfolio von Cloud-Services rund um die Sicherheit und Verschlüsselung von E-Mail. Mehr dazu erfahren Sie hier oder direkt bei Ihrem Ansprechpartner vor Ort.
