Der Bericht hebt die Cyber-Security-Herausforderungen hervor: fehlende Lieferanten-Audits, schwache BIOS-Passwörter, Fear of Making Updates, Epidemie verlorener/gestohlener Geräte und wachsender E-Müll
In seiner neuen Studie hebt HP Inc. die Auswirkungen auf die Cyber-Sicherheit hervor, die in jeder Phase des Geräte-Lebenszyklus entstehen, wenn diese nicht ausreichend geschützt sind. Die Ergebnisse zeigen, dass die Plattformsicherheit – also die Sicherung der Hardware und Firmware von PCs, Laptops und Druckern – häufig übersehen wird. Dies schwächt die Cyber-Sicherheit auf Jahre hinaus.
Die weltweiten Ergebnisse, die auf einer Stichprobe von mehr als 800 IT- und Sicherheitsentscheidern (ITSDMs) und über 6.000 Angestellten, die ortsunabhängig arbeiten (WFAs, Work-from-Anywhere) basieren, zeigen, dass Plattformsicherheit ein wachsendes Anliegen ist – auch in Deutschland. Insgesamt 80 Prozent der ITSDMs in Deutschland stimmen zu, dass Hardware- und Firmware-Sicherheit eine Priorität werden muss. Nur so ist gewährleistet, dass Angreifer anfällige Geräte nicht ausnutzen. Allerdings berichten 68 Prozent, dass Investitionen in Hardware- und Firmware-Sicherheit bei den Gesamtbetriebskosten (TCO) für Geräte oft zu kurz kommen. Dies führt zu kostspieligen Sicherheitsproblemen und Management-Overhead. Auch Ineffizienzen sind in der Folgezeit der Fall.
Zu den wichtigsten Erkenntnissen in Deutschland hinsichtlich der fünf Phasen des Gerätelebenszyklus gehören:
- Lieferantenauswahl: Insgesamt 34 Prozent geben an, dass ein PC-, Laptop- oder Druckerlieferant in den letzten fünf Jahren ein Cyber-Sicherheits-Audit nicht bestanden hat. Bei 16 Prozent war das Versagen so schwerwiegend, dass sie ihren Vertrag kündigten. 63 Prozent der ITSDMs sagen aus, dass die fehlende Beteiligung von IT- und Security-Teams bei der Gerätebeschaffung die Organisation gefährdet.
- Onboarding und Konfiguration: 53 Prozent der ITSDMs sagen, dass BIOS-Passwörter gemeinsam genutzt werden, zu weit verbreitet oder nicht stark genug sind. Darüber hinaus geben 63 Prozent zu, dass sie BIOS-Passwörter während der Lebensdauer eines Geräts selten ändern.
- Laufende Verwaltung: Mehr als 59 Prozent der ITSDMs führen keine Firmware-Updates durch, sobald sie für Laptops oder Drucker verfügbar sind. Weitere 57 Prozent der ITSDMs geben an, dass sie in Bezug auf Firmware FOMU (Fear Of Making Updates) bekommen. Dennoch sind 76 Prozent der Meinung, dass Angreifer mit KI schneller Exploits entwickeln können – und dass es wichtig ist, Geräte schnell zu aktualisieren.
- Kontrolle und Fehlerbehebung: Jedes Jahr kosten verlorene und gestohlene Geräte Unternehmen weltweit schätzungsweise 8,6 Milliarden US-Dollar[1]. 19 Prozent der WFA-Mitarbeiter haben schon einmal einen PC verloren oder dieser wurde gestohlen. Im Durchschnitt dauert es 27 Stunden, bis die IT-Abteilung davon erfährt.
- Second Life und Ausmusterung: 49 Prozent der ITSDMs sehen in Datensicherheitsbedenken ein großes Hindernis für die Wiederverwendung, den Wiederverkauf oder das Recycling von PCs oder Laptops. Für 37 Prozent ist dies ein großes Hindernis für Drucker.
„Der Kauf von PCs, Laptops oder Druckern ist eine Sicherheitsentscheidung mit langfristigen Auswirkungen auf die Endgeräte-Infrastruktur eines Unternehmens. Die Priorisierung – oder das Fehlen einer solchen – von Hardware- und Firmware-Sicherheitsanforderungen während der Beschaffung kann Auswirkungen auf die gesamte Lebensdauer einer Geräteflotte haben. Dazu gehört, dass sie höheren Risiken ausgesetzt sind, aber auch steigende Kosten oder eine negative Benutzererfahrung. Dies geschieht, wenn die Anforderungen an Sicherheit und Verwaltbarkeit im Vergleich zum verfügbaren Stand der Technik zu niedrig angesetzt werden“, warnt Boris Balacheff, Chief Technologist for Security Research and Innovation bei HP Inc.
Balacheff weiter: „Es ist enorm wichtig, dass die Infrastrukturen der Anwender-Geräte widerstandsfähig gegen Cyber-Risiken werden. Dies beginnt damit, dass wir der Sicherheit von Hardware und Firmware Priorität einräumen. Darüber hinaus muss sich die Reife der Verwaltung über den gesamten Lebenszyklus der Geräte hinweg innerhalb der Flotte verbessern.“
Von der Fabrik bis zu den Fingerspitzen: Versäumnisse bei der Auswahl von Lieferanten, Onboarding und Konfigurationsbeschränkungen wirken sich auf die Gerätesicherheit während des gesamten Lebenszyklus aus
Die folgenden Ergebnisse aus Deutschland unterstreichen, dass IT und Security Teil des Beschaffungsprozesses für neue Geräte sein müssen. Nur so lassen sich notwendige Anforderungen festlegen sowie die Aussagen der Anbieter im Hinblick auf die Sicherheit ihrer Geräte überprüfen:
- 59 Prozent der ITSDMs geben an, dass Beschaffungsteams nur selten mit IT- und Security-Teams zusammenarbeiten, um zu überprüfen, ob Aussagen der Anbieter hinsichtlich der Hardware- und Firmware-Sicherheit stimmen.
- 51 Prozent der ITSDMs sagen, dass sie darauf vertrauen müssen, dass die Anbieter die Wahrheit sagen. Der Grund: Sie verfügen nicht über die Mittel, die Angaben hinsichtlich der Hardware- und Firmware-Sicherheit in Ausschreibungen zu überprüfen.
- 50 Prozent der ITDMS geben sogar an, dass Beschaffungsteams komplett ahnungslos sind und den Aussagen der Anbieter rückhaltlos glauben.
IT-Experten sind darüber besorgt, dass ihre Fähigkeit, Geräte bis hinunter zur Hardware- und Firmware-Ebene nahtlos einzubinden und zu konfigurieren, eingeschränkt ist.
- 80 Prozent der ITSDMs wünschen sich ein Zero-Touch-Onboarding über die Cloud, das auch die Hardware- und Firmware-Sicherheitskonfiguration umfasst, um so die Sicherheit zu verbessern.
- 58 Prozent der ITSDMs sind frustriert: Sie sind nicht in der Lage, Geräte über die Cloud einzubinden und zu konfigurieren.
„Unternehmen müssen immer Technologieanbieter wählen, denen sie vertrauen können. Aber wenn es um die Sicherheit von Geräten geht, die als Eingangspforten zu ihrer IT-Infrastruktur dienen, sollte dies kein blindes Vertrauen sein“, kommentiert Michael Heywood, Business Information Security Officer, Supply Chain Cybersecurity bei HP Inc. „Unternehmen benötigen harte Fakten: technische Briefings, detaillierte Dokumentation, regelmäßige Audits und einen strengen Validierungsprozess. Nur so ist gewährleistet, dass die Sicherheitsanforderungen erfüllt werden und die Geräte sicher und effizient eingebunden werden.“
Herausforderungen und Frustrationen in Deutschland im Zusammenhang mit der laufenden Verwaltung, Kontrolle und Behebung von Geräte-Problemen
71 Prozent der ITSDMs geben an, dass „Work-from-Anywhere“-Modelle die Verwaltung der Plattformsicherheit erschweren. Dies wirkt sich auf die Produktivität der Mitarbeiter aus und führt zu riskantem Verhalten:
- 25 Prozent der Mitarbeiter nehmen lieber einen schlecht funktionierenden Laptop in Kauf, als die IT-Abteilung zu bitten, ihn zu reparieren oder zu ersetzen. Der Grund: Sie können sich die Ausfallzeit nicht leisten.
- 49 Prozent der Angestellten schicken ihren Laptop zur Reparatur und geben an, dass es über drei Tage dauerte, das Gerät zu reparieren oder zu ersetzen. Viele sind daher gezwungen, ihren privaten Laptop für Arbeitsaufgaben zu verwenden oder sich ein Gerät von der Familie oder von Freunden zu leihen. Dadurch werden die Grenzen zwischen privater und beruflicher Nutzung verwischt.
- 15 Prozent lassen ein Arbeitsgerät von einem nicht autorisierten Drittanbieter reparieren. Dies gefährdet die Sicherheit der Plattform und beeinträchtigt den Blick der IT-Abteilung auf die Integrität des Geräts.
Die Kontrolle über und das Beseitigen von Hardware- und Firmware-Bedrohungen ist enorm wichtig: So lässt sich vermeiden, dass Cyber-Kriminelle auf sensible Daten und kritische Systeme zugreifen. Allerdings sind 79 Prozent der ITSDMs in Deutschland der Meinung, dass ihr Verständnis von Hardware- und Firmware-Sicherheit hinter ihrem Wissen über Software-Sicherheit zurückbleibt. Darüber hinaus fehlt es ihnen an ausgereiften Tools, mit denen sie die Transparenz und Kontrolle erhalten, die sie für die Verwaltung der Hardware- und Firmware-Sicherheit ihrer Flotten benötigen:
- 60 Prozent der ITSDMs geben an, dass sie mehrere „blinde Flecken“ hinsichtlich der Schwachstellen von Hardware und Firmware sowie Fehlkonfigurationen haben.
- 58 Prozent sind nicht in der Lage, die Auswirkungen vergangener Sicherheitsereignisse auf Hardware und Firmware zu analysieren, um gefährdete Geräte zu bewerten.
- 61 Prozent sind der Meinung, dass es nicht möglich ist, Hardware- oder Firmware-Angriffe zu erkennen und abzuschwächen. Sie sehen die Beseitigung der Malware nach einem erfolgreichen Angriff als einzigen Weg an.
„Post-Breach Remediation ist eine aussichtslose Strategie, wenn es um Hardware- und Firmware-Angriffe geht“, warnt Alex Holland, Principal Threat Researcher im HP Security Lab. „Diese Angriffe können Angreifern die volle Kontrolle über Geräte geben und sich tief in Systeme einbetten. Herkömmliche Sicherheitstools erkennen diese Bedrohungen nicht, da sie sich in der Regel auf die Betriebssystem- und Software-Ebenen konzentrieren. Diese Angriffe von vornherein zu verhindern oder einzudämmen, ist entscheidend. Denn nur so riskieren Unternehmen keine Bedrohung, die sie nicht sehen – und nicht beseitigen können.“
Zweites Leben und Ausmusterung: Wie Datensicherheitsbedenken zu einer E-Müll-Epidemie führen
Plattformsicherheitsbedenken behindern auch die Fähigkeit von Unternehmen, Altgeräte wiederzuverwenden, zu recyceln oder weiterzuverkaufen:
- Für 58 Prozent der ITSDMs ist es aus ihrer Sicht schwierig, Geräten ein zweites Leben zu geben. Daher zerstören sie diese oft aufgrund von Datensicherheitsbedenken.
- 69 Prozent sind der Meinung, dass sie über eine beträchtliche Anzahl von Geräten verfügen, die sich wiederverwenden oder spenden lassen, wenn sie diese entsprechend aufbereiten könnten.
- 57 Prozent der ITSDMs geben zu, dass ihr Versäumnis, perfekt brauchbare Laptops zu recyceln und wiederzuverwenden, zu einer E-Müll-Epidemie führt.
Erschwerend kommt hinzu, dass viele Mitarbeiter ihre alten Arbeitsgeräte nicht zurückgeben. Dies verhindert nicht nur die Wiederverwendung von Geräten, sondern schafft auch Datensicherheitsrisiken durch nicht genutzte Geräte, auf denen sich noch Unternehmensdaten befinden.
- 68 Prozent der WFA-Mitarbeiter haben mindestens einen alten Arbeits-PC/Laptop zu Hause oder an ihrem Büroarbeitsplatz.
- 13 Prozent der WFA-Mitarbeiter haben einen Arbeitsplatz verlassen, ohne ihr Gerät sofort zurückzugeben – und sieben Prozent sagen sogar, dass sie dies nie getan haben.
„IT-Teams horten Altgeräte: Sie sind sich nicht sicher, dass alle sensiblen Unternehmens- oder persönlichen Daten vollständig gelöscht wurden. Dies ist an sich schon ein Datensicherheitsrisiko und kann sich negativ auf ESG-Ziele auswirken. Es ist wichtig, einen seriösen Anbieter für die Entsorgung von IT-Assets zu finden, der die neuesten branchenüblichen Lösch- oder Medienvernichtungsprozesse anwendet. Dieser muss darüber hinaus ein Datenbereinigungszertifikat bereitstellen, damit Unternehmen die Compliance-Anforderungen erfüllen“, erklärt Grant Hoffman, SVP Operations & Portfolio, HP Solutions.
Neuer Ansatz für den Lebenszyklus von Geräten erforderlich, um die Plattformsicherheit zu verbessern
Mehr als zwei Drittel (65 Prozent) der Unternehmen in Deutschland geben an, dass ihr Ansatz zur Verwaltung der Hardware- und Firmware-Sicherheit von Geräten nur einen kleinen Teil ihres Lebenszyklus abdeckt. Dadurch sind die Geräte ungeschützt, und die Teams nicht in der Lage, die Plattformsicherheit von der Auswahl des Lieferanten bis zur Außerbetriebnahme zu kontrollieren. Um die Plattformsicherheit über den gesamten Lebenszyklus hinweg zu verwalten, empfiehlt HP Wolf Security unter anderem Folgendes:
- Lieferanten-Auswahl: Unternehmen sollten gewährleisten, dass IT-, Sicherheits- und Beschaffungsteams zusammenarbeiten, um die Sicherheits- und Ausfallsicherheitsanforderungen für neue Geräte festzulegen, die Sicherheitsaussagen des Anbieters zu validieren und die Sicherheitsrichtlinien für die Fertigung des Anbieters zu überprüfen.
- Onboarding und Konfiguration: Unternehmen sollten sich Lösungen anschauen, die ein sicheres Zero-Touch-Onboarding von Geräten und Anwendern sowie eine sichere Verwaltung von Firmware-Einstellungen ermöglichen, die nicht auf einer schwachen Authentifizierung wie BIOS-Passwörtern beruhen.
- Kontinuierliche Verwaltung: Firmen sollten Tools implementieren, mit denen die IT-Abteilung die Gerätekonfiguration aus der Ferne kontrollieren und aktualisieren sowie Firmware-Updates schnell bereitstellen kann. So reduziert sich die Angriffsfläche der Flotte.
- Kontrolle und Problembehebung: Unternehmen sollten gewährleisten, dass IT- und Security-Teams die Daten von Geräten aus der Ferne finden, sperren und löschen können – und zwar auch bei ausgeschalteten Geräten. Damit lässt sich das Risiko bei verlorenen und gestohlenen Geräten reduzieren. Die Kontrolle von Geräte-Auditprotokollen, um Plattform-Sicherheitsrisiken zu erkennen verbessert die Ausfallsicherheit. Dazu gehört beispielsweise, nicht autorisierte Hardware- und Firmware-Änderungen und Anzeichen von Missbrauch zu erkennen.
- Zweites Leben und Außerbetriebnahme der Geräte: Firmen sollten in Geräte investieren, bei denen sich sensible Hardware- und Firmware-Daten sicher löschen lassen – und damit eine sichere Außerbetriebnahme ermöglichen. Bevor die Geräte wieder in Betrieb geben, sollten IT-Teams die Lebensdauer der Geräte überprüfen. Damit lässt sich die Produktkette sowie die Integrität der Hardware und Firmware verifizieren.
Für weitere Einblicke und Empfehlungen laden Sie den vollständigen Bericht ‚Securing the Device Lifecycle: From Factory to Fingertips, and Future Redeployment‘ hier herunter.
[1] The global lost/stolen laptop epidemic figure was reached by taking the average number of laptops reported lost/stolen in the last year (103) by ITSDMs and the average cost of each lost/stolen laptop ($2,272). This comes to $234,119. The cost is then extrapolated across the number of large organizations (with 1,000+ employees) in the same territories as the research scope:
- United States – 17,834 large organizations (US Bureau of Labor Statistics)
- Canada – 2,868 large organizations (Government of Canada)
- UK – 3,900 (UK Government)
- Japan – 6,557 (eStat – Japanese Government Statistics)
- Germany – 4,304 (OECD)
- France – 1,460 (OECD)
In total, there are 36,923 large organizations. If each lost 103 laptops at an average cost of $2,273 ($234,119) then the global cost of lost/stolen laptops is $8,644,375,837.
Bild/Quelle: https://depositphotos.com/de/home.html