Managament , Studien, Tenable

Weltweites Vertrauen in die Cybersicherheit fällt

Weltweites Vertrauen in die Cybersicherheit fällt

Die zweite jährliche Befragung von Sicherheitsprofis ergab, dass zwölf Prozent weniger als 2016 sicher sind, Cyber-Risiken richtig einordnen zu können + Deutschland liegt deutlich unter dem Durchschnitt und verliert vor allem im Bereich „Risk Assessment“

Tenable Network Security veröffentlicht die Ergebnisse der Global Cybersecurity Assurance Report Card 2017. IT-Sicherheitsexperten weltweit benoten darin die globale Cybersicherheits-Bereitschaft im Durchschnitt mit „3-“ mit einem Gesamtergebnis von 70 %.

Die Global Cybersecurity Assurance Report Card fragte Einblicke von 700 IT-Sicherheitspraktikern aus neun Ländern und innerhalb sieben vertikaler Branchen ab. Ziel war es, einen globalen Indexwert zu errechnen, der widerspiegelt, ob die weltweite Cyber-Abwehr die Erwartungen der Experten erfüllen kann.

Laut der diesjährigen Erhebung, fällt das weltweite Vertrauen in die Cyber Security um insgesamt sechs Prozentpunkte. Sie erreicht nun einen Gesamtwert von 70 %, was einer „3-“ entspricht.

Der generelle Vertrauensverlust ist das Resultat eines Rückgangs von 12 Prozentpunkten im „2017 Risk Assessment Index“. Der Index erfasst die Möglichkeiten der Befragten, IT-Sicherheitsrisiken bei elf entscheidenden Komponenten der Unternehmens-IT einzuschätzen.

In zwei aufeinanderfolgenden Jahren nannten die Fachleute die „besorgniserregende Bedrohungslandschaft“ als die größte, einzelne Herausforderung, mit denen IT Security-Experten heute konfrontiert sind. Direkt danach folgt die „geringe Sicherheitssensibilität unter Mitarbeitern“ und „mangelnder Einblick in Netzwerke (BYOD, Shadow-IT)“.

„Die heutigen Netzwerke verändern sich kontinuierlich, durch mobile Endgeräte, Cloud, IoT, Web-Applikationen, Container, virtuelle Maschinen. Unsere Daten weisen darauf hin, dass viele Unternehmen nicht genügend Einblicke gewinnen, um mit ihrer Sicherheitssituation zufrieden zu sein“, erklärt Cris Thomas, Strategist bei Tenable Network Security. „Es ist offensichtlich, dass neuere Technologien wie DevOps und Container zu einer schlechteren Gesamtnote beitragen. Dennoch müssen nicht nur diese beiden Aspekte, sondern das Gesamtrepertoire verbessert werden.“

Ergebnisse weltweit 2017

Die Wolken werden dunkler – Die Cloud als Software-as-a-Service (SaaS) und Infrastructure-as-a-Service (IaaS) waren zwei der am schlechtesten eingestuften Risk-Assessment-Bereiche im Report 2016. Für die Befragung 2017 wurden SaaS und IaaS mit Platform-as-a-Service (PaaS) zusammengefasst. Die neue Kategorie „Cloud Environment“ erzielte 60 % (ausreichend). Das ist ein Rückgang von sieben Prozent im Vergleich mit den SaaS- und IaaS-Zahlen im vergangenen Jahr.

Der mobile Sumpf – Neben IaaS und SaaS waren mobile Endgeräte im letztjährigen Report eine der größten Schwächen von Enterprise-Security. In diesem Jahr sinkt der Wert für Risk Assessment mobiler Endgeräte um acht Prozentpunkte, von 65 % (ausreichend) (2016), auf 57 % (2017).

Neue Herausforderungen kommen – Zwei neue IT-Komponenten wurden im GCARC 2017 eingeführt – DevOps-Umgebungen und Container-Plattformen.

DevOps verändern durch größere Vereinheitlichung und Automatisierung die Art und Weise, wie Software-Teams zusammenarbeiten. Jedoch bringen sie auch neue Sicherheitsbedenken mit sich. Lediglich 57 % der Befragten gaben an, während eines DevOps-Prozesses Sicherheitsfragen richtig einschätzen zu können.
Gleichzeitig werden Container-Technologien wie Docker deutlich häufiger eingesetzt, weil Unternehmen Innovationszyklen und Markteinführung beschleunigen wollen. Allerdings gaben lediglich 52 % der Befragten an, dass ihre Unternehmen ausreichend geschult sind, um Schwachstellen innerhalb ihrer Container-Umgebung zu erkennen.

Überblick Cybersecurity Assurance Report Cards nach Land 2017

1. Indien: Gut (84 %)
2. USA: Gut (78 %)
3. Kanada: Befriedigend (75 %)
4. Frankreich: Befriedigend (74 %)
5. Australien: Befriedigend (71 %)
6. Großbritannien: Ausreichend (66 %)
7. Singapur: Ausreichend (64 %)
8. Deutschland: Ausreichend (62 %)
9. Japan: Nicht ausreichend (48 %)

Überblick Cybersecurity Assurance Report Cards nach Branche 2017

1. Einzelhandel: Befriedigend (76 %)
2. Finanzsektor: Befriedigend (72 %)
3. Produktion: Befriedigend (72 %)
4. Telekommunikation & Technologie: Befriedigend (70 %)
5. Gesundheitswesen: Ausreichend (65 %)
6. Bildungswesen: Ausreichend (64 %)
7. Öffentliche Verwaltung: Ausreichend (63 %)

Ergebnisse der GCARC 2017 für Deutschland

Deutsche Sicherheitsexperten bewerten vor allem das „Risk Assessment“, also die Risiko-Beurteilung, durchgängig negativ: Die Gesamtnote ist eine „6“, was sich auch in den Einzelergebnissen widerspiegelt. Egal, ob es um Cloud-Umgebungen, DevOps-Umgebungen, Web-Applikationen, stationäre PCs oder Mobilgeräte geht, die Ergebnisse schwanken zwischen 33 % und 56 %. Das entspricht einem „ungenügend“. Besser sehen die Ergebnisse bei der „Security Assurance“ aus: Schlechteste Note ist hier eine „4-“, beim Thema „Zusammenführen von Risikoerkenntnissen“. Dafür erhalten Bereiche wie die „Effektivitätsmessung der Sicherheitsmaßnahmen“, „Sicherheit in Einklang mit Geschäftszielen“ oder der „Austausch mit der Geschäftsleitung“ eine „2“, also ein „gut“.

Dennoch erfuhr Deutschland insgesamt den größten Einbruch aller Ländern und Branchen – „Risk Assessment“ verlor 25 %, wohingegen „Security Assurance“ immerhin um fünf Prozentpunkt zulegte. Deutschland liegt mit einem Durchschnittswert von nun 62 % deutlich unter dem globalen Durchschnitt.
Durchgeführt wurde die 2016 Global Cybersecurity Assurance Report Card durch die CyberEdge Group, ein führendes Unternehmen für Forschung und Marketing, das für größten Anbieter der Security-Branche arbeitet. Der Bericht kann unter folgender Adresse eingesehen und heruntergeladen werden: Global Cybersecurity Assurance Report Card 2017.

Über die Global Cybersecurity Assurance Report Card 2017
Tenable befragte im September 2016 700 IT-Sicherheitsexperten aus Unternehmen mit mehr als 1000 Mitarbeitern. Die Befragten beantworteten online einen zwölf Punkte umfassenden Fragebogen anhand einer Fünf-Punkte-Skala. Die folgenden Indizes konnten abgeleitet werden, indem die beiden meistgenannten Wertungen (z.B. stimme sehr zu + stimme eher zu) zusammengeführt und ein Mittelwert gebildet wurde: Der „Risk-Assessment-Index“ misst die Möglichkeiten der Unternehmen IT-Sicherheitsrisiken bei zehn entscheidenden Komponenten zu erfassen. Der „Security-Assurance-Index“ hingegen erfasste, wie stark Unternehmen Bedrohungen durch Investitionen in IT-Sicherheit eindämmen können und inwieweit die Geschäftsführung daran Interesse zeigt. Die Auswertungen der verschiedenen Indizes wurden für den Gesamtreport gemittelt.