16.02.2017 Security-Studie im Mittelstand

Die fünf größten Sicherheitslücken

Das sind die fünf größten IT-Sicherheitslücken im deutschen Mittelstand >>>

1. Anspruchsvolle Lösungen zur Erkennung von Angriffen oftmals schlecht umgesetzt

Mehr als 70 Prozent der Befragten haben die Umsetzung von anspruchsvollen IT-Security-Lösungen, die der Erkennung und Absicherung gegen zielgerichtete Angriffe wie beispielsweise Industriespionage dienen, bisher nicht gut gelöst. Den Firmen fehlt es oftmals an Lösungen mit analytischem Ansatz oder auch forensische Tools, um sicherheitsrelevante Vorfälle zu untersuchen. Die Konsequenz ist, dass Angriffe und Schwachstellen im System nicht untersucht werden können. Im schlimmsten Fall fliegen Angriffe unter dem Radar hindurch und werden für lange Zeit nicht bemerkt.

2. Absicherung mobiler Endgeräte hinkt hinterher

Bei mehr als 70 Prozent der Mittelständler ist die Absicherung mobiler Endgeräte nicht gut umgesetzt, obwohl die Zahl der einzubindenden Endgeräte ins eigene Unternehmen weiterhin ansteigt. Doch die Absicherung der mitunter auch privat mitgebrachten und ins Firmennetzwerk eingebundenen Geräte lässt dabei zu wünschen übrig. Die Unternehmensdaten sind damit großflächig nicht vor unbefugtem Zugriff geschützt. Auch die Angreifer wissen, dass mobile Geräte oftmals ungeschützt sind, und können sich diese Schwachstellen zu Nutze machen, um Daten abzugreifen oder Schadsoftware einzuschleusen. Die zentrale Verwaltung und Absicherung von mobilen Endpoints mithilfe von Mobile-Device-Management-Lösungen (MDM) durch die IT-Abteilung ist durch die zunehmende Anzahl dieser Endgeräte unabdingbar geworden.

 

3. Unternehmen vernachlässigen proaktive Maßnahmen und handeln häufig zu spät

Proaktive Maßnahmen, zu denen Security Audits, Penetrationstests und auch regelmäßige Tests und Übungen der Notfall- und Reaktionspläne zählen, weisen erhebliche Umsetzungsprobleme auf. Unternehmen sind auf Angriffe und die dazu gehörigen Abwehrmaßnahmen häufig unvorbereitet, weil erst gehandelt wird, wenn es eigentlich schon zu spät ist. Proaktive Maßnahmen unterstützen dabei, die Umsetzung der eigenen IT-Sicherheitsmaßnahmen und -lösungen zu kontrollieren und gegebenenfalls anzupassen. Darüber hinaus ist man bei der Prävention nicht dazu gezwungen, unter Zeitdruck und unter dem Risiko eines Datenverlusts oder -abflusses handeln zu müssen.

 

4. Fehlende sichere Authentifizierung macht es Angreifern leicht

Für knapp zwei Drittel der Mittelständler ist die Authentifizierung nicht gut genug umgesetzt. Meist nutzen diese nur unsichere Authentifizierungsverfahren wie die Ein-Faktor-Authentifizierung und erleichtern Angreifern damit den Zugang zu IT-Systemen und Unternehmensdaten. Mehrfaktor-basierte Authentifizierungsverfahren mit Smartcards oder USB-Tokens, zertifikatsbasierte Authentifizierungsverfahren oder sogar eine biometrische Authentifizierung erschweren den Angreifern viele Angriffsszenarien, wie z.B. Phishing-Angriffe.

5. Ohne Sensibilisierung der Mitarbeiter verlieren IT-Sicherheits-lösungen ihre Funktion

Eine weitere Problemstelle bilden Mitarbeitermaßnahmen, die von zwei Dritteln der Befragten als nur unzureichend umgesetzt eingestuft werden. Jede noch so gute Sicherheitslösung kann durch Unachtsamkeit oder Fehlverhalten der Mitarbeiter torpediert werden, denn sie bilden aus Sicht der Angreifer immer das schwächste Glied der Sicherheitskette.

Regelmäßige Übungen und Schulungen sowie Awareness-Kampagnen versetzen Mitarbeiter in die Lage, Angriffe zu erkennen und helfen, sich im Angriffsfall richtig zu verhalten. Selbst einfache Hinweise darauf, wie mit E-Mail-Anhängen unbekannter Absender zu verfahren ist, können das Risiko einer Infektion des Firmennetzwerks bereits verringern. Dabei ist es essentiell, regelmäßig auf aktuelle Gefahren hinzuweisen, damit Angriffsversuche erkannt werden können und die Mitarbeiter sensibilisiert sind.

Quelle: www.security-bilanz.de

Bildquelle: Thinkstock / iStock

©2017 Alle Rechte bei MEDIENHAUS Verlag GmbH