Komplexe, analytisch unterlegte IT-Sicherheitslösungen sind noch keinesfalls Standard. Das geht aus einer aktuellen IDC-Umfrage zum Thema Security hervor. Am weitesten verbreitet ist eher bewährtes: IAM-Lösungen (50 Prozent), Endpoint Security (48 Prozent), Lösungen für den Datenschutz (46 Prozent). Immerhin 45 Prozent setzen schon SASE (Secure Access Service Edge) ein und 44 Prozent setzen auf Security-Awareness-Trainings für ihre Mitarbeiter.

Nicht ganz so beliebt ist Software zum Cloud Security Posture Management (CSPM, 35 Prozent), Insider Threat Protection (34 Prozent), XDR und Security Orchestration (je 31 Prozent). Bislang setzen erst 28 Prozent der Befragten Dienste ein, die forensische Analytik verwenden.

Wenig verwunderlich, angesichts von Covid-Pandemie und Home-Office, rankten sich die meistgenannten strategischen Sicherheitsthemen um das Thema Remote Work: Network Security (31 Prozent), Mobile Device Security, Compliance und Security Trainings (jeweils 26 Prozent) werden hier aufgeführt, dazu noch IAM. 60 Prozent der Anwender sagten, sie hätten während der Covid-Zeit zunächst einfach umgesetzt und die Sicherheit hintangestellt.

Durch die Corona-Pandemie hat das Thema Home-Office auch im Security-Bereich deutlich an Bedeutung gewonnen. (Bild: IDC)

Am unteren Ende der Skala liegen Smart Building und IoT-Security (13 Prozent), (Extended) Endpoint Detection & Response (EDR/XDR) sowie Security Automation und Orchestrierung (je 17 Prozent) sowie Business Continuity (18 Prozent).

Zero Trust: Noch weit weg

Einen genaueren Blick auf die Herausforderungen in der Praxis warf IDC beim Identity und Access Management. So beklagten 31 Prozent, dass es schwer sei, die Sicherheitsanforderungen und gute Nutzbarkeit in Einklang zu bringen, 28 Prozent beklagten Login-Müdigkeit der User. Eine Erklärung: Zwar ist MFA durchaus schon verbreitet, geht aber nicht immer mit Single-Sign-On einher.

Weitere Kritikpunkte im Bereich der IAM-Anwendung: Es sei schwierig, eine sowohl effiziente als auch effektive Identitätsprüfung durchzuführen (25 Prozent), oft hätten Nutzer länger als sinnvoll Zugriff auf kritische Systeme (24 Prozent) und 23 Prozent beklagten schlechtes Passwortmanagement, wobei nur ein Drittel der befragten Anwender eine Lösung für Enterprise Password Management einsetzt.

Ansätze wie Zero Trust werden zwar gern angepeilt, aber die meisten Firmen setzen vorläufig nur ein, maximal zwei der Maßnahmen um, die als Voraussetzungen für eine Zero-Trust-Infrastruktur betrachtet werden. Das sind zum Beispiel die Authentisierung der Nutzer und der gleichzeitige regelbasierte Zugriff ausschließlich auf Apps, für die diese Anwender Zugriffsrechte haben. 48 Prozent der Befragten betreiben entsprechende Lösungen. 47 Prozent haben ein zentrales Geräteverzeichnis. Immerhin 46 Prozent geben auf die betreffende Frage an, Multifaktor- und passwortlose Authentisierung einzusetzen, 43 Prozent verwenden Single-Sign-On. 42 Prozent minimieren privilegierte Rechte und 38 Prozent überwachen den Zugriff auf Geräte und Dienste durch die Nutzer kontinuierlich.

Verloren im Systemdschungel

Erschreckend ist die Anzahl an Security-Systemen, mit denen die Admins zurechtkommen müssen. Bei den meisten (26 Prozent) sind es zwischen 11 und 20. Immerhin neun Prozent schlagen sich mit 36 und mehr Sicherheits-Lösungen herum, der Rest bewegt sich irgendwo dazwischen. Kein Wunder, dass sie als wichtigste Herausforderung der IT-Security deren Komplexität (29 Prozent) ansehen.

In vielen Firmen kommen zu viele Security-Lösungen zum Einsatz. (Bild: IDC)

Das klingt nach einem relativ undurchschaubaren Dschungel. Dass dies anscheinend von vielen Unternehmen als Gefahr wahrgenommen wird, zeigt sich an den derzeit vorherrschenden und zukünftig geplanten Sourcing-Methoden. Derzeit dominieren Security-Plattformen (73 Prozent), die zukünftig um 11 auf 84 Prozent zulegen sollen. Steil aufwärts geht es bei Security-Ökosystemen (heute: 25 Prozent, zukünftig: 46 Prozent). Auch das Outsourcing an Managed Security Provider wird wohl zulegen (heute: 29 Prozent, zukünftig 43 Prozent). Das Nachsehen haben Best-of-Breed-Plattformen (heute 56 Prozent, zukünftig 34 Prozent).

Anwender schätzen sich zu optimistisch ein

Die Eigeneinschätzungen der Anwender zu den internen IT-Security-Fähigkeiten ihrer Unternehmen sind widersprüchlich und oft zu optimistisch. So stimmen 78 Prozent der Aussage zu, dass ihre IT-gestützten Prozesse gut gegen Cyberattacken staatlicher Stellen oder organisierter Verbrecher geschützt sind, 74 Prozent glauben dasselbe in Bezug auf Bedrohungen durch Remote Work und 71 Prozent hinsichtlich von Bedrohungen aus dem Inneren der Firmen. 66 Prozent sind sich sicher, dass sie Bedrohungen auch in Zukunft ohne Dienstleister und Experten stemmen können.

Die meisten Unternehmensnutzer glauben, sie seien gut geschützt – und damit liegen sie oft falsch. (Bild: IDC)

Gleichzeitig beklagen 21 Prozent der Unternehmen schlechtes Anwenderwissen und 60 Prozent sagen, es sei schwierig, private und dienstliche Handlungen und Prozesse zu trennen und die dienstlichen abzusichern. Weitere Probleme: 25 Prozent beklagen Ransomware/Malware-Attacken, 24 Prozent Phishing und ATP, 22 Prozent haben Schwierigkeiten, die Sicherheit zwischen On-Prem und Cloud konsistent zu gestalten. Und nur ein Drittel der Befragten war bisher keinem Ransomware-Angriff ausgesetzt.

Die Bewertung von Sicherheit in den Unternehmen ist noch immer ambivalent: Zwar sagen 75 Prozent, sie sähen Sicherheit als Wettbewerbsfaktor, der beispielsweise die Marke schützt, indem digitales Vertrauen aufgebaut wird. 66 Prozent sehen in Security einen Business-Driver durch mehr Effizienz und reduzierte Betriebskosten. Aber nur neun Prozent sehen wirtschaftliche Vorteile als Grund, eine Trust-Strategie aufzubauen.

Schutz und Pein liegen nahe beieinander

Gleichzeitig bejahen 59 Prozent der Befragten die Aussage, „IT-Sicherheit wird in unserem Unternehmen grundsätzlich als störend und nicht nützlich angesehen“; 56 Prozent gaben an, ihr Management sähe IT-Security lediglich als Kostenfaktor und 54 Prozent, dass das Thema in ihren Unternehmen als Innovationshemmer gilt. Nicht abgefragt wurden die Investitionsvolumina, sie hätten offenbaren können, ob es sich hier um Wortgeklingel handelt oder ob IT-Security tatsächlich mit zugeknöpftem Portemonnaie angegangen wird.

IDC befragte für die Studie 200 IT-Sec-Verantwortliche aus deutschen Unternehmen zehn unterschiedlicher Branchen. Stark vertreten waren dabei produzierende Unternehmen und die Finanz-/Versicherungsbranche.

(fo)