Studie von COMPUTERWOCHE und CIO
Security by Device: Endgerät und Sicherheit gehören zusammen
Endpunkte werden zunehmend attackiert. Bei den meisten von Cyberkriminellen angegriffenen Geräten handelt es sich um Endgeräte wie Laptops und Desktop-Systeme, gefolgt von Unternehmensservern, Cloud-Infrastrukturen, IoT-Geräten, Websites, mobilen Geräten und industriellen Systemen, so der aktuelle Threat Landscape Report der EU-Agentur für Netz- und Informationssicherheit ENISA.
Diese wachsende Bedrohung für Endgeräte ist den Unternehmen in Deutschland durchaus bewusst. Wie das gemeinsame Studienprojekt "Security am Endpoint" von IDG Research Services und HP Deutschland ergab, nennt jeweils ein Drittel der Unternehmen die IT-Endgeräte im Unternehmen, Cloud Computing und externe Bedrohungen als die schwierigsten Aufgaben für die IT-SicherheitIT-Sicherheit. Fachkräftemangel, Schulungsbedarf und Budgetknappheit sieht dagegen nur jedes fünfte Unternehmen als besondere Herausforderung. Alles zu Security auf CIO.de
Als größte Gefahren für Endpoints im Unternehmen werden Cyberattacken (48 Prozent), nachlässige Mitarbeiter (45 Prozent) und Industriespionage (44 Prozent) genannt. Die befragten Unternehmen haben auch entsprechende Vorfälle erlebt: 45 Prozent erlitten bereits wirtschaftlichen Schaden durch den Missbrauch von IT-Geräten.
Endgeräte-Schutz oftmals noch lückenhaft
Trotz der sich verschärfenden Bedrohungslage für Endgeräte schützen viele Unternehmen ihre Endpoints unzureichend. Nur jedes zweite Unternehmen hat den Passwortschutz für Endgeräte oder die Zugangs- und Rechtekontrolle verbessert. Eine fortlaufende Prüfung der IT-Endgeräte findet man erst bei 45 Prozent der Unternehmen.
Wie die Studie zeigt, gibt es auch bei den klassischen Endgeräten wie Drucker und PC noch deutlichen Nachholbedarf bei der IT-Sicherheit, nicht etwa nur bei SmartphonesSmartphones und IoT-Geräten. Alles zu Smartphones auf CIO.de
Viele Lücken in der Endgeräte-Sicherheit könnten bereits dadurch geschlossen werden, wenn die vorhandenen Sicherheitsfunktionen wie der Zugangsschutz für Drucker in den Unternehmen noch bekannter wären und durchgehend genutzt würden.
Zur Endpoint Security gehören deshalb Awareness-Maßnahmen und Nutzerschulungen unbedingt dazu.
Endpoint Security wird falsch eingeschätzt
Neun von zehn Unternehmen stufen sich besser als andere Firmen ein, wenn es um die Sicherheit ihrer IT-Endgeräte geht. Bei Vorständen und Geschäftsführern ist diese positive Selbsteinschätzung besonders verbreitet. Deutlich weniger optimistisch sind IT-Leiter/IT-Security-Verantwortliche und CISOs.
Diejenigen in den Unternehmen, die die höhere Fachkompetenz für Security haben, bewerten somit die vorhandene Endpoint Security deutlich kritischer als die jeweilige Geschäftsleitung. Man kann deshalb von einer zu positiven Selbsteinschätzung hinsichtlich Endgeräte-Sicherheit bei den Vorständen und Geschäftsführern ausgehen.
Eine solche Fehleinschätzung ist deshalb riskant, weil 81 Prozent der befragten CIOs, CTOs und CDOs die alleinige Verantwortung für die IT-Sicherheit haben. Unter den CISOs, IT-Sicherheitsverantwortlichen und IT-Leitern, die direkt mit der IT-Sicherheit befasst sind, sind es dagegen nur 55 Prozent, die die alleinige Verantwortung tragen.
Die Entscheidungen über Security-Maßnahmen werden also vermehrt von den Stellen in den Unternehmen getroffen, die die eigene Endpoint Security zu gut bewerten, nicht aber von den CISOs, die die notwendige Fachkompetenz für solche Entscheidungen haben.
Security ist Top-Kriterium bei Beschaffung
Doch es gibt Licht am Ende des Tunnels. Bei neun von zehn Unternehmen spielt Security in der Geräte-Beschaffung eine Rolle, wie das Studienprojekt "Security am Endpoint" von IDG Research Services und HP zeigt.
66 Prozent der CIOs/CTOs/CDOs sehen sogar eine große Rolle für die Security, wenn es um die Beschaffung von Endgeräten geht. Da die CIOs/CTOs/CDOs in den meisten Fällen die finale Entscheidung bei Beschaffungen treffen, kann man davon ausgehen, dass bei der Freigabe einer Beschaffung der Security entsprechend mehr Bedeutung zugemessen werden wird.
Wichtig ist es deshalb, den richtigen Blick auf die Sicherheit von Endgeräten zu entwickeln. Hierzu gehört es, dass die IT-Sicherheitsverantwortlichen stärker in die Entscheidungen einbezogen werden und dass die Geschäftsleitung noch besser informiert wird, welche Bedrohungen es für Endpoints gibt und welche Security-Funktionen verfügbar sind, aber auch genutzt werden müssen.
Gerätehersteller ist auch Security-Provider
Endpunkte wie Drucker und Desktop-Systeme verfügen je nach Anbieter über eine Vielzahl an integrierten Sicherheitsfunktionen. Diese integrierte Endpoint Security hat den Vorteil, dass sie nicht erst ausgerollt und installiert werden muss, sondern sie ist bereits mit der Anschaffung an Bord. Die einzelnen Sicherheitsfunktionen sind auf das jeweilige Endgerät abgestimmt.
Wichtig ist es allerdings, dass nicht nur die IT-Administratoren diese Funktionen für Endpoint Security kennen, sondern auch die Nutzer der Endgeräte. Zudem sollten Unternehmen nicht darauf verzichten, die bereits verfügbaren Security-Funktionen auch tatsächlich zu nutzen. So hilft ein erhöhter Zugangsschutz für PCs und Drucker wenig, wenn das Sicherheitsverfahren nicht in die Unternehmenspraxis eingeführt wird.
Die Entwicklung, dass Endgeräte bereits fortschrittliche Sicherheitsfunktionen integriert haben, ist für Unternehmen zunehmend interessant. Bei 31 Prozent der Unternehmen stammt die komplette Geräte-Sicherheit von den Anbietern der IT-Endgeräte. 46 Prozent nutzen teilweise Security-Lösungen der IT-Geräte-Anbieter. Weitere zwölf Prozent der Unternehmen planen, IT-Sicherheitslösungen von den Anbietern der IT-Geräte zu beziehen.
Endgerät und Sicherheit aus einer Hand wird dadurch zu einem vorherrschenden Bezugsmodell für Endpoint Security, als Alternative zu ergänzenden Security-Lösungen, die die Endpunkte von "außen" erkennen, bewerten, verwalten und absichern sollen.
Die Pläne der Unternehmen, verstärkt auf integrierte Endpoint Security zu setzen, können dazu führen, dass die bestehenden Lücken in der Absicherung von Endgeräten verringert werden, da die Security-Funktionen nicht erst ergänzt werden müssen, sondern bereits das Endgerät begleiten.
Security by Device und Security by Design
Die steigende Nutzung von Endgeräten mit integrierter Sicherheit wird in Zukunft auch dadurch beflügelt werden, dass Compliance-Vorgaben für die IT-Sicherheit und den Datenschutz "Security by Design" und "Privacy by Design" fordern.
So nennt die Datenschutz-Grundverordnung (DSGVO / GDPR) in Artikel 25 explizit den Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen.
In dem aktuellen Lagebericht zur IT-Sicherheit in Deutschland fordert das Bundesamt für Sicherheit in der Informationstechnik (BSI): "Die Sicherheitsarchitektur von computergestützten Arbeitsplätzen und Unternehmensabläufen muss ebenso grundlegend neu gedacht werden wie die IT-Sicherheit von Produkten und Dienstleistungen. Dabei muss die Sicherheit der eingesetzten Systeme in der staatlichen Verwaltung, in der Wirtschaft und beim Endanwender durch 'Security by Design' und 'Security by Default' von vornherein gewährleistet sein."
"Gemeinsam mit den Unternehmen wollen wir erreichen, dass Informationssicherheit schon bei der Erforschung und Entwicklung neuer Produkte mitgedacht und der Grundsatz Security-by-Design eingehalten wird", so der BSI-Präsident Arne Schönbohm.
Die Entwicklung hin zu "Security by Device" kann als eine logische Folge von Security by Design und Privacy by Design gesehen werden, denn die Endpunkte selbst sollten bereits ein hohes Maß an Sicherheit und Datenschutz bieten können.
Die Endpoint Security wird also von den Compliance-Vorgaben profitieren, ebenso von dem Wunsch vieler Unternehmen nach einer Kombination aus Gerät und Sicherheit, dem Wunsch nach "Security by Device".
Studiensteckbrief
Herausgeber: COMPUTERWOCHE, CIO, TecChannel und ChannelPartner
Studienpartner: HP Deutschland GmbH
Grundgesamtheiten: Oberste (IT-)Verantwortliche von Unternehmen in der D-A-CH-Region: strategische (IT-)Entscheider im C-Level-Bereich und in den Fachbereichen (LoBs), IT-Entscheider & IT-Spezialisten aus dem IT-Bereich (erste Umfragestufe); IT-Security-Verantwortliche und -Spezialisten (zweite Umfragestufe)
Teilnehmergenerierung: Stichprobenziehungen in der IT-Entscheider-Datenbank von IDG Business Media; persönliche E-Mail-Einladungen zur Umfrage
Gesamtstichprobe: 433 abgeschlossene und qualifizierte Interviews (davon 212 in der ersten Umfragestufe, 221 in der zweiten Umfragestufe)
Untersuchungszeitraum: 12. bis 19. Dezember 2018 (erste Umfragestufe); 19. bis 27. Februar 2019 (zweite Umfragestufe)
Methode: Online-Umfrage (CAWI)
Fragebogenentwicklung: IDG Research Services in Abstimmung mit dem Studienpartner
Durchführung: IDG Research Services
Technologischer Partner: Questback GmbH, Köln
Umfragesoftware: EFS Survey Fall 2018 (erste Umfragestufe); EFS Survey Winter 2018 (zweite Umfragestufe)