Sie sind hier: Home » Markt » Studien

Verschwendung von Millionen für Cybersicherheit

Studie: 93 Prozent der CIOs in Deutschland mit einem Angriff rechnen, weil neue Bedrohungen nicht erkannt werden
Schlüssel und Zertifikate sind die Grundlage der Cybersicherheit, denn sie authentifizieren Systemverbindungen und sagen, ob Software und Geräte auch tun, was sie sollen

Venafi veröffentlichte die Ergebnisse einer von Vanson Bourne bei 100 CIOs in Deutschland durchgeführten Studie zur Prävalenz verfehlter IT-Sicherheit und ihren Auswirkungen auf die Geschäftsprozesse. Bei der Studie zeigte sich ein überwältigender Konsens der IT-Manager, dass die Grundlage der Cybersicherheit - kryptographische Schlüssel und digitale Zertifikate - ungeschützt sei und Unternehmen somit blind dem Chaos überlassen und nicht in der Lage wären, ihren Geschäftsbetrieb zu schützen.

CIOs räumen ein, Millionen Euro für mehrschichtige Sicherheitsmaßnahmen zu verschwenden, da diese Tools Schlüsseln und Zertifikaten blind vertrauen - und unfähig sind, zu erkennen, welchen Schlüsseln und Zertifikaten vertraut werden sollte und welchen nicht. Gartner prognostiziert, dass 50 Prozent der Netzwerkangriffe über SSL/TLS erfolgen, was bedeutet, dass beliebte Sicherheitssysteme nur die Hälfte der Zeit funktionieren. Und CIOs ist bewusst, dass ihre strategischen Pläne zum Aufbau von Fast IT-Organisationen rund um DevOps durch dieses Chaos in Gefahr geraten.

Die wichtigsten Ergebnisse auf einen Blick:
>> 75 Prozent der CIOs glauben, dass ihre Sicherheitsmaßnahmen weniger effektiv sind, da sie verschlüsselten Netzwerk-Traffic nicht auf Angriffe untersuchen können

>> 93 Prozent der CIOs haben Angriffe erlebt oder erwarten einen Angriff, bei dem verschlüsselter Traffic zur Verschleierung des Angriffs verwendet wird

>> 74 Prozent der CIOs sind der Meinung, dass gestohlene kryptographische Schlüssel und digitale Zertifikate der nächste große Markt für Cyberkriminelle sein werden

>> 71 Prozent der CIOs bestätigen, dass ihre Kernstrategie zur Beschleunigung von IT und Innovationen in Gefahr ist, weil diese Initiativen neue Schwachstellen hervorbringen

Unternehmen stützen sich auf zehntausende Schlüssel und Zertifikate als Vertrauensbasis für ihre Webseiten, virtuellen Maschinen, Mobilgeräte und Cloud-Dienste. Die Technik wurde übernommen, um das ursprüngliche Problem der Internet-Sicherheit zu lösen, nämlich zu erkennen, was sicher und geheim ist. Von Online-Banking, gesicherter Kommunikation und mobilen Anwendungen bis zum Internet der Dinge greifen alle IP-basierten Anwendungen auf Schlüssel und Zertifikate zurück, um eine vertrauenswürdige und sichere Verbindung herzustellen. Doch ungeschützte Schlüssel und Zertifikate werden von Cyberkriminellen missbraucht, um sich in verschlüsseltem Traffic zu verstecken, Webseiten zu spoofen, Malware einzuschleusen, ihre Privilegien zu erweitern und Daten zu stehlen.

Die eingesetzten Technologien, wie Endpunkt-Schutz, erweiterter Schutz vor Bedrohungen, Next Generation Firewalls, Verhaltensanalyse, Intrusion Detection Systeme (IDS) und Data Loss Prevention sind grundsätzlich mangelhaft, denn sie können nicht ermitteln, welche Schlüssel und Zertifikate gut oder schlecht, Freund oder Feind sind.

Folglich sind sie nicht in der Lage, den Großteil des verschlüsselten Netzwerk-Traffics zu untersuchen, wodurch klaffende Lücken im Sicherheitssystem von Unternehmen entstehen. Cyberkriminelle nutzen diese "Blind Spots" im Sicherheitssystem aus und verwenden die ungeschützten Schlüssel und Zertifikate, um sich im verschlüsselten Traffic zu verstecken und Sicherheitskontrollen zu umgehen.

Die Bedrohung der Cybersicherheitsgrundlage
"Schlüssel und Zertifikate sind die Grundlage der Cybersicherheit, denn sie authentifizieren Systemverbindungen und sagen uns, ob Software und Geräte auch tun, was sie sollen. Bricht diese Grundlage zusammen, sind wir in ernsthaften Schwierigkeiten", bemerkt Kevin Bocek, Vizepräsident Threat Intelligence und Security Strategy bei Venafi. "Mit einem beeinträchtigten, gestohlenen oder gefälschten Schlüssel und Zertifikat können Angreifer Webseiten, Infrastrukturen, Clouds und Mobilgeräte ihrer Zielunternehmen imitieren, beobachten und überwachen sowie für geheim geltende Kommunikationen entschlüsseln."

"Die Systeme, die wir eingeführt haben, um Online-Vertrauen zu verifizieren und aufzubauen, werden in zunehmendem Maße gegen uns verwendet. Und schlimmer noch, die Anbieter, die uns erzählen, sie könnten uns schützen, sind nicht dazu in der Lage. Endpunkt-Schutz, Firewalls, IDS, DLP und dergleichen sind schlimmer als nutzlos, denn sie wiegen Menschen in eine falsche Sicherheit. Diese Studie zeigt, dass CIOs jetzt einsehen, dass sie Millionen verschwenden, weil Sicherheitssysteme, nicht einmal die Hälfte der Angriffe stoppen können. Gartner prognostiziert, dass bis 2017 bei mehr als der Hälfte der Netzwerkangriffe auf Unternehmen verschlüsselter Traffic genutzt werden wird, um Kontrollen zu umgehen; und die implementierten Techniken können vor keinem dieser Angriffe schützen! Bedenkt man, dass der Markt für Unternehmenssicherheit weltweit geschätzte 83 Milliarden US-Dollar wert ist, so ist das eine Menge Geld, das für Lösungen verschwendet wird, die ihre Aufgabe nur gelegentlich erfüllen können."

"Und die öffentlichen Märkte spiegeln den Verlust des Vertrauens in die Cybersicherheit wirkungsvoll wider. Es ist kein Zufall, dass 90 Prozent der CIOs zugeben, Milliarden für unzureichende Cybersicherheit zu verschwenden, während der Cybersicherheits-Fonds HACK seit November 2015 einen Rückgang von 25 Prozent verzeichnet. Dies liegt weit vor dem Gesamtabschwung des Marktes, der im S&P500-Index 10 Prozent beträgt."

Die Risiken durch unverwaltete und ungeschützte Schlüssel und Zertifikate nehmen mit ihrer steigenden Anzahl zu. Aus einem aktuellen Ponemon-Bericht geht hervor, dass das durchschnittliche Unternehmen mehr als 23.000 Schlüssel und Zertifikate hält, und 54 Prozent der Sicherheitsexperten räumen ein, nicht zu wissen, wo sich all ihre Schlüssel und Zertifikate befinden, wer sie besitzt und wie sie verwendet werden. CIOs sind besorgt, dass die wachsende Zahl der Schlüssel und Zertifikate zur Unterstützung neuer IT-Initiativen das Problem noch verschlimmern wird.

Angesichts der Encryption-Everywhere-Pläne, die größtenteils von Edwards Snowdens Enthüllungen und dem Verstoß der NSA vorangetrieben werden, gaben nahezu alle CIOs (93 Prozent) an, sich Sorgen darüber zu machen, wie sie alle Verschlüsselungsschlüssel und Zertifikate sicher verwalten und schützen könnten. Und mit zunehmender Schnelligkeit der IT - die Dienste auf Basis elastischer Anforderungen entwickelt und einstellt - wird die Anzahl an Schlüsseln und Zertifikaten um Größenordnungen ansteigen. Auf die Frage, ob die Schnelligkeit der DevOps die Erkenntnis, was in ihren Unternehmen vertrauenswürdig ist und was nicht, erschwere, antworteten 71 Prozent der CIOs mit Ja.

"Gartner prognostiziert, dass bis zum Jahr 2017 drei von vier Unternehmensorganisationen zu einer bi-modalen IT-Struktur übergehen werden, d.h. zu einer IT mit zwei Geschwindigkeiten und unterschiedlichen qualitativen Anforderungen: eine, die vorhandene Apps unterstützt, bei denen Stabilität gefordert ist, und eine andere, die schnelle IT für Innovationen und geschäftskritische Projekte liefert", sagt Bocek. "Doch die Anwendung agiler Methoden und die Einführung von DevOps ist ein extrem risikoreiches und chaotisches Unterfangen. In diesen neuen Umgebungen wird die Sicherheit immer leiden und es wird praktisch unmöglich, zu verfolgen, was vertrauenswürdig ist und was nicht."

"Aus diesem Grund brauchen wir ein Immunsystem für das Internet", erklärt Bocek abschließend. "Wie ein menschliches Immunsystem lässt es Organisationen sofort wissen, welchen Schlüsseln und Zertifikaten vertraut werden sollte und welchen nicht. Ist das Vertrauen in Schlüssel und Zertifikate wiederhergestellt, steigt auch der Wert anderer Sicherheitsinvestitionen eines Unternehmens."

Die Studie wurde von dem unabhängigen Marktforschungsunternehmen Vanson Bourne durchgeführt, das insgesamt 500 CIOs größerer Unternehmen aus Frankreich, Deutschland, den USA und GB befragte.
(Venafi: ra)

eingetragen: 18.05.16
Home & Newsletterlauf: 20.06.16

Venafi: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

Meldungen: Studien

Zugangsrechte immer noch eine Achillesferse
58 Prozent aller global befragten Unternehmen gelingt es nicht, Anträge von Einzelpersonen, die auf Grundlage der DSGVO (Datenschutz-Grundverordnung) eine Kopie ihrer persönlichen Daten angefordert haben, innerhalb der in der Verordnung festgelegten Frist von einem Monat zu bearbeiten. Dies zeigt eine aktuelle Studie von Talend. Im September 2018 veröffentlichte Talend die Ergebnisse ihrer ersten DSGVO-Vergleichsstudie. Mit dieser Studie sollte die Fähigkeit von Unternehmen bewertet werden, die Zugangs- und Portabilitätsanforderungen der EU-Verordnung einzuhalten. 70 Prozent der untersuchten Unternehmen waren damals nicht in der Lage, Daten einer betroffenen Person innerhalb eines Monats zur Verfügung zu stellen. Ein Jahr später befragte Talend erneut diejenigen Unternehmen, die im ersten Benchmark die DSGVO-Vorgaben nicht einhalten konnten. Gleichzeitig wurden auch neue Unternehmen aus der Zielgruppe befragt. Zwar erhöhte sich der Gesamtanteil derjenigen Unternehmen, die eine Einhaltung der Vorschriften vermeldeten, auf 42 Prozent, dennoch bleibt die Quote 18 Monate nach Inkrafttreten der Verordnung vergleichsweise niedrig.
Unternehmen investieren mehr in IT-Sicherheit
Zwei Drittel der Unternehmen (66 Prozent) wollen ihre Investitionen in IT-Sicherheit steigern - mehr als in jeden anderen Bereich. Auch gefragt sind Datenanalyse-Software, in die 55 Prozent der Unternehmen mehr investieren wollen und Online-Shops mit 52 Prozent. Das zeigt eine repräsentative Umfrage von Bitkom Research im Auftrag von Tata Consultancy Services (TCS) unter 953 Unternehmen mit 100 oder mehr Mitarbeitern in Deutschland. Im Durchschnitt investieren die Unternehmen 5,5 Prozent ihres Jahresumsatzes in die digitale Transformation - eine Steigerung um 12 Prozent zum Vorjahr. Allerdings werden wie die Anforderungen an Datenschutz (53 Prozent) und IT-Sicherheit (52 Prozent) von den Unternehmen auch als größte Hürden der Digitalisierung gesehen. Nur ein Prozent sieht hingegen fehlende finanzielle Mittel als Hinderungsgrund. Fehlt das Geld, sind die Probleme hausgemacht: Jedes fünfte Unternehmen (19 Prozent) sieht fehlende Investitionsbereitschaft trotz vorhandener Geldmittel als Hürde. Noch häufiger genannt werden fehlende Vorgaben der Geschäftsführung (31 Prozent) oder langwierige Entscheidungsprozesse (37 Prozent). Der Fachkräftemangel wird zur immer größeren Herausforderung: Mehr als ein Drittel (35 Prozent) sieht den Mangel an Mitarbeitern mit Digitalkompetenz als Hürde - 2017 waren es erst 25 Prozent.
Kundenzufriedenheit erfordert Test-Automatisierung
Compuware hat die Ergebnisse einer weltweiten Umfrage unter 400 IT-Führungskräften, davon 75 aus Deutschland, bekannt gegeben. Demnach sind manuelle Testverfahren nach wie vor weit verbreitet. Sie stellen jedoch eine der größten Herausforderungen für große Unternehmen dar, wenn sie digitale Innovationen beschleunigen möchten.Die von Vanson Bourne im Auftrag von Compuware durchgeführte Umfrage untersucht die Prozesse von Unternehmen, um Innovationen auf dem Mainframe so schnell wie in ihren verteilten Umgebungen, die stark vom Mainframe abhängig sind, bereitzustellen. Die Studie untersucht auch die Methoden zur Unterstützung von Tests auf dem Mainframe sowie die Herausforderungen bei der gleichzeitigen Steigerung von Qualität, Geschwindigkeit und Effizienz während des Entwicklungs- und Bereitstellungsprozesses für Anwendungen. Die vollständige Studie mit den weltweiten Ergebnissen können Sie hier herunterladen.
Biometrische Daten vermehrt Angriffen ausgesetzt
37 Prozent der Computer, Server oder Workstations, auf denen biometrische Daten erfasst, verarbeitet und gespeichert und von einer Kaspersky-Lösung geschützt werden, waren im dritten Quartal 2019 mindestens einem Malware-Infektionsversuch ausgesetzt. Dies zeigt der aktuelle Report "Threats for biometric data processing and storage systems" des Kaspersky ICS CERT. Es handelte sich vor allem um generische Malware wie Remote Access Trojaner (RATs) (5,4 Prozent), bei Phishing-Angriffen verwendete Malware (5,1 Prozent), Ransomware (1,9 Prozent) sowie Banking-Trojaner (1,5 Prozent). Die Verwendung biometrischer Daten wie Fingerabdrücke, Handgeometrie oder Irisstruktur zur Authentifizierung, als Ergänzung oder Ersatz zu traditionellen Anmeldedaten, nimmt stetig zu. Sie wird unter anderem für den Zugriff auf Regierungs- und Handelsbüros, industrielle Automatisierungssysteme, Unternehmens- und Privat-Laptops sowie Smartphones verwendet - und steht damit vermehrt im Fokus von Cyberkriminellen.Die Experten von Kaspersky ICS CERT haben Cyberbedrohungen untersucht, die im dritten Quartal dieses Jahres von Kaspersky-Produkten auf Computern, die biometrische Daten sammeln, verarbeiten und speichern, untersucht. Das Ergebnis: Auf über einem Drittel der Computer (37 Prozent) schlugen die Kaspersky-Produkte Alarm.
Security-Markt setzt 9,2 Milliarden Euro um
Die globale Sicherheitsindustrie befindet sich in einer stetigen Wachstumsphase. Alleine in Deutschland wurde dieses Jahr nach den Daten von Statista ein Umsatz von etwa 9,2 Milliarden Euro erzielt. Dies sei darauf zurückzuführen, dass das Bewusstsein für Sicherheit geschärft werde, und dass Verbraucher hierfür auch immer öfter Geld investieren. Deutschland ist hierbei augenscheinlich einer der wichtigsten Märkte innerhalb Europas. Die Bundesrepublik beheimatet in dieser Sparte rund 6.000 Unternehmen mit insgesamt 180.000 Mitarbeitern. Von 2018 auf 2019 verzeichnet die Branche in Deutschland ein Wachstum von 2,9 Prozent. Etwa 80 Prozent des Gesamtumsatzes fallen hierbei auf private Akteure. Im Jahr 2011 belief sich der Umsatz der Sicherheits- und Ermittlungsindustrie hierzulande noch auf 5,3 Milliarden Euro. Seither ist der Branchenwert um 73,58 Prozent gewachsen.

Cybercrime-Policen: Beitrag zur IT-Sicherheit Lücke zwischen Daten und Anwendungen