Studie: Sind Unternehmen auf Sicherheitsbedrohungen durch Web 2.0 vorbereitet?

Unternehmen überschätzen ihre Security-Maßnahmen und haben kein Konzept für die Mitarbeiterschulung zu neuen Web Threats

(19.10.07) - Während bereits Web 2.0-Technologien in Unternehmen eingesetzt werden, sind die Organisationen nicht auf die möglichen Risiken dieser Technologie vorbereitet. Das ist ein wesentliches Ergebnis einer Studie, die Forrester Consulting im Auftrag von Secure Computing durchgeführt hat. Für die Umfrage wurden 153 IT-Professionals und Security-Entscheider in Unternehmen mit mindestens 1.000 Mitarbeitern befragt. Die Untersuchung zeigt, dass es generell an Risikobewusstsein, Anwenderschulungen und konsistenten Policies mangelt.

Ungefähr die Hälfte der befragten Unternehmen, so die Studienergebnisse, hat im letzten Geschäftsjahr mehr als 25.000 Dollar für die Behebung von Malware-Schäden ausgegeben. Insofern war es nicht überraschend, dass die Unternehmen beim Einsatz von Web 2.0 vorsichtig sind. Während 97 Prozent der IT-Mitarbeiter sich selbst als "vorbereitet" einstufen, berichten 79 Prozent von häufigen Malware-Attacken. Darüber hinaus ist ein Großteil der Befragten besorgt über Virus-Angriffe (79 Prozent) und Trojaner (77 Prozent), aber nur 12 Prozent machen sich ernsthafte Gedanken um Botnets. Und das, obwohl die Zahl der Bot Networks extrem gewachsen ist, wie eine aktuelle Einschätzung zum Storm Threat bestätigt. Diese besagt, dass Storm von über einer Million Computern in einem einzigen Botnet verbreitet wurde.

Andere wichtige Ergebnisse der Studie:

· Allein für die Behebung von Malware-Threats müssen Unternehmen jährlich 15 - 30 Dollar pro Anwender ausgeben

· 92 Prozent der Befragten bestätigen, dass der Schutz vor Outbound-Datenverlusten ein wesentlicher Aspekt des Webfiltering ist und

· 58 Prozent stufen Datenverlust als sehr wichtiges Geschäftsthema ein

· Trotzdem haben nur 33 Prozent der Befragten bereits heute Schutzfunktionalitäten gegen Datenlecks implementiert

Sind Unternehmen für Web 2.0 vorbereitet?

Die Studie hat eine erstaunliche Diskrepanz zwischen dem Grad der Beunruhigung um Security Threats und der Zahl der Unternehmen ergeben, die schon gut vorbereitet sind - oder sich selber für gut geschützt halten.

Während 97 Prozent der Befragten glauben, dass sie gegen web-basierte Angriffe vorbereitet sind, räumen 68 Prozent ein, dass es Raum für Verbesserungen gibt. Fragt man direkt danach, wie oft Malware Attacken stattfinden, gestehen 79 Prozent mehr als unregelmäßiges Auftreten von Malware, wobei Virusangriffe und Spyware zu den Hauptproblemen zählen.

"Das Internet ist heute von Bedrohungen wie Phishing, Virus, Spyware und Botnets belagert, die alle eine große Herausforderung für die Ausführung der Geschäftsprozesse darstellen", so die Studie. "Es geht darum, unangebrachte Inhalte aus dem Unternehmensnetzwerk fernzuhalten, die Verwendung von Anwendungen, die große Bandbreiten erfordern für nicht geschäftliche Zwecke zu reduzieren und das Risiko von Internetbedrohungen zu minimieren. Genau diese Anforderungen bedeuten einen Wachstumsmarkt für die Webfiltering Industrie. Der Bedarf an effektivem Schutz des Web war nie größer."

Empfehlungen basierend auf den Studienergebnissen:

In Anbetracht der hohen Komplexität der augenblicklichen Threats und der technologischen Umgebungen empfehlen Forrester und Secure Computing Unternehmen, über eine einfache Filterlösung hinauszuplanen und folgende Punkte zu beachten:

· Einsatz von so genannten "Next-Generation-Webfiltering"-Technologien mit Performance auf Unternehmensniveau, Skalierbarkeit und Management-Support. Diese "Next-Generation"-Funktionalitäten umfassen Reputationsservices, Schutz vor Blended Threats und verhaltens-basierte Erkennung von Angreifern. Zusätzlich ist die Kontrolle ausgehender Inhalte, wie Schutz vor Datenlöchern und Applikationskontrolle wesentlich.

· Überprüfung der Angemessenheit von Sicherheitsrichtlinien und Schutzfunktionalitäten. Die meisten Unternehmen vertrauen darauf, dass ihre Policies und Schutzmechanismen adäquat sind. Trotzdem haben sie Probleme mit Malware und Datenverlusten. Organisation müssen deshalb ihre Policies auf die neuesten Web-basierten Bedrohungen anpassen, insbesondere auf Threats, die durch Web 2.0 Applikationen entstehen.

· Bewusstsein der Anwender verbessern und sie gegen Web 2.0 und Web-basierte Bedrohungen schulen. Die erste Regel zur Verbesserung der Sicherheit lautet, ebenso wie die Technologien auch die Mitarbeiter und Prozesse zu berücksichtigen. Organisation sollten deshalb systematische und umfassende Trainings einführen, um die Anwender über das Ausmaß der Web Threats zu informieren.

(Secure Computing: ra)