120208_mar_stu_tripwire
|
Rubrik: Markt/StudienRegelmäßige Audits unerlässlich: Die Bedeutung von "IT Security Controls" wird häufig unterschätztTiefergehende Instrumente, die Schwachstellen in der IT-Security aufdecken und Abhilfe schaffen könnten, werden bisher kaum eingesetzt(08.02.12) - Die Einstellung deutscher Unternehmen zum Einsatz und zur Effektivitätsmessung von Security Controls gibt Anlass zur Sorge. Dies ist das Resümee einer kürzlich von der IDC veröffentlichten Marktuntersuchung zum "Status der IT-Security-Praxis in Deutschland".IT Security-Controls sind Maßnahmen für die Prävention, Bearbeitung und Minimierung geschäftlicher Risiken. Sie stellen die unternehmensinternen Abläufe, Policies und Technologien dar, die den reibungslosen Ablauf betrieblicher Prozesse sichern. Die Implementierung solcher Sicherheitskontrollen unterstützt Organisationen nachweislich dabei, ihre Abwehrfähigkeit gegenüber Netzwerkattacken, Datenverlust oder -diebstahl zu stärken. Dennoch werden den Untersuchungsergebnissen zufolge einige der wichtigsten Security Controls noch unterbewertet und unterschätzt.Der Studie liegt die Befragung von IT-Security-Verantwortlichen in 150 deutschen Unternehmen zugrunde. Danach erfüllen die heute in den Organisationen eingesetzten IT-Security Controls zwar gewisse Basisanforderungen wie Daten-Recovery, Malware-Abwehr oder Zugriffsmanagement. "Aber tiefergehende Instrumente, die Schwachstellen in der IT-Security aufdecken und Abhilfe schaffen könnten, werden bisher kaum eingesetzt", stellt Matthias Zacher, Senior Consultant bei IDC Deutschland, fest. Die Marktbeobachter gehen daher davon aus, dass die Bedeutung von Security Controls für die Datensicherheit und Geschäftseffizienz in vielen Organisationen noch verkannt ist. "Secure Configuration Standards", welche die Liste der am wenigsten implementierten Kontrollen anführt, sei hierfür ein gutes Beispiel, so Zacher. "Dass für diesen Bereich mehr als 41 Prozent der Befragten angeben, keinerlei Kontrollen implementiert zu haben, ist erschreckend, denn die Unternehmen müssen schlichtweg eine sichere Konfiguration der Computer und Netzwerke gewährleisten und nachweisen und auch gehärtete Systeme regelmäßig nachrüsten und updaten."Auch bei der Überwachung drahtloser (WLAN) Geräte (40,3 Prozent), beim Penetrations-Testing (36,7 Prozent) oder der Abwehr von Datenverlust (Data Loss Prevention, 22 Prozent) ist der Anteil der Unternehmen, die hier keinerlei IT-Security Controls implementiert haben, sehr hoch bis hoch. Als besorgniserregend bewertet die Studie auch, dass knapp ein Viertel der befragten Unternehmen (24 Prozent) keinerlei Qualitätsmanagement in diesem Bereich einsetzt, also die Effizienz der genutzten Security Controls gar nicht überprüft.Häufige Prüfungen (Audits) der Effektivität von IT-Security Controls sind eine entscheidende Grundlage für die Messung der Qualität einer sicheren IT-Infrastruktur. Dennoch geben knapp 73 Prozent der befragten Organisationen an, solche Prüfungen nur gelegentlich oder in großen Zeitabständen durchzuführen. Danach finden in den meisten Unternehmen (53 Prozent) derartige Audits nur einmal jährlich statt, halbjährlich führen 10 Prozent der Untersuchungsteilnehmer Audits durch und nur bei 9 Prozent der Befragten wird auf eine quartalsweise Prüfung geachtet. (Tripwire: ma) |
|