130207_mar_stu_isc2

Sie sind hier: Das Magazin für alle IT-Security-Themen » Markt » Studien

Rubrik: Markt/StudienVom Sicherheitsstandpunkt aus betrachtet, reagieren die Unternehmen auf BYOD derzeit mit bruchstückhaften MaßnahmenAngesichts wachsender Akzeptanz des Bring Your Own Device-Szenarios müssen Unternehmen Cloud- und Anwendungssicherheit in den Griff bekommen(07.02.13) - Unternehmensrichtlinien, die Bring Your Own Device (BYOD) unterstützen, werden weithin als Win-Win-Modell angesehen, denn damit lassen sich Anwendererfahrungen von Mitarbeitern verbessern und IT-Kosten reduzieren. Dies zeigen Ergebnisse der Global Information Security Workforce Study 2013 von (ISC) , die das Analystenhaus Frost & Sullivan im Auftrag der (ISC) Foundation durchführte. Allerdings räumen IT-Sicherheitsmanager im gleichen Atemzug ein, dass Unternehmen mehr tun müssten, um Technologien wie cloudbasierte Systeme und Anwendungen zu schützen.Bei einer Pressekonferenz, die Reed Events im Vorfeld der Information Security Europe 2013 (23.-25. April) in London veranstaltete, wurden ausgewählte Ergebnisse der (ISC) -Studie präsentiert. Die Studie beschäftigt sich mit BYOD als einem von drei revolutionären Technologietrends, die derzeit erhebliche Auswirkungen auf die Praxis der Informationssicherheit haben. Die 12.396 Teilnehmer der globalen Studie, von denen ein Viertel in der EMEA-Region tätig ist, ließen keinen Zweifel daran, dass BYOD mittlerweile gang und gäbe ist. 53 Prozent gaben an, dass ihr Unternehmen Anwendern also Mitarbeitern und Geschäftspartnern aktiv gestatte, ihre eigenen Geräte mit dem Unternehmensnetzwerk zu verbinden. Ähnlich hoch (54 Prozent) ist der Prozentanteil der Befragten, die BYOD als zunehmend wichtigen Faktor bei der Aus- und Weiterbildung in IT-Sicherheitsberufen betrachten.Die Sicherheitsverantwortlichen befürchten allerdings, dass die Unternehmen nicht auf die Risiken vorbereitet sind, die dieser Trend aufwirft. 78 Prozent sind der Meinung, dass BYOD ein relativ großes oder sehr großes Risiko birgt. Im Vergleich zur Studie aus dem Jahr 2011 ist die Besorgnis demnach offenbar gewachsen: Damals hatten 68 Prozent der Befragten die Verwendung von eigenen Mobilgeräten im Unternehmen als erhebliches Risiko bezeichnet.Fast zwei Drittel der Befragten (74 Prozent) wiesen zudem darauf hin, dass neues Sicherheits-Know-how erforderlich sei, um den Sicherheitsrisiken im Zusammenhang mit BYOD Herr zu werden. Am größten war die Besorgnis im Hinblick auf die Anwendungssicherheit (72 Prozent) und Cloud-Computing (70 Prozent), das im Bereich Geschäftssysteme ebenfalls zunehmend an Bedeutung gewinnt. Weitere 66 Prozent waren der Ansicht, dass Unternehmen den Auswirkungen mehr Beachtung schenken müssten, die der Trend zum BYOD auf die Compliance-Anforderungen hat.Lesen Sie zum Thema "Compliance" auch: Compliance-Magazin.de (www.compliancemagazin.de )Unternehmen neigen eher dazu, benutzereigene Smartphones (87 Prozent) und Tablets (79 Prozent) im Unternehmensnetz als Notebooks (72 Prozent) zuzulassen. Dabei unterstützen sie zahlreiche Plattformen, allen voran iOS (84 Prozent), dicht gefolgt von Android (75 Prozent), aber auch RIM Blackberry/QNS (62 Prozent) und Windows Mobile (51 Prozent)."Erlaubt oder nicht, benutzereigene Tablets und Smartphones werden in Unternehmensnetzwerke und Cloud-Umgebungen eingebunden", sagt Michael Suby, Stratecast VP of Research bei Frost & Sullivan. "Darüber hinaus tragen die Fähigkeiten der Geräte wie z.B. Dual-Core-Prozessoren und Multi-Gigabyte Speicher dazu bei, das Risiko, dass diese Geräte für Unternehmensressourcen und sensible Informationen darstellen zu erhöhen. Die gute Nachricht ist, dass IT-Sicherheitsexperten eine wachsende Anzahl an Sicherheitstechnologien nutzen, um dieses Risiko einzudämmen.""Die Gespräche während unserer regelmäßigen Chapter-Veranstaltungen in Deutschland bestätigen den in der Studie festgestellten Trend. BYOD und das Thema Consumerization of IT gehören auch hierzulande zu den Herausforderungen, den sich IT-Sicherheitsexperten stellen müssen", stellen Rainer Rehm, 1. Vorsitzender des(ISC) Chapter Deutschland e.V. und Hubertus Storck, Stellvertretender Vorsitzender des (ISC) Chapter Deutschland e.V. und Leiter der Region West fest. Eine besondere Herausforderung bei der Einführung von BYOD sieht auch Günter Aigle, Schriftführer des (ISC) Chapter Deutschland e.V. und Sicherheitsberater: "Eine Einführung von BYOD ohne eine auf die Firma zugeschnittene Policy und ein entsprechendes Sicherheitsbewusstsein bei den Anwendern ist schwer denkbar. Hier machen insbesondere die Datenschutzgesetzte in Deutschland entsprechende Regelungen unabdingbar."Die Geschäftstreiber, die als Motivation für die Einführung von BYOD angegeben wurden, rücken den Anwender ins Zentrum der IT-Strategie. Der Wunsch zur Verbesserung des Endnutzererlebnisses wurde fast ebenso häufig genannt (60 Prozent) wie die geschäftliche Notwendigkeit, eine mobile Belegschaft zu unterstützen (64 Prozent). Eine erhebliche Anzahl von Befragten (44 Prozent) führte auch das Ziel an, die Betriebsausgaben und Kosten für den Endanwender-Support zu senken. Weit weniger häufig wurde dagegen der Wunsch genannt, die Kosten für IT-Bestände zu reduzieren (21 Prozent)."Vom Sicherheitsstandpunkt aus betrachtet, reagieren die Unternehmen auf BYOD derzeit mit bruchstückhaften Maßnahmen, die auf den Endpunkt fokussieren, statt ihre Geschäftsdaten und Assets zu schützen", erklärte Wim Remes, Mitglied des Board of Directors von (ISC) , mit Blick auf die implementierten technischen Lösungen, die in der Studie genannt werden.Die wichtigsten Technologien zur Risikominderung, die die Befragten anführten, sind Verschlüsselung, Virtual Private Networks sowie Funktionalitäten zur Sperrung und Löschung aus der Ferne. Weniger als die Hälfte der Befragten arbeiten mit Zugriffskontrolle für Anwendungen (42 Prozent) oder Authentifizierung (40 Prozent), also grundlegenden Kontrollmaßnahmen, die in der traditionellen IT-Infrastruktur verwendet werden."Für IT-Abteilungen kann dies eine Chance sein, wirklich die Funktion eines Business Enablers zu übernehmen. Wenn man das Thema richtig angeht und den Fokus auf die Daten richtet, kann BYOD die Sicherheit sogar erhöhen und ein Unternehmen in die Lage versetzen, ein Wettbewerbstempo vorzulegen, von dem vor einem halben Jahrzehnt noch niemand zu träumen gewagt hätte", schloss Remes, der die Ergebnisse bei der Pressekonferenz präsentierte.Im März wird die (ISC) Foundation den vollständigen Bericht zur (ISC) Global Information Security Workforce Study 2013 als Ressource für die Branche veröffentlichen. Die Studie basiert auf den Ergebnissen einer im Herbst 2012 durchgeführten Branchenumfrage. Sie ist insofern einzigartig, als sie das Augenmerk auf Themen richtet, die für die Sicherheitsberufe relevant sind, anstatt auf generelle Marktentwicklungen oder Sicherheitsverletzungen. Die Umfrageteilnehmer kamen aus mehr als XX Ländern weltweit. Ihre Antworten geben Einblick in das sich wandelnde Profil des Sicherheitsberufs, Bedürfnisse im Bereich Aus- und Weiterbildung, Gehaltsniveaus, Einstellungen und Entwicklungen im Hinblick auf das Risikomanagement sowie die Auswirkungen, die wichtige Trends bei den Geschäftssystemen auf das Sicherheitsmanagement haben. ((ISC) : ra)

Besuchen Sie SaaS-Magazin.de

SaaS, On demand, ASP, Cloud Computing, Outsourcing >>>

Kostenloser Newsletter

Werktäglich informiert mit IT SecCity.de, Compliance-Magazin.de und SaaS-Magazin.de. Mit einem Newsletter Zugriff auf drei Online-Magazine. Bestellen Sie hier

Fachartikel

Grundlagen

Big Data bringt neue Herausforderungen mit sich

Die Digitale Transformation zwingt Unternehmen sich mit Big Data auseinanderzusetzen. Diese oft neue Aufgabe stellt viele IT-Teams hinsichtlich Datenverwaltung, -schutz und -verarbeitung vor große Herausforderungen. Die Nutzung eines Data Vaults mit automatisiertem Datenmanagement kann Unternehmen helfen, diese Herausforderungen auch mit kleinen IT-Teams zu bewältigen. Big Data war bisher eine Teildisziplin der IT, mit der sich tendenziell eher nur Großunternehmen beschäftigen mussten. Für kleinere Unternehmen war die Datenverwaltung trotz wachsender Datenmenge meist noch überschaubar. Doch die Digitale Transformation macht auch vor Unternehmen nicht halt, die das komplizierte Feld Big Data bisher anderen überlassen haben. IoT-Anwendungen lassen die Datenmengen schnell exponentiell anschwellen. Und während IT-Teams die Herausforderung der Speicherung großer Datenmengen meist noch irgendwie in den Griff bekommen, hakt es vielerorts, wenn es darum geht, aus all den Daten Wert zu schöpfen. Auch das Know-how für die Anforderungen neuer Gesetzgebung, wie der DSGVO, ist bei kleineren Unternehmen oft nicht auf dem neuesten Stand. Was viele IT-Teams zu Beginn ihrer Reise in die Welt von Big Data unterschätzen, ist zum einen die schiere Größe und zum anderen die Komplexität der Datensätze. Auch der benötigte Aufwand, um berechtigten Zugriff auf Daten sicherzustellen, wird oft unterschätzt.

Bösartige E-Mail- und Social-Engineering-Angriffe

Ineffiziente Reaktionen auf E-Mail-Angriffe sorgen bei Unternehmen jedes Jahr für Milliardenverluste. Für viele Unternehmen ist das Auffinden, Identifizieren und Entfernen von E-Mail-Bedrohungen ein langsamer, manueller und ressourcenaufwendiger Prozess. Infolgedessen haben Angriffe oft Zeit, sich im Unternehmen zu verbreiten und weitere Schäden zu verursachen. Laut Verizon dauert es bei den meisten Phishing-Kampagnen nur 16 Minuten, bis jemand auf einen bösartigen Link klickt. Bei einer manuellen Reaktion auf einen Vorfall benötigen Unternehmen jedoch circa dreieinhalb Stunden, bis sie reagieren. In vielen Fällen hat sich zu diesem Zeitpunkt der Angriff bereits weiter ausgebreitet, was zusätzliche Untersuchungen und Gegenmaßnahmen erfordert.

Zertifikat ist allerdings nicht gleich Zertifikat

Für Hunderte von Jahren war die Originalunterschrift so etwas wie der De-facto-Standard um unterschiedlichste Vertragsdokumente und Vereinbarungen aller Art rechtskräftig zu unterzeichnen. Vor inzwischen mehr als einem Jahrzehnt verlagerten sich immer mehr Geschäftstätigkeiten und mit ihnen die zugehörigen Prozesse ins Internet. Es hat zwar eine Weile gedauert, aber mit dem Zeitalter der digitalen Transformation beginnen handgeschriebene Unterschriften auf papierbasierten Dokumenten zunehmend zu verschwinden und digitale Signaturen werden weltweit mehr und mehr akzeptiert.

Datensicherheit und -kontrolle mit CASBs

Egal ob Start-up oder Konzern: Collaboration Tools sind auch in deutschen Unternehmen überaus beliebt. Sie lassen sich besonders leicht in individuelle Workflows integrieren und sind auf verschiedenen Endgeräten nutzbar. Zu den weltweit meistgenutzten Collaboration Tools gehört derzeit Slack. Die Cloudanwendung stellt allerdings eine Herausforderung für die Datensicherheit dar, die nur mit speziellen Cloud Security-Lösungen zuverlässig bewältigt werden kann. In wenigen Jahren hat sich Slack von einer relativ unbekannten Cloud-Anwendung zu einer der beliebtesten Team Collaboration-Lösungen der Welt entwickelt. Ihr Siegeszug in den meisten Unternehmen beginnt häufig mit einem Dasein als Schatten-Anwendung, die zunächst nur von einzelnen unternehmensinternen Arbeitsgruppen genutzt wird. Von dort aus entwickelt sie sich in der Regel schnell zum beliebtesten Collaboration-Tool in der gesamten Organisation.

KI: Neue Spielregeln für IT-Sicherheit

Gerade in jüngster Zeit haben automatisierte Phishing-Angriffe relativ plötzlich stark zugenommen. Dank künstlicher Intelligenz (KI), maschinellem Lernen und Big Data sind die Inhalte deutlich überzeugender und die Angriffsmethodik überaus präzise. Mit traditionellen Phishing-Angriffen haben die Attacken nicht mehr viel gemein. Während IT-Verantwortliche KI einsetzen, um Sicherheit auf die nächste Stufe zu bringen, darf man sich getrost fragen, was passiert, wenn diese Technologie in die falschen Hände, die der Bad Guys, gerät? Die Weiterentwicklung des Internets und die Fortschritte beim Computing haben uns in die Lage versetzt auch für komplexe Probleme exakte Lösungen zu finden. Von der Astrophysik über biologische Systeme bis hin zu Automatisierung und Präzision. Allerdings sind alle diese Systeme inhärent anfällig für Cyber-Bedrohungen. Gerade in unserer schnelllebigen Welt, in der Innovationen im kommen und gehen muss Cybersicherheit weiterhin im Vordergrund stehen. Insbesondere was die durch das Internet der Dinge (IoT) erzeugte Datenflut anbelangt. Beim Identifizieren von Malware hat man sich in hohem Maße darauf verlassen, bestimmte Dateisignaturen zu erkennen. Oder auf regelbasierte Systeme die Netzwerkanomalitäten aufdecken.

DDoS-Angriffe nehmen weiter Fahrt auf

DDoS-Attacken nehmen in Anzahl und Dauer deutlich zu, sie werden komplexer und raffinierter. Darauf machen die IT-Sicherheitsexperten der PSW Group unter Berufung auf den Lagebericht zur IT-Sicherheit 2018 des Bundesamtes für Sicherheit in der Informationstechnik (BSI) aufmerksam. Demnach gehörten DDoS-Attacken 2017 und 2018 zu den häufigsten beobachteten Sicherheitsvorfällen. Im dritten Quartal 2018 hat sich das durchschnittliche DDoS-Angriffsvolumen im Vergleich zum ersten Quartal mehr als verdoppelt. Durchschnittlich 175 Angriffen pro Tag wurden zwischen Juli und September 2018 gestartet. Die Opfer waren vor allem Service-Provider in Deutschland, in Österreich und in der Schweiz: 87 Prozent aller Provider wurden 2018 angegriffen. Und bereits für das 1. Quartal dieses Jahres registrierte Link11 schon 11.177 DDoS-Angriffe.

Fluch und Segen des Darkwebs

Strengere Gesetzesnormen für Betreiber von Internet-Plattformen, die Straftaten ermöglichen und zugangsbeschränkt sind - das forderte das BMI in einem in Q1 2019 eingebrachten Gesetzesantrag. Was zunächst durchweg positiv klingt, wird vor allem von Seiten der Bundesdatenschützer scharf kritisiert. Denn hinter dieser Forderung verbirgt sich mehr als nur das Verbot von Webseiten, die ein Tummelplatz für illegale Aktivitäten sind. Auch Darkweb-Plattformen, die lediglich unzugänglichen und anonymen Speicherplatz zur Verfügung stellen, unterlägen der Verordnung. Da diese nicht nur von kriminellen Akteuren genutzt werden, sehen Kritiker in dem Gesetzesentwurf einen starken Eingriff in die bürgerlichen Rechte. Aber welche Rolle spielt das Darkweb grundsätzlich? Und wie wird sich das "verborgene Netz" in Zukunft weiterentwickeln? Sivan Nir, Threat Analysis Team Leader bei Skybox Security, äußert sich zu den zwei Gesichtern des Darkwebs und seiner Zukunft.