04. Okt. 2018

Malware schafft den Hattrick

Als Top-Gefährdung, der man die höchste Aufmerksamkeit schenken muss, gilt den Teilnehmern der diesjährigen <kes>/Microsoft-Sicherheitsstudie erneut die Malware. Damit bleiben Viren, Würmer und Trojanische Pferde erstmals in der Geschichte der <kes>-Studien dreimal hintereinander auf Rang eins vor dem Dauerbrenner „Irrtum und Nachlässigkeit eigener Mitarbeiter“.

Auf den Rängen drei bis sechs rangiert die typische Verfolgergruppe der letzten Dekade: „Mängel an der Dokumentation“ (Rang 3), „Hacking“ (Rang 4) und „Software-Mängel/ -Defekte“ (Rang 5). Die Gefahr durch Hacking bewerten die Studienteilnehmer im Vergleich zur letzten Studie damit deutlich niedriger (-0,11 Prioritätspunkte). Insgesamt liegt das Hacking damit nahe am Mittelwert der Studien von 2008 bis 2016 (0,60 Prio-Pkt.).

Malware-Schäden

Darüber hinaus gaben 67 % der Studienteilnehmer an, dass sie in den letzten zwei Jahren generell von Malware-Vorfällen betroffen waren; im Vergleich zur letzten Studie sank der Wert um 8 %-Punkte. Wie üblich, traf es die Großen häufiger, wobei in dieser Teilmenge der Wert im Vergleich zur vorigen Erhebung sogar wieder stieg (90 %, 2016: 83 %, 2014: 89 , 2012: 77 %, 2010: 71 %) – bei den jetzt befragten KMU waren indessen nur noch 43 % generell von Malwarevorfällen betroffen (2016: 67 %, 2014: 58 %, 2012: 53 %, 2010: 58 %). Konsequenterweise berichtete denn auch die Mehrheit dieser KMU von einer abnehmenden Tendenz der Vorfälle: Nur 38 % der Teilmenge haben 2017 mehr Vorfälle mit Malware registriert als im Jahr zuvor. Anders sah das bei den „Großen“ aus, wo 82 % von einer weiteren Verschärfung der Lage sprachen.

Hindernisse für bessere Informationssicherheit

Fragt man die Sicherheitsverantwortlichen nach den schlimmsten Hindernissen für eine Verbesserung der Informations-Sicherheit, steht erneut fehlendes Bewusstsein bei den Mitarbeitern ganz oben auf der Liste – 71 % der Befragten haben das moniert, womit fast wieder der Negativrekord der vorigen Studie (72 %) erreicht wurde. Historisch schlecht ist sogar das Ergebnis des weiterhin auf Platz zwei folgenden Problems von zu wenig Bewusstsein und Unterstützung im Top-Management: 62 % der Teilnehmer haben das als drastische Behinderung angesehen – damit wird der vormalige Negativrekord von 1992 um ganze 5 %-Punkte überboten. Auch wenn angesichts der kleinen Stichprobe dieser Studie hier besondere Vorsicht vor Verallgemeinerungen angebracht ist, erscheinen diese Werte doch sehr bedenklich. Gleiches gilt für den ungewohnt hohen Anteil der Klage über einen Mangel an kompetenten und verfügbaren Mitarbeitern (Rang 3).

Weitere Ergebnisse der Studie in Kurzform:

  • Bei der Angabe der aufgetretenen Schäden erhalten Angriffe weiterhin mehr Aufmerksamkeit als „Unfälle“. Risiken durch Hard- und Softwareprobleme könnten dadurch unterbewertet sein.
  • Die Einschätzung der Sicherheit eigener Infrastruktur bleibt im Großen und Ganzen auf dem selbstkritischen Niveau von 2016 – Speichermedien erhalten weiterhin die schlechtesten Noten.
  • Vertraulichkeitsbrüche sind wieder bei mehr als der Hälfte der Befragten zu beobachten gewesen. Hinsichtlich der Ursachen bleibt Social-Engineering an erster Stelle – Datenlecks und Probleme bei Partnern sowie Verlust und Diebstahl von Systemen und Datenträgern waren seltener anzutreffen.
  • Top-Kriterium zur Risikobewertung bleiben „Verstöße gegen Gesetze, Vorschriften und Verträge“ – weiterhin gefolgt von Imageverlust sowie Schäden oder Haftungsansprüchen Dritter.
  • Die EU-Datenschutzgrundverordnung (DSGVO) erhält höchste Aufmerksamkeit und wird von nahezu allen Studienteilnehmern gekannt und als relevant für die eigene Arbeit angesehen – aber nur gut die Hälfte hat erwartet, dass Systeme und Prozesse ihres Hauses bereits zum Stichtag „compliant“ sein würden.
  • Nur bei weniger als einem Fünftel der Befragten gab es in den vorausgegangenen zwei Jahren keinerlei Awareness-Trainings oder -Maßnahmen – generell wurde wieder etwas häufiger geschult, wobei der Fokus noch stärker auf internen Aus- und Weiterbildungen lag.

 

Über die <kes>/Microsoft-Sicherheitsstudie

Die <kes>-Studien wenden sich an Menschen, die beispielsweise als IT-Sicherheitsverantwortliche, Rechenzentrumsleiter, Revisoren, Datenschutzbeauftragte oder Geschäftsführer für die Informations-Sicherheit in Behörden und Unternehmen zuständig sind. Den umfangreichen Fragebogen der nicht-repräsentativen, aber mit einer hohen Datenqualität versehenen Studie haben dieses Jahr 99 Teilnehmer eingesandt. Rund die Hälfte der ausgewerteten Fragebögen stammt aus kleinen und mittleren Unternehmen (KMU, rund 51 %). 43 % sind Organisationen ab 500 Mitarbeitern zuzuordnen und 6 % haben keine entsprechenden Angaben gemacht.

zurück