Deutschland
 

Mangelhafte Risikoeinschätzung

Deutsche Unternehmen haben ihre IT-Angriffsfläche nicht im Blick

Viele Unternehmen haben zunehmend Schwierigkeiten, ihre immer komplexer werdende IT-Angriffsfläche zu identifizieren und abzusichern. Das erschwert wiederum das komplette Risikomanagement.
Von 
CSO | 15. Juni 2022 16:38 Uhr
Viele Unternehmen halten ihre Methodik zur Risikobewertung ihrer digitalen Angriffsfläche für unzureichend.
Viele Unternehmen halten ihre Methodik zur Risikobewertung ihrer digitalen Angriffsfläche für unzureichend.
Foto: FGC - shutterstock.com

Laut einer Umfrage des Security-Anbieters Trend Micro sind 65 Prozent der deutschen Unternehmen (weltweit 73 Prozent) darüber besorgt, dass ihre digitale Angriffsfläche immer größer wird. 40 Prozent der Befragten klagen, dass diese sich "ständig verändert und unübersichtlich ist". Gerade einmal die Hälfte sieht sich in der Lage, das Ausmaß vollständig zu erfassen. Die andere Hälfte der Umfrageteilnehmer räumt ein, dass die digitale Angriffsfläche ihres Unternehmens "außer Kontrolle geraten" ist.

Die Studienergebnisse zeigen, dass die fehlende Visibilität und mangelnde Transprenz die Hauptgründe für die Schwierigkeiten sind, potenzielle Einfallstore für Hacker im Blick zu behalten. Fast zwei Drittel der Befragten geben an, tote Winkel in ihrer IT-Landschaft zu haben, die das Sicherheitsniveau verschlechtern.

Nach den Angaben der Studienautoren sind Cloud-Umgebungen in diesem Zusammenhang am meisten gefährdet. Im Durchschnitt schätzen die Befragten, dass sie nur 65 Prozent (weltweit 62 Prozent) ihrer Angriffsfläche halbwegs unter Kontrolle haben.

Globalisierung erschwert Risikobewertung

Für global agierende Unternehmen sind die Herausforderungen besonders hoch. Mehr als die Hälfte (60 Prozent in Deutschland, 65 Prozent global) aller Befragten geben an, dass ein internationales, über viele Länder hinweg angelegtes Geschäft das Risikomanagement weiter erschwert.

Zusätzlich funktioniert bei mehr als einem Viertel aller deutschen Unternehmen (27 Prozent, weltweit 24 Prozent) das Mapping der IT-Infrastruktur noch immer manuell. 28 Prozent organisieren sich darüber hinaus - unabhängig von der globalen Struktur - auf regionaler Ebene, "was zu Silobildung und weiterer Intransparenz führt", erklären die Autoren der Studie.

Mehr als die Hälfte aller weltweit befragten Unternehmen (54 Prozent) sind der Meinung, dass ihre Methodik zur Bewertung von Cyberrisiken nicht ausgereift genug ist. Die folgenden Zahlen aus Deutschland bestätigen das:

  • Nur 42 Prozent (weltweit 45 Prozent) verfügen über eine vollständig definierte Methodik zur Risikobewertung ihrer digitalen Angriffsoberfläche.

  • Knapp ein Drittel (30 Prozent, weltweit 35 Prozent) überprüft und aktualisiert das Risikoniveau einmal im Monat oder seltener.

  • Lediglich 19 Prozent (23 Prozent weltweit) analysieren ihr Risiko täglich.

Eine fundierte Risikoeinschätzung vorzunehmen, stellt deshalb die größte Herausforderung für deutsche Unternehmen dar. "Die IT-Modernisierung der vergangenen zwei Jahre war eine notwendige Reaktion auf die Pandemie. In vielen Fällen hat sie aber unwissentlich die digitale Angriffsfläche vergrößert und Bedrohungsakteuren mehr Möglichkeiten gegeben, wichtige Ressourcen zu kompromittieren", fasst Richard Werner, Business Consultant bei Trend Micro zusammen.

Nach Meinung des Experten ist ein einheitlicher, plattformbasierter Ansatz der beste Weg, um Lücken in der Visibilität zu reduzieren, Risikobewertungen zu verbessern und die Sicherheit in komplexen, verteilten IT-Umgebungen zu erhöhen.

Lesetipps: Trend-Micro-Umfrage - Millionenschäden durch Cyberangriffe auf Industrieunternehmen

DSIN-Praxisreport - Mangelhafter IT-Schutz im deutschen Mittelstand

Julia Mutzbauer ist  Editor bei CSO. Ihr Schwerpunkt ist Security.
Folgen: