Mit <kes>+ lesen

News und Produkte

News und Produkte
Lesezeit 10 Min.

Verbreitete Anweisung zum Rechtsbruch?

Über 42 % der IT- und Sicherheitsverantwortlichen weltweit sollen Sicherheitsverletzungen geheim halten, obwohl diese gemeldet werden müssten – in Deutschland ergeht an gut 35 % ein solches „Schweigegebot“. Zu diesem Ergebnis kommt zumindest der Anfang April von Bitdefender veröffentlichte Cybersecurity Assessment Report 2023, der auf einer unabhängigen und anonymen Umfrage unter mehr als 400 IT- und Cybersecurity-Experten in den USA und Europa bei Unternehmen mit 1000 oder mehr Mitarbeitern basiert.

Die Ergebnisse schwanken dabei je nach Region beträchtlich: In den befragten EU-Ländern Italien (36,7 %), Deutschland (35,3 %), Spanien (34,8 %) und Frankreich (26,8 %) ist der Anteil der Umfrage zufolge geringer als in Großbritannien (44 %). Mit 71 % gaben die IT- und Sicherheitsfachleute in den USA noch erheblich häufiger an, dass ihnen von höherer Stelle gesagt wurde, sie sollten schweigen. In Deutschland bestätigten 14,7 %, einen solchen Vorfall, den sie hätten melden müssen, tatsächlich bewusst vertraulich behandelt zu haben – in der gesamten Stichprobe war der Anteil sogar mehr als doppelt so hoch (29,9 %).

Erschreckenderweise sind Aufforderungen, meldepflichtige Vorfälle zu verschweigen, in den Segmenten „Legal“ und „Human Ressources“ überdurchschnittlich weit verbreitet: Weltweit waren dort sogar zwei Drittel der Befragten aufgefordert, vorgeschriebene Meldungen zu unterlassen.

Abbildung 1

Anweisungen zum Verschweigen meldepflichtiger Vorfälle sind weltweit keine Seltenheit

Generell hatten 52 % der Studienteilnehmer bejaht, dass es in ihrem Unternehmen in den letzten zwölf Monaten zu einer (auch nicht-meldepflichtigen) Verletzung der Datensicherheit und zur Offenlegung von Daten gekommen war. Hier liegen die USA mit 75 % ebenfalls an der Spitze – auf Rang 2 folgt Großbritannien mit 51,4 %, danach Deutschland mit 48,5 %. Angesichts der Häufigkeit von Datenschutzverletzungen und des überwältigenden Drucks, sie geheim zu halten, sehen sich IT- und Sicherheits-Experten einer schwierigen Situation gegenüber, folgert Bitdefender: Mehr als die Hälfte (55 %) der Befragten gab dann auch an, sich Sorgen zu machen, dass ihr Unternehmen aufgrund einer nicht ordnungsgemäß gehandhabten Datenschutzverletzung gerichtlich belangt werden könnte. In Deutschland teilten 45,6 % der Teilnehmer diese Befürchtung.

Größte Schwachstellen und Probleme

Die größte Gefahr sind für 53 % (57,3 % DE) der Befragten Software-Schwachstellen oder Zero-Day-Bedrohungen, dicht gefolgt von Phishing-/Social-Engineering-Bedrohungen (52 % / 57,3 % DE) sowie Angriffen auf die Software-Supply-Chain (49 % / 45,6 % DE). Ransomware steht sowohl weltweit als auch in Deutschland erst an vierter Stelle (48,5 % / 44 % DE).
43 % der IT- und Sicherheits-Profis sehen der Umfrage zufolge die größte Herausforderung darin, ihre IT-Sicherheitskapazitäten über verschiedene Umgebungen hinweg auszuweiten: on Premises, Cloud und hybrid. Ebenso Firmen, Finanzen & Fusionen viele Teilnehmer sehen in der Komplexität von Sicherheitslösungen das größte Problem. Auch in Deutschland stehen beide Herausforderungen mit jeweils 45,6 % an der Spitze. 36 % (35,3 % DE) der Befragten äußerten zudem, dass sie nicht die notwendigen Fähigkeiten hätten, um aus IT-Sicherheitsanwendungen das Optimum herauszuholen – am höchsten lag dieser Wert in Italien (49 %) und Frankreich (45 %).

Abbildung 2

Security-Mythen, die befragte IT- und Sicherheits-Profis am dringendsten gegenüber Mitarbeitern als solche entlarven würden

Die vollständige Studie, unter anderem mit weiteren Ergebnissen zur Entwicklung der Bedrohungslandschaft, zu Arbeitslast und Wechsellaune sowie Security-Response, steht über https://businessresources.bitdefender.com/bitdefender-2023-cybersecurity-assessment (Registrierung erforderlich) als 20-seitiges PDF in englischer Sprache zum kostenfreien Download bereit. (www.bitdefender.com)

„Dienst nach Vorschrift“ nach Rückkehr an den Firmenarbeitsplatz?

Im Mai hat Ivanti die Ergebnisse seiner Studie zur Realität am „Everywhere Workplace“ veröffentlicht. Der Everywhere Work Report zeichne dabei ein eher düsteres Bild der hybriden Arbeitswelt anno 2023: Denn zwischen den Erwartungen der Mitarbeiter an eine selbstbestimmte Wahl ihres Arbeitsorts und dem, was die Arbeitgeber zuzulassen gewillt sind, klafft eine gewaltige Lücke, stellt Ivanti fest. Die Folge seien Burn-out und Unzufriedenheit, die sich nicht selten in deutschen Büros in einer Verweigerungshaltung niederschlage.

Seit der vorausgegangenen Studie von 2022 sei die Zahl der Angestellten, die selbstbestimmt ihren Arbeitsort wählen wollen, konstant hoch geblieben. Die aktuelle Erhebung zeige jedoch, dass die Freiheitsgrade hierfür durch deutsche Arbeitgeber zunehmend eingeschränkt werden:

  • 71 % der Arbeitnehmer wünschen sich ein hybrides oder dezentrales Arbeitsumfeld, das sie selbst wählen können.
  • Nur 46 % der Arbeitnehmer haben aktuell allerdings tatsächlich die Möglichkeit dazu.
  • Für 23 % der deutschen Führungskräfte ist hybrides Arbeiten ein „NoGo“ und 42 % verlangen, dass Angestellte verpflichtend mindestens 3–4 Tage pro Woche im Büro sind.

Interessant sei in diesem Zusammenhang, dass eine verordnete Rückkehr ins Büro sich durchaus negativ auf die Geschäftsergebnisse der Unternehmen auswirke. In Deutschland sei dieser Effekt sogar besonders ausgeprägt: So berichtete ein Viertel der Führungskräfte hierzulande (24 %), dass ihre Umsätze zurückgegangen sind, nachdem ihre Mitarbeiter an den festen Büroarbeitsplatz zurückgerufen wurden – 22 % gaben Rückgänge der Verkaufszahlen an und immerhin 17 % erwähnen in diesem Zusammenhang eine negative Entwicklung des Aktienkurses ihres Unternehmens.

Die Gründe für diese Effekte sind sicherlich vielfältig, gibt Ivanti zu bedenken. Allerdings spiele die Einstellung der Mitarbeiter zu ihrer neuen Arbeitsrealität hierbei durchaus eine Rolle – die Studienergebnisse verdeutlichten eine nennenswerte Frustration in deutschen Büros: Jeder fünfte Angestellte (19 %) mache aktuell nur „Dienst nach Vorschrift“ – 43 % geben als Grund dafür mangelnde Motivation an. Noch prekärer sei die Situation in den IT-Abteilungen, wo sogar 60 % der Mitarbeiter „leise aufgeben“ und die Last komplizierter Tools/Systeme besonders hoch ist (vgl. Abb.).

Abbildung 3

Gründe für eine „innere Kündigung“ (weltweiter Durchschnitt)

„Wenn es um die Gestaltung des Arbeitsplatzes geht, riskieren Führungskräfte, die keine Flexibilität anbieten, dass ihr Team weniger engagiert und produktiv arbeitet“, warnt Alexander Neff, Vice President EMEA Central von Ivanti. „Die besten Fachkräfte zu gewinnen und zu halten, hat für alle Führungskräfte oberste Priorität. Tatsächlich werden Unternehmen, die eine ‚Everywhere-Work‘-Mentalität mit entsprechendem Tech-Stack leben und fördern, nachhaltige Wettbewerbsvorteile realisieren. Die Art, wie und wo Mitarbeiter ihre Arbeit erledigen wollen, hat sich grundlegend verändert, und es ist für Führungskräfte unerlässlich, kulturelle und technische Barrieren zu überwinden, um dies zu ermöglichen.“

Wie schwer dies gerade deutschen Führungskräften fällt, zeigt die Ivanti-Studie deutlich: So sagte jeder dritte Befragte der C-Ebene (34 %), dass sich Homeoffice negativ auf die Arbeitsmoral ihrer Mitarbeiter auswirke – dieser Wert liegt dabei gut doppelt so hoch wie im weltweiten Durchschnitt und fast so hoch wie in Japan, wo es allerdings noch deutlich weniger Führungskräfte gibt, die der Skepsis eine positive Bewertung entgegensetzen (vgl. Abb. S. 77).

Fragt man die Angestellten, so zeigt sich:

  • 72 % der Büroangestellten gaben an, dass sie keine negativen Auswirkungen durch hybrides Arbeiten wahrnehmen.
  • 2 % der Büroangestellten glauben, dass sie aufgrund des hybriden Arbeitens bei einer Beförderung übergangen wurden – deutlich weniger als die 9 % aus der Ivanti-Umfrage von 2022.

Die Studie verdeutlicht das aktuelle Spannungsfeld, in dem sich Unternehmen weltweit, gerade aber auch in Deutschland befinden: Die Arbeitnehmer wünschen sich ein Mitspracherecht zur Frage, an welchem Ort sie arbeiten. Doch kommen ihnen die Arbeitgeber kaum entgegen und betrachten das Homeoffice vielfach immer noch als ein vorübergehendes Phänomen. Auch die aktuell auf politischer Ebene diskutierte Einführung einer 4-Tage-Woche ist übrigens laut Ivanti für deutsche Unternehmen kein Thema: 87 % der Firmen verfolgen demnach keine Pläne für deren Einführung.

Für die Studie wurden weltweit 8400 Büroangestellte, IT-Fachleute und Führungskräfte befragt, 1300 davon aus Deutschland. Der vollständige „Bericht 2023: Eine bessere Zukunft der Arbeit von jedem Ort aus“ ist unter www.ivanti.com/de/lp/solutions/assets/s1/2023-everywhere-work-report als 26-seitiges PDF auf Deutsch kostenfrei (Registrierung erforderlich) verfügbar. (www.ivanti.de)

Abbildung 4

Einschätzung der Folgen von Remote-Arbeit durch Führungskräfte im internationalen Vergleich

Firmen, Finanzen & Fusionen

Dell und NVIDIA kündigen KI-Projekt an: Gemeinsam wolle man Unternehmen dabei unterstützen, generative KI-Modelle selbst zu erstellen und zu betreiben. Project Helix solle dazu den kompletten Lebenszyklus generativer KI abbilden: von der Provisionierung der Infrastruktur, über Modellierung, Training, Feinabstimmung, Anwendungsentwicklung und -bereitstellung bis hin zur Bereitstellung der Inferenz und Rationalisierung der Ergebnisse. Mit sogenannten Validated Designs sollen Unternehmen schnell und einfach passende On-Premises-Infrastrukturen für generative KI aufbauen können. (www.delltechnologies.com / www.nvidia.com)

Partnerschaft von DigiCert und Oracle: Im Rahmen der Zusammenarbeit sei die Digital-Trust-Plattform DigiCert ONE nunmehr in der Oracle Cloud Infrastructure (OCI) verfügbar. Zukünftig wollen beide Unternehmen ihre Zusammenarbeit bei der Integration von DigiCert-Lösungen in die OCI-Umgebung weiter ausbauen. (www.digicert.com / www.oracle.com/cloud/)

Informationsaustausch für KRITIS: Das als GitHub-Community-Projekt konzipierte Emerging Threat Open Sharing (ETHOS) soll als Open-Source-basierte, herstellerunabhängige Technologieplattform für den branchenübergreifenden Austausch anonymer Frühwarninformationen mit Gleichgesinnten und Regierungen dienen. Die Gründungsmitglieder sind 1898 & Co, ABS Group, Claroty, Dragos, Forescout, NetRise, Network Perception, Nozomi Networks, Schneider Electric, Tenable und Waterfall Security. Anträge auf eine allgemeine Mitgliedschaft sollen noch im Juni 2023 verfügbar sein. (www.ethos-org.io)

F-Secure kauft Geschäftsbereich „Consumer Mobile Security“ von Lookout: Die Akquisition ergänze das Produktangebot für Endverbraucher um eine Vielzahl von Funktionen für Geräte vom Desktop bis zum Mobiltelefon. Lookout wolle sich hingegen nun zu einem reinen Anbieter für Security in Unternehmen entwickeln und sein Kerngeschäft auf die Bereiche Mobile-Endpoint-Security (MES), die cloudnative Lösung Security Services Edge (SSE) und die Lookout Cloud Security Platform konzentrieren. (www.f-secure.com / www.lookout.com)

NTT und Cisco starten „IoT as a Service“ für Unternehmen: Aufgrund der erweiterten Zusammenarbeit sei NTT in der Lage, Hunderte von Anwendungsfällen in Branchen wie dem Gesundheitswesen, der Fertigung und dem Transportwesen zu beschleunigen. Die Partner wollen gemeinsam Lösungen anbieten, die NTTs Managed-Services-Expertise, Automatisierungsfähigkeiten am Netzwerkrand und das Management komplexer IT-Umgebungen mit den IoT-Möglichkeiten von Cisco, einschließlich Low-Power-Wide-Area-Networking (LoRaWAN), kombinieren. (https://services.global.ntt / www.cisco.de)

Qualys und Cowbell erweitern Kooperation: Der Anbieter von Cyber-Versicherungen nehme einen Echtzeit-Angriffsflächen-Intelligence-Feed von Qualys’ External Attack Surface Management (EASM) in seinen Service auf, um das Risiko von Kunden für Cyber-Versicherungszwecke genauer und kontinuierlicher analysieren zu können. Die Bewertung der externen Angriffsfläche stehe auch Interessenten zur Verfügung, die eine eigenständige Cyber-Versicherung über Cowbell abschließen möchten. Darüber hinaus könnten Versicherungsnehmer integrierte Konnektoren für VMDR, Compliance und Containersicherheit über die Cowbell-Plattform aktivieren und sich so Prämiengutschriften sichern. (www.qualys.com / https://cowbell.insure)

Nozomi Networks und Thales kooperieren: Ziel der Partnerschaft sei es, Betreibern kritischer Infrastrukturen „eine Reihe fortschrittlicher Tools für die Kontrolle ihrer Produktionsanlagen und Industrieanlagen zur Verfügung zu stellen“. Auf Basis eines Managed Services solle so eine frühzeitige Erkennung von Cybervorfällen im Netzwerkverkehr möglich werden. (www.nozominetworks.com / www.thales.de)

Saarbrücken sucht neue Wege zur künstlichen Intelligenz (KI): KI-Anwendungen wie ChatGPT beeindrucken zwar ihre Nutzer, bergen aber auch viele Risiken – und nicht einmal die Entwickler wissen, wieso ihre Systeme bestimmte Fehler machen, da sie zu komplex und intransparent sind. An einem neuen Graduiertenkolleg der Saarbrücker Informatik sollen nun Ansätze entwickelt werden, um mehr Verständlichkeit und Vertrauen in die KI zu bringen. Die Deutsche Forschungsgemeinschaft (DFG) fördert das Vorhaben die nächsten fünf Jahre mit rund 7,5 Mio. €. (www.uni-saarland.de / www.dfg.de)

Sophos mit dediziertem MDR-Service-Team in Deutschland: Die neuen Bedrohungsexperten für die Managed-Detection-and-Response-(MDR)-Services, die auch Telemetriedaten von Drittanbietern aufnehmen und auswerten sollen, stünden im Einklang mit einem Wachstum des Kundenstamms um 33 % in den ersten sechs Monaten nach Angebotsstart. Die Spezialisten seien darauf geschult, jeden Schritt von Cyberangriffsketten zu erkennen, zu unterbrechen und abzuwehren, bevor Eindringlinge Daten stehlen oder Ransomware ausführen könnten. (www.sophos.de)

Strategische Partnerschaft von Tenable und Splunk: Eine Kombination der Erkenntnisse aus dem Management von Schwachstellen durch Tenable mit den Log- und Flow-Konsolidierungsfunktionen von Splunk vereinfache die Priorisierung von Risiken und beschleunige die Reaktionen auf Bedrohungen, was letztendlich das gesamte Geschäftsrisiko reduziere. Verbesserte Workflows und Funktionen stünden bestehenden Tenable- und Splunk-Kunden seit Ende Mai zur Verfügung. (www.tenable.com / www.splunk.com)

Zusammenarbeit von VNC und SDM Tech: Beide Schweizer IT-Unternehmen zählen sich zu den Open-Source-Protagonisten und wollen künftig sowohl auf technischem Gebiet bei der Interoperabilität ihrer Software-Stacks als auch bei Business-Development, Marketing und Vertrieb von Lösungen für sichere mobile Kommunikation und Kollaboration kooperieren. aboration kooperieren. (www.vnc.biz / www.sdm.tech)

Diesen Beitrag teilen: