Mit <kes>+ lesen

IT-Landschaften 2018: : Lagebericht zur Informations-Sicherheit (3)

Verlässliche und neutrale Zahlen zur Informations-Sicherheit (ISi) im deutschsprachigen Raum sind selten – konkrete Angaben zu aufgetretenen Schäden und Budgets erst recht. Die Grundlage für die hier vorliegenden Daten haben die Teilnehmer an der diesjährigen /Microsoft-Sicherheitsstudie im Rahmen einer selbstkritischen Bestandsaufnahme durch ihre Arbeit mit dem Studien-Fragebogen gelegt.

Allgemein
Lesezeit 17 Min.
Lagebericht zur Sicherheit
Lagebericht zur Sicherheit

Für die diesjährige / Microsoft-Studie haben wir 99 verwertbare Fragebögen erhalten – damit bleibt die Teilnehmerzahl deutlich unter den vorigen Erhebungen zurück (s. a. Schlussbemerkung auf S. 69 sowie Beitrag auf S. 73). Umso mehr bedanken wir uns für die umfassenden und vertrauensvollen Angaben der Studienteilnehmer sowie die Unterstützung durch Sponsoren und Partner! Erneut stammt rund die Hälfte der ausgewerteten Fragebögen aus kleinen und mittleren Unternehmen (KMU, rund 51 %). 43 % sind Organisationen ab 500 Mitarbeitern zuzuordnen und 6 % haben keine entsprechenden Angaben gemacht. Der dritte und letzte Teil der Auswertung behandelt konkrete Sicherheitsmaßnahmen sowie genutzte Dienstleistungen (Beratung, Outsourcing usw.).

Maßnahmen

Die Antworten der Teilnehmer zu einer Reihe realisierter, geplanter beziehungsweise nicht vorgesehener Sicherheitsmaßnahmen auf Servern, Clients und mobilen Systemen zeigt Tabelle 1. Aufgrund der stark abweichenden Stichprobengröße sind Vergleiche dieser Ergebnisse mit der vorigen Studie heikel und kaum als Trend zu interpretieren – auch wenn die meisten Antworten nur geringe Schwankungen im üblichen Rahmen zeigen, könnten doch auch größere Unterschiede in der Planung und Umsetzung einzelner Maßnahmen auf die konkrete Zusammensetzung der aktuellen Stichprobe zurückzuführen sein. Die deutlichsten Abweichungen sollen hier dennoch kurz aufgeführt werden.

So sind bei den Teilnehmern dieser Studie realisierte „sonstige Maßnahmen gegen Hardware-Diebstahl“ bei Servern und zentraler IT deutlich seltener zu finden als in der Stichprobe von 2016 (–18 %-Pkt.) – im Bereich von Clients und mobilen Systemen hingegen fast gleich oft (–2 %-Pkt. / –1 %-Pkt.). In Sachen Überspannungsschutz sind zentrale Systeme und Server sogar minimal häufiger gesichert als 2016 (je +1 %-Pkt.) – bei den Endpunkten sind solche Maßnahmen in der aktuellen Erhebung jedoch deutlich seltener realisiert: –20 %-Punkte bei Strom-, –17 %-Punkte bezüglich Daten- und TK-Leitungen bei ortsfesten Clients, je –8 %-Punkte bei mobilen Systemen.

Die auffälligsten Zuwächse realisierter Maßnahmen zeigten sich bei der biometrischen Authentifizierung mobiler Systeme (+16 %-Pkt.) sowie der vollständigen oder partitionsweisen Verschlüsselung von Festplatten und eingebauten Speichern (+10/+14/+15 %-Pkt.).

Die am häufigsten in Planung befindliche Sicherheitsmaßnahme der aktuellen Stichprobe war ein zentralisiertes Schwachstellen-Management (Vulnerability-Mgmt.), dass bei 29 % der Teilnehmer zentral (bzw. für Server), bei 22 % für Clients/Endstellen und bei 25 % für mobile Systeme implementiert werden soll – auch Identity- und Access-Management (IAM) hat offenbar noch viel Potenzial (bei 23/20/25 % „geplant“).

Nachholbedarf sehen die Studienteilnehmer vor allem auf Endpunkten und mobilen Systemen bei der Verschlüsselung mobiler Speichermedien (10/24/21 % „geplant“) sowie von E-Mails (18/22/20 % „geplant“). Auch Data-Leakage/LossPrevention (DLP) sowie zentralisiertes System-/Configuration-Management (CMDB) hat in bestimmten Bereichen noch mehr als jeder fünfte Befragte in Planung.

Am wenigsten gefragt sind – wenig überraschend – weiterhin Schutzmaßnahmen gegen kompromittierende Abstrahlung (Tempest, 85/97/95 % „nicht vorgesehen“), doch auch Chipkarten und Hardware-Token zur Authentifizierung, biometrische Verfahren, Sprachverschlüsselung für Telefonate und Digital-/Enterprise-Rights-Management (DRM/ERM) haben in vielen Organisationen keinen guten Stand.

Tabelle 1: Realisierte und geplante Sicherheitsmaßnahmen
Tabelle 1: Realisierte und geplante Sicherheitsmaßnahmen

In Sachen „Backup“ wiederholt diese Studie das erstaunliche Bild der vorigen Erhebung: Nur 77 % der Teilnehmer (2016: 76 %) gaben an, auf mindestens einer Ebene eine Datensicherung „realisiert“ zu haben – bei 14 % hieß es sogar in allen drei Kategorien (Server/Clients/Mobilgeräte), Backupmechanismen seien „nicht vorgesehen“ (2016: 13 %). An dieser Stelle kann man nur wiederholen, dass statt einer klassischen Datensicherung in diesen Organisationen hoffentlich andere Maßnahmen dafür sorgen, dass Daten bei Unfällen oder Angriffen nicht unwiederbringlich verloren gehen.

Vertraulichkeit und Netznutzung

Bei 83 % der Befragten erfolgt eine Klassifikation von Daten hinsichtlich ihrer Sensitivität (z. B. als geschäftskritisch, vertraulich, Verschlusssache usw.); 7 % konnten dabei auf automatisierte Verfahren zurückgreifen, bei 76 % erfolgt die Kategorisierung manuell. Räumliche Bereiche, die als besonders risikobehaftet oder gefährdet klassifiziert werden (z. B. aufgrund von Publikumsverkehr, als Produktionsumgebung usw.), existieren bei 62 % der Teilnehmer.

Wo eine Klassifizierung erfolgt, werden sensitive Daten oder Systeme bei 78 % gegenüber dem restlichen Haus in der einen oder anderen Form abgeschottet. Dabei kommen weiterhin vor allem allgemeine Sicherheitssysteme (z. B. Firewalls – bei 63 %) oder Netzwerkmechanismen (VLAN, NAC usw. – bei 51 %) zum Einsatz. Spezielle Systeme für eingestufte Daten nutzen 24 %; bei 31 % gibt es eine vollständige physische Trennung vom allgemeinen Hausnetz.

Für die Überwachung und das Berechtigungsmanagement privilegierter Accounts haben 55 % der befragten Organisationen einen Security-Prozess bereits realisiert (+19 %-Pkt. ggü. der Stichprobe von 2016) – weitere 19 % planen, einen solchen zu implementieren, nur bei 26 % ist dies nicht vorgesehen (2016: 38 %).

Ohne Internetdienste geht immer weniger – das zeigt sich auch in den Antworten zu Beschränkungen der dienstlichen und privaten Nutzung am Arbeitsplatz: Ein generelles Verbot von Multimedia/„Web 2.0“, WWW und E-Mails gab es in dieser Studie überhaupt nicht mehr (2016: 9 %/1 %/1 %) und auch der Anteil der Organisationen, die entsprechende Zugriffe auf ausgewählte Arbeitsplätze (je –3 %-Pkt.) oder spezielle Mitarbeiter, Abteilungen oder Bereiche (–12/–5/–3 %-Pkt.) beschränken, fiel in der aktuellen Stichprobe deutlich geringer aus (Abb. 1).

Abbildung 1 Beschränkungen geschäftlicher und privater Internetnutzung
Abbildung 1 Beschränkungen geschäftlicher und privater Internetnutzung

Ein Berechtigungskonzept für aktive Inhalte (Javascript, ActiveX, Java, Flash usw.) im WebBrowser – etwa per IE-Zonenmodell oder URL-basierten Beschränkungen – nutzen 59 % der befragten Organisationen. Bei 73 % werden entsprechende Berechtigungen zentral gesteuert (z. B. per Gruppenrichtlinie).

Zum ersten Mal haben wir nach einer Einschätzung der Sicherheit interner Web-Anwendungen gefragt, wobei die Teilnehmer überwiegend gute Noten vergaben: Die Beschränkung der Erreichbarkeit auf das interne Netzwerk nannten 86 % „sehr gut“ oder „gut“, die Kompatibilität mit aktuellen Browsern 59 %, Verschlüsselung/Authentifizierung durch TLS-/SSL-Zertifikate 56 %, Pflege und Monitoring von Zugriffsrechten immerhin noch 50 %. Am „schlechtesten“ wurden regelmäßige Updates und Weiterentwicklung bewertet, wo 44 % „sehr gut“ oder „gut“ gaben und es im Mittel nur für eine „Drei plus“ reichte.

Hinsichtlich eines generellen Verbots privater Netznutzung landen die aktuellen Ergebnisse mit 19 % (Abb. 1) etwas unterhalb des Mittelwerts der vorausgegangenen Dekade (2016: 27 %, 2014: 18 %, 2012: 28 %, 2010: 16 %, 2008: 21 %). Die Zulässigkeit einer Verbindung privat beschaffter oder administrierter Systeme mit Unternehmenshardware oder -netzen zeigt ebenfalls ein gewohntes Bild (Abb. 2), auch wenn technische Kontrollen einer solchen Aufschaltung in der aktuellen Stichprobe seltener implementiert sind als bei den Teilnehmern der vorigen Studie.

Der – auch externe – Einsatz von IPv6 hat sich gegenüber den Ergebnissen von 2016 etwas erhöht:

Abbildung 2 Zulässigkeit und Kontrolle privater Systeme
Abbildung 2 Zulässigkeit und Kontrolle privater Systeme

Dieses Mal gaben 39 % an, das „neue“ Internetprotokoll zu verwenden (2016: 32 %, 2014: 34 %), wobei 14 % hierüber auch Verbindungen nach außen routen (2016: 8 %, 2014: 3 %). 18 % nutzen IPv6 (auch) intern, bei 16 % läuft es im Pilotbetrieb. Die Frage, ob ihre Netzwerk- und Sicherheitssysteme für den Einsatz von IPv6 bereit seien, beantworteten 56 % mit „ja“ – hinsichtlich DNSSEC waren das 51 %.

Abbildung 3 Unified Threat-Management (UTM) im Vergleich zu „Best of Breed“ (sortiert nach UTM-Vorzügen) Basis
Abbildung 3 Unified Threat-Management (UTM) im Vergleich zu „Best of Breed“ (sortiert nach UTM-Vorzügen) Basis

Sicherheits- und Datenschutz-Management

Ein Informationssicherheitsmanagementsystem (ISMS) ist bei 52 % der Befragten bereits realisiert, knapp ein Drittel plant es noch. Ebenfalls ein Drittel plant zudem die Implementierung eines Managementsystems für personenbezogene Daten – bei 39 % ist ein solches bereits im Einsatz. Die für die Studienteilnehmer wesentlichen Standards zu Konzeption und Betrieb von Security- und Datenschutz-Managementsystemen fasst Tabelle 2 zusammen.

Tabelle 2: Wesentliche Standards für Sicherheits-/Datenschutzmanagement-Systeme
Tabelle 2: Wesentliche Standards für Sicherheits-/Datenschutzmanagement-Systeme

Bei knapp der Hälfte (44 %) hatte die EU-Datenschutzgrundverordnung (DSGVO) Auswirkungen auf Managementsysteme. Dabei kam es allem voran zu vereinzelten Anpassungen von Sicherheitsmaßnahmen (58 %) und dem Neuaufbau eines Datenschutz-Managementsystems (55 %). Auch die Integration des Datenschutzes in ein ISMS war häufig zu beobachten (bei 42 %). Umfangreiche Anpassungen im ISMS wurden aufgrund der DSGVO bei 25 % notwendig.

Tabelle 3 zeigt die zusammengefassten Antworten zu getroffenen Maßnahmen zur „Situational Awareness“ und zum Erstellen eines Lagebilds – hier ergibt sich ungefähr dieselbe Situation wie in den vorausgegangenen Studien. Auch die sicherheitsbezogene Auswertung von Endgeräte-Logfiles bleibt im gewohnten Rahmen: Bei 18 % der Teilnehmer werden diese regelmäßig geprüft (2016: 16 %, 2014: 19 %, 2012: 18 %, 2010: 11 %) – bei gut der Hälfte davon sogar täglich, im Mittel circa alle 11 Tage (2016: 6,5 Tage, 2014: 10 Tage, 2012: 13,5 Tage, 2010: 5,5 Tage). Wie in der vorigen Studie wertet jedoch auch etwa jede zehnte Organisation solche Quellen überhaupt nicht aus (11 %, 2016: 12 %, 2014: 8 %, 2012: 3 %, 2010: 16 %). Bei den verbleibenden 71 % erfolgt eine anlassbezogene Auswertung.

Tabelle 3: Maßnahmen zu Lagebild und „Situational Awareness“
Tabelle 3: Maßnahmen zu Lagebild und „Situational Awareness“

Die Einschätzung der Teilnehmer, wie Unified-Threat-Management-(UTM)-Systeme im Vergleich zu einem „Best of Breed“- Ansatz abschneiden, ist Abbildung 3 zu entnehmen. Dabei sah nur ein kleiner Anteil UTM-Lösungen in Sachen Sicherheit als nachteilig an (13 % „etwas“ oder „erheblich“ schlechter – 2016: 15 %, 2014: 20 %, 2012: 19 %, 2010: 23 %). Dessen ungeachtet bleibt der Einsatz von Produkten mehrerer verschiedener Anbieter auf verschiedenen Systemen oder Netzwerksegmenten, vor allem bei Server-Betriebssystemen und Anti-Virus-Software, aus Sicherheitsgründen durchaus verbreitet (siehe Tab. 4). Ein zentrales Management-Tool zur Verwaltung heterogener Security-Systeme haben 17 % realisiert, 24 % in Planung.

Systemauswahl und -Sicherheit

Bei der Auswahl von Systemen und Lösungen für den (allgemeinen) IT-Betrieb bleibt der Preis das wichtigste Kriterium – dicht gefolgt von Aspekten der Anpassbarkeit und Sicherheit. Nur bei Securitysystemen steht – wie gehabt – die Sicherheit an erster Stelle (vgl. Abb. 4). Davon und von der Bedeutung von Sicherheits-Zertifikaten abgesehen, zeigt sich im Wesentlichen für beide Kategorien dieselbe Rangfolge der Kriterien. Die Herkunft von Anbietern aus dem deutschsprachigen Raum oder der EU rangiert weiterhin in der zweiten Tabellenhälfte, eine Entwicklung „made in Germany“ hat erneut eine ähnlich niedrige Bedeutung wie regelmäßige Newsletter. Konsequenterweise haben dieses Mal auch nur 26 % der Teilnehmer angegeben, dass in ihren Augen ein deutsches Development einen höheren Preis rechtfertigt (2016: 39 %, 2014: 34 %).

Abbildung 4: Kriterien zur Auswahl von IT-Systemen und -Lösungen (sortiert nach Wichtigkeit für allg. IT)
Abbildung 4: Kriterien zur Auswahl von IT-Systemen und -Lösungen (sortiert nach Wichtigkeit für allg. IT)

Höher im Kurs stehen da schon Sicherheits-Zertifikate, für die 66 % einen höheren Preis als angemessen ansehen. Auch in der aktuellen Stichprobe nannte sie gut ein Drittel „sehr wichtig“ für die Auswahl allgemeiner IT (34 %, 2016: 34 %, 2014: 25 %) – bei Security-Lösungen waren das sogar 62 % (2016: 60 %, 2014: 58 %).

Die Erfüllung von ISi-Anforderungen als Voraussetzung für die Inbetriebnahme von IT-Systemen und -Lösungen verifiziert in der aktuellen Stichprobe mit 56 % ein erhöhter Anteil der Befragten (2016: 44 %, 2014: 51 %, 2012: 37 %, 2010: 43 %).

Die Nutzung von OpenSource-Software (OSS) stieg ebenfalls an: Nunmehr 93 % der Befragten gaben an, dass in ihrem Haus zumindest gelegentlich OSS zum Einsatz kommt (2016: 86 %, 2014: 80 %, 2012: 84 %, 2010: 82 %) – bei 30 % ist dies „häufig“ der Fall (+1 %-Pkt.). Bei den Gründen für einen OSS-Einsatz dominieren weiterhin die Kosten (bei 66 %) – eine bessere Funktionalität nannten 45 % der Teilnehmer als Grund, bessere Interoperabilität und Sicherheit nur jeweils 29 % (Mehrfachantworten). Auch bei der Arbeit mit (Open-)Source-Code ist die Security nur selten der Treiber – Tabelle 5 fasst die Antworten der Befragten zusammen, warum und wie oft sie oder ihre Kollegen OSS-Code prüfen oder bearbeiten. Trotz geringer Neigung, OSS-Code selbst hinsichtlich seiner Sicherheit zu prüfen, sind die Befragten dieser Studie mehrheitlich der Meinung, dass solche Software sicherer ist als „Closed Source“ (58 %, 2016: 48 %, 2014: 46 %, 2012: 52 %, 2010: 43 % – vgl. Abb. 5).

Abbildung 5 Einschätzung der Sicherheit von Open-Source-Software (OSS) gegenüber Programmen mit nicht-offengelegtem Quellcode
Abbildung 5 Einschätzung der Sicherheit von Open-Source-Software (OSS) gegenüber Programmen mit nicht-offengelegtem Quellcode
Tabelle 4: Heterogenität aus Sicherheitsgründen (Multi-Vendor-Strategie)
Tabelle 4: Heterogenität aus Sicherheitsgründen (Multi-Vendor-Strategie)
Tabelle 5: Arbeit mit Open-SourceCode
Tabelle 5: Arbeit mit Open-SourceCode
Tabelle 6: Sicherheitsaspekte bei Smartphones/ Tablets von Mitarbeitern oder Partnern
Tabelle 6: Sicherheitsaspekte bei Smartphones/ Tablets von Mitarbeitern oder Partnern

Die Abbildungen 6 und 7 zeigen die jeweiligen Anteile der Studienteilnehmer, in deren Haus die angegebenen Betriebssysteme „in nennenswertem Umfang“ im Einsatz sind.

Abbildung 6: Anteil der Befragten, bei denen die genannten Betriebssysteme in „nenneswertem Umfang“ im Einsatz sind
Abbildung 6: Anteil der Befragten, bei denen die genannten Betriebssysteme in „nenneswertem Umfang“ im Einsatz sind
Abbildung 7: Anteil der Befragten, bei denen die genannten SmartphoneBetriebssysteme in „nenneswertem Umfang“ im Einsatz sind
Abbildung 7: Anteil der Befragten, bei denen die genannten SmartphoneBetriebssysteme in „nenneswertem Umfang“ im Einsatz sind

Erstmals haben wir nach einer Schätzung der durchschnittlichen Zeitspanne gefragt, die bei den Teilnehmern zwischen dem Erscheinen und einer umfassenden Verbreitung von Patches vergeht: „Normale“ Updates benötigten demnach bei Betriebssystemen im Mittel etwa drei Wochen (Median: 10 Tage – bei Anwendungen: Ø 38 Tage / 15 Tage), Security-Patches durchschnittlich etwa neun Tage (Median: 3 Tage – bei Anwendungen: Ø 14 Tage / 7 Tage). Um Versions-oder Funktions-Upgrades („Major Releases“) zu verbreiten, lassen sich die Befragten in beiden Kategorien durchschnittlich knapp drei Monate Zeit (Median: 30 Tage).

Smartphones / Tablets

Die aktuelle Stichprobe speichert deutlich häufiger schutzwürdige Daten auch auf Smartphones und Tablets (51 % realisiert oder geplant, 2016: 33 %, 2014: 41 %) oder greift hierauf online zu (65 %, 2016: 53 %, 2014: 58 %). Damit geht konsequenterweise eine gesteigerte Installation von Sicherheitssoftware einher: Eine Verschlüsselung gespeicherter Daten ist nun bei 79 % realisiert oder geplant (2016: 56 %, 2014: 65 %), Security-Suites sind bei 63 % implementiert oder vorgesehen (2016: 54 %, 2014: 62 %). Erstmals gefragt haben wir nach Lösungen zur Trennung dienstlicher und persönlicher Daten und Apps, die bei 58 % realisiert oder geplant sind (Tab. 6). Die Angaben zum zentralisierten Management mobiler Apps und Daten bleiben hingegen auf dem Niveau der vorausgegangenen Studien.

Content- und E-Mail-Sicherheit

Tabelle 7 zeigt den gewünschten Funktionsumfang bei Lösungen zur Endpoint-Security. Hier hatten die aktuellen Teilnehmer teils deutlich abweichende Prioritäten gegenüber denjenigen der vorigen Studie: Am deutlichsten war das bei Device- und Schnittstellenkontrolle sowie Data-Leak/Loss-Prevention (DLP), die mit jeweils +16 ProzentPunkten fünf beziehungsweise vier Ränge aufstiegen – auch eine zentrale Administration erzielte gesteigerte Beachtung. Applikationskontrolle, Desktop-/Client-Firewallfunktionen und Reporting-Tools blieben in etwa auf der gestärkten Position von 2016. Weniger wichtig als der vorigen Stichprobe waren den jetzigen Studienteilnehmern hingegen die Spam-Abwehr (–13 %-Pkt., –4 Ränge) sowie in geringerem Maße Anti-Spyware- und -Phishing-Funktionen sowie Inhaltsfilter.

Tabelle 7: Anforderungen an Endpoint-SecurityLösungen
Tabelle 7: Anforderungen an Endpoint-SecurityLösungen

Eine stetige Malware-Prüfung (On-Access-Scanner bzw. „Virenwächter“) haben 81 % der Teilnehmer auf PCs, Notebooks und/ oder Tablets im Einsatz (2016: 80 %, 2014: 75 %, 2012: 82 %, 2010: 83 %) – isolierte Testumgebungen zur Malware-Analyse stehen bei 46 % zur Verfügung (2016: 39 %, 2014: 46 %, 2012: 53 %, 2010: 45 %). Die Updatezyklen lagen im Mittel bei Firewalls und Gatewaysystemen sowie Mail-, File- und Applikationsservern bei gut 7 Stunden – auf PCs, Workstations und mobilen Endgeräten bei 10,5 beziehungsweise 11 Stunden. Dabei wurden bei allen Befragten dieser Stichprobe ortsfeste Systeme mindestens einmal täglich, mobile Geräte mindestens einmal alle zwei Tage aktualisiert.

Der Anteil von Spam, der die Organisationen per E-Mail erreichte, liegt im Mittel bei 33 % (2016: 37 %, 2014: 34 %) – 32 % der Teilnehmer gaben an, dass ihr Haus 50 % oder mehr Spam erhält (2016: 37 %, 2014: 26 %). Erneut beruhen dabei die weitaus meisten Angaben auf Schätzungen – nur 15 % der Befragten konnten auf ermittelte Werte zurückgreifen. Eine grafische Darstellung der gestaffelten Anworten zum Spamaufkommen zeigt Abbildung 8.

Abbildung 8: Spam-Anteil bei eingehenden E-Mails
Abbildung 8: Spam-Anteil bei eingehenden E-Mails

Bei der E-Mail-Verschlüsselung liegt der Anteil der „Kryptoverweigerer“, die auch dann nie chiffrieren, wenn der Kommunikationspartner über einen Kryptoschlüssel verfügt, mit 22 % – teils deutlich – unter den Werten der vorausgegangenen Dekade (2016: 29 %, 2014: 23 %, 2012: 32 %, 2010: 38 %, 2008: 44 %). In den Unternehmen von 70 % der Befragten würden in solchen Fällen zumindest sensitive Nachrichten verschlüsselt, bei 25 % externe und bei 18 % alle E-Mails (Mehrfachantworten).

Wie üblich sind kryptografische Signaturen etwas unbeliebter. Der Anteil derer, die grundsätzlich nicht signieren, bleibt mit 33 % jedoch auf dem relativ geringen Wert der vorigen Erhebung – beim Vorliegen von Kommunikationsschlüsseln signieren die Organisationen von 51 % der Teilnehmer nun zumindest sensitive Nachrichten, 29 % alle externen E-Mails und 37 % sogar alle E-Mails.

Eine „virtuelle Poststelle“ zur zentralen Ver-/Entschlüsselung und/ oder Signaturerstellung/-prüfung am Gateway oder auf einem Server nutzen 36 % (2016: 26 %, 2014: 23 %, 2012: 25 %, 2010: 17 %), weitere 14 % planen dies für die Zukunft. Das deutlich erhöhte Vorkommen solcher Systeme in der aktuellen Stichprobe dürfte sicherlich zum Teil auch für die gesteigerte Bereitschaft zum Einsatz von Kryptografie in der E-Mail-Kommunikation verantwortlich sein. Die – erstmals erhobenen – Erkenntnisse zur Herkunft von Zertifikaten für die Sicherung von E-Mails und Datenaustausch zeigt Tabelle 8.

Tabelle 8: Herkunft von Zertifikaten zur Sicherung von E-Mails / Datenaustausch
Tabelle 8: Herkunft von Zertifikaten zur Sicherung von E-Mails / Datenaustausch

In Sachen eingesetzter Standards baut S/MIME seinen Vorsprung weiter aus und war dieses Mal bei 80 % der Befragten im Einsatz (2016: 59 %, 2014: 67 %), während (Open)PGP nur noch bei 38 % der Teilnehmer genutzt wurde (2016: 42 %, 2014: 47 %) – 14 % nutzen (zumindest auch) sonstige Verfahren (Mehrfachantworten). Zum ersten Mal haben wir gefragt, ob in nennenswertem Umfang zum Schutz von Attachments oder beim Datenaustausch auch Lösungen auf Anwendungs- oder Dienste-Ebene zum Einsatz kommen – 76 % bejahten das: Am verbreitetsten war dabei die Archiv-Verschlüsselung (ZIP o. Ä.) bei 60 % der Teilnehmer, gefolgt von chiffrierten PDFs (35 %), verschlüsselt speichernden Cloud-Services (21 %), anderen Clouddiensten, die jedoch nur eine Authentifizierung verlangen (11 %), sowie den Schutzfunktionen für Officedateien (5 %) – ein Viertel der Teilnehmer gab zudem an, auch sonstige Verfahren einzusetzen.

Notfallvorsorge

Tabelle 9 zeigt die Existenz sowie Besonderheiten von IT-Notfall- und -Wiederanlaufplänen. Mit einem erneuten Wert von 71 % für das Vorliegen entsprechender Konzepte bleibt auch die aktuelle Stichprobe wieder am unteren Ende der Spannweite unserer Studien mit der aktuellen Formulierung dieser Frage (2016: 71 %, 2004–2014: 69–82 %). Die Angaben der Teilnehmer zu Bereitstellungen für längere Ausfälle sind in Abbildung 9 zu finden.

Tabelle 9: Existenz und Besonderheiten von IT-Notfall-/Wiederanlaufplänen
Tabelle 9: Existenz und Besonderheiten von IT-Notfall-/Wiederanlaufplänen
Abbildung 9: Bereitstellungen für längere Ausfälle
Abbildung 9: Bereitstellungen für längere Ausfälle

8 % der Befragten, die einen Recovery-Vertrag abgeschlossen haben, mussten diesen 2016/2017 auch tatsächlich in Anspruch nehmen – die Hälfte davon mehrmals. Eine Spezialversicherung hinsichtlich von IT-Risiken (z.B. Datenlöschung/- diebstahl, Betriebsunterbrechung durch Malware/Angriffe, Imageschäden, Spionage o. Ä.) haben die Organisationen von 35 % der Stichprobe abgeschlossen. Dabei musste etwa jede siebte für den Abschluss mindestens einer Versicherung ein ISi-Audit durchlaufen oder ein anerkanntes ISi-Zertifikat vorlegen – jede fünfte erhielte für solche Maßnahmen günstigere Konditionen bei mindestens einem ihrer Verträge.

Die Dokumentation für den Notfall erfolgt noch immer überwiegend mittels eines manuellen Handbuchs (bei 61 %) – onlinegestützte Handbücher sind bei 45 % bereits im Einsatz, eine Online-Anwendung etwa bei jedem Sechsten (16 %). Die Aktualisierung der Notfalldokumentation vollziehen 23 % der Teilnehmer regelmäßig (im Mittel etwa jährlich), bei 71 % passiert das anlassbezogen und 6 % aktualisieren diese wichtigen Informationen „nie“.

Ein Security-OperationsCenter (SOC) für das eigene Haus haben 12 % der Befragten realisiert, weitere 23 % in Planung (65 % „nicht vorgesehen“). Ein eigenes Computer-Emergency- oder Security-Incident-Response-Team (CERT/ CSIRT) betreiben 23 % – 41 % nutzen die Dienstleistungen eines externen Teams, wobei jedoch nur 6 % der Befragten auch kostenpflichtige Services in Anspruch nehmen.

Datenverluste und Forensik

Etwa jeder fünfte Studienteilnehmer (22 %) berichtete für den Zeitraum 2016/2017 von nennenswerten Problemen mit (zumindest zeitweise) unverfügbaren oder verlorenen Daten – die Ursachen für diese Vorkommnisse zeigt Abbildung 10, wobei die neu aufgenommene Kategorie „Ransomware“ an der Spitze steht; von „höherer Gewalt“ war dieses Mal keine Organisation betroffen.

Abbildung 10: Ursachen für Verluste oder (zumindest zeitweilige) Nichtverfügbarkeit von Nennungen
Abbildung 10: Ursachen für Verluste oder (zumindest zeitweilige) Nichtverfügbarkeit von Nennungen

Letztlich ließen sich in allen Fällen durch die eine oder andere Methode alle Daten wiederherstellen: Am häufigsten war eine Rekonstruktion aus dem Backup (bei 89 %) – 28 % der Befragten griffen auf eine manuelle Neuerfassung zurück, 11 % auf Datenrettung durch Externe und 6 % haben mit eigenen Mitarbeitern erfolgreich Datenrettungs-Tools eingesetzt (Mehrfachantworten). Tabelle 10 zeigt die geschätzten Verluste, die bei einer totalen Vernichtung aller elektronisch gespeicherten Daten zu erwarten gewesen wären.

Tabelle 10: Geschätzter Verlust bei Vernichtung aller elektronisch gespeicherten Daten (nachträgliche Staffelung)
Tabelle 10: Geschätzter Verlust bei Vernichtung aller elektronisch gespeicherten Daten (nachträgliche Staffelung)

Mindestens eine rechtliche Verfolgung eines Sicherheits-Vorfalls gab es in den Jahren 2016/2017 bei 17 % der Befragten. Wo dies nicht der Fall war, lag das bei 75 % an dem glücklichen Umstand, dass es keinerlei entsprechende Vorfälle gegeben hatte – 23 % sahen kein Verfolgungsinteresse und 2 % verzichteten mangels Wissens um Ermittlungsmöglichkeiten auf ein juristisches Nachspiel.

Dienstleistungen

Die Organisationen von 10 % der Befragten nutzen häufig externe ISi-Beratung – 46 % tun dies „gelegentlich“. Die dabei beauftragten Dienste listet Tabelle 11.

Tabelle 11: ISi-Beratung
Tabelle 11: ISi-Beratung

 Die Zufriedenheit mit den Beratungsleistungen benoteten die Studienteilnehmer im Mittel erneut knapp mit einer „Zwei minus“. Nur wenig schlechter sieht die Bewertung von Outsourcingleistungen aus, die im Mittel „Zwei bis Drei“ lautet, wobei jedoch schon etwa jeder Zehnte nur ein „ausreichend“ vergab, 2 % nannten die Outsourcingleistungen sogar „nicht ausreichend“. Generell nutzen 68 % der befragten Organisationen Outsourcing – die beauftragten Leistungen sind Tabelle 12 zu entnehmen.

Im Vergleich mit Inhouse-Lösungen schneiden externe Dienste (Outsourcing/MSS/Cloud-Services) in der aktuellen Stichprobe besser ab als zuvor: Skalierbarkeit ist weiterhin der größte Pluspunkt, wird dieses Mal aber bereits von der Sicherheit gefolgt, welche die Teilnehmer ebenfalls höher einschätzen als im Eigenbetrieb. Damit wird die höhere „Anpassbarkeit an veränderte Anforderungen“ auf den dritten Platz verdrängt. Das Kosten-Nutzen-Verhältnis liegt ebenfalls noch leicht im Plus, der Datenschutz erzielt eine neutrale Bewertung. Nur in Sachen „Transparenz/Kontrollierbarkeit“ bewerten die Teilnehmer externe Dienste mehrheitlich schlechter. Details zeigt Abbildung 11.

Abbildung 11: Externe Dienste (Outsourcing/ MSS/Cloud) im Vergleich zu Inhouse-Lösungen
Abbildung 11: Externe Dienste (Outsourcing/ MSS/Cloud) im Vergleich zu Inhouse-Lösungen
Tabelle 12: Outsourcing
Tabelle 12: Outsourcing

Service-Level-Agreements (SLAs) oder sonstige vertragliche Vereinbarungen mit Outsourcern gibt es bei 80 % der Teilnehmer – 41 % kontrollieren diese Vorgaben regelmäßig, 51 % anlassbezogen. Ebenfalls 80 % haben dabei explizite Anforderungen an den Datenschutz vorgesehen (Kontrolle: 33 %/61 %), 57 % explizite ISi-Anforderungen (Kontrolle: 39 % /54 %). Regelungen zu Haftungsübernahme oder Schadensersatz gibt es bei 56 %.

Applikationen oder Sicherheitssysteme, die auf Cloud-/WebServices zurückgreifen, sind bei ungefähr der Hälfte der Befragten im Einsatz: 38 % wissen das sicher, 15 % vermuten es – „vermutlich nicht“ sagten 9 %, 39 % waren sich sicher, dass bei ihnen keine solchen Systeme genutzt werden. Die mit derartigen Lösungen verbundene Kommunikation sowie die Weitergabe von Daten an die jeweiligen Dienstleister nannten 68 % hinreichend transparent nachvollziehbar.

Informationsquellen

Als Quelle für ISi-Informationen nutzen rund zwei Drittel der Befragten (67 %) die it-sa, 44 % den BSI-Kongress, 39 % die CEBIT, 16 % die Infosecurity in London sowie ferner 5 % die Essener Security, 4 % die RSA-Konferenz und 2 % die ISSE. Die weiteren, nachträglich kategorisierten „Top-3“-Quellen führt das Internet an (19 Nennungen), gefolgt von Fachzeitschriften (15), Verbänden und Organisationen (15), Konferenzen und Seminaren (13) sowie ferner Herstellern (7), Fachliteratur (5) und Newsletter (4).

Für aktuelle SicherheitsUpdates bleibt die aktive Information durch Hersteller knapp die erste Wahl (69 %), dicht gefolgt von der aktiven wie passiven Information durch Dritte (jeweils 65 %) sowie Informationsseiten der Hersteller (46 %) und aktive Infos durch Anbieter (Systemhäuser, Händler usw. – 40 %, Mehrfachnennungen). Die Frequenz, mit der die Befragten im Mittel passive Kanäle prüfen, illustriert Abbildung 12 – die Bewertung der Qualität von Hersteller-Advisories fasst Tabelle 13 zusammen.

Abbildung 12: Prüfung passiver Kanäle
Abbildung 12: Prüfung passiver Kanäle
Tabelle 13: Qualität von Herstellerinfos
Tabelle 13: Qualität von Herstellerinfos

Wie immer gilt: Unsere Studie ist nicht repräsentativ – weder für bestimmte Branchen noch für die gesamte Wirtschaft im deutschsprachigen Raum. Durch die von uns erreichten Zielgruppen dürfte sich die erfasste Stichprobe eher überdurchschnittlich intensiv mit der Informations-Sicherheit (ISi) auseinandersetzen. Aufgrund der dieses Mal recht geringen Teilnehmerzahl sind zudem erhöhte Schwankungen möglich. Um möglicherweise verwirrende Angaben durch Bruchteile möglichst weitgehend zu vermeiden, haben wir in der Regel auch bei kleineren Antwortzahlen zu konkreten Fragen eine Prozentuierung vorgenommen. Unter Tabellen und Grafiken ist die jeweilige Basis explizit angegeben – Studienteilnehmer finden zudem in der vollständigen tabellarischen Auswertung bei jeder Teilfrage die konkreten Antwortzahlen.

Vergleiche der Werte in abgedruckten Tabellen können aufgrund von Rundungsfehlern um ±1 %-Punkte von berechneten Vergleichen abweichen.

Diesen Beitrag teilen: