Die Bedeutung von IT Security Controls wird häufig unterschätzt

Befragung von IT-Security-Fach- und Führungskräften in Deutschland / IDC: "Der Status in punkto Qualitätsmanagement ist besorgniserregend."

(PresseBox) (Portland/Oregon, ) Die Einstellung deutscher Unternehmen zum Einsatz und zur Effektivitätsmessung von Security Controls gibt Anlass zur Sorge. Dies ist das Resümee einer kürzlich von der IDC veröffentlichten Marktuntersuchung zum "Status der IT-Security-Praxis in Deutschland" (http://www.tripwire.com/de/emea/register/sind-ihre-sensitiven-daten-sicher-eine-studie-zum-status-der-it-security-praxis?Djinn=BLG).

IT Security-Controls sind Maßnahmen für die Prävention, Bearbeitung und Minimierung geschäftlicher Risiken. Sie stellen die unternehmensinternen Abläufe, Policies und Technologien dar, die den reibungslosen Ablauf betrieblicher Prozesse sichern. Die Implementierung solcher Sicherheitskontrollen unterstützt Organisationen nachweislich dabei, ihre Abwehrfähigkeit gegenüber Netzwerkattacken, Datenverlust oder -diebstahl zu stärken. Dennoch werden den Untersuchungsergebnissen zufolge einige der wichtigsten Security Controls noch unterbewertet und unterschätzt.

Bedeutung noch verkannt

Der Studie, die durch Analysten der IDC im Auftrag der auf automatisierte Security und IT-Compliance spezialisierten Tripwire Inc., (http://www.tripwire.com/de/emea/) durchgeführt wurde, liegt die Befragung von IT-Security-Verantwortlichen in 150 deutschen Unternehmen zugrunde. Danach erfüllen die heute in den Organisationen eingesetzten IT-Security Controls zwar gewisse Basisanforderungen wie Daten-Recovery, Malware-Abwehr oder Zugriffsmanagement. "Aber tiefergehende Instrumente, die Schwachstellen in der IT-Security aufdecken und Abhilfe schaffen könnten, werden bisher kaum eingesetzt", stellt Matthias Zacher, Senior Consultant bei IDC Deutschland, fest. Die Marktbeobachter gehen daher davon aus, dass die Bedeutung von Security Controls für die Datensicherheit und Geschäftseffizienz in vielen Organisationen noch verkannt ist. "Secure Configuration Standards", welche die Liste der am wenigsten implementierten Kontrollen anführt (s. Grafik I.), sei hierfür ein gutes Beispiel, so Zacher. "Dass für diesen Bereich mehr als 41 Prozent der Befragten angeben, keinerlei Kontrollen implementiert zu haben, ist erschreckend, denn die Unternehmen müssen schlichtweg eine sichere Konfiguration der Computer und Netzwerke gewährleisten und nachweisen und auch gehärtete Systeme regelmäßig nachrüsten und updaten."

Auch bei der Überwachung drahtloser (WLAN) Geräte (40,3%), beim Penetrations-Testing (36,7%) oder der Abwehr von Datenverlust (Data Loss Prevention, 22%) ist der Anteil der Unternehmen, die hier keinerlei IT-Security Controls implementiert haben, sehr hoch bis hoch (s. Grafik II.). Als besorgniserregend bewertet die Studie auch, dass knapp ein Viertel der befragten Unternehmen (24%) keinerlei Qualitätsmanagement in diesem Bereich einsetzt, also die Effizienz der genutzten Security Controls gar nicht überprüft.

Regelmäßige Audits unerlässlich

Häufige Prüfungen (Audits) der Effektivität von IT-Security Controls sind eine entscheidende Grundlage für die Messung der Qualität einer sicheren IT-Infrastruktur. Dennoch geben knapp 73% der befragten Organisationen an, solche Prüfungen nur gelegentlich oder in großen Zeitabständen durchzuführen. Danach finden in den meisten Unternehmen (53%) derartige Audits nur einmal jährlich statt, halbjährlich führen 10% der Untersuchungsteilnehmer Audits durch und nur bei 9% der Befragten wird auf eine quartalsweise Prüfung geachtet.

"Wir halten regelmäßige Effektivitätsmessungen der Sicherheitskontrollen für unerlässlich", schließt Zacher. "Denn nur dann können automatisierte Security Controls den Grad der IT-Sicherheit signifikant verbessern. Sie können außerdem sehr gezielt dort eingesetzt werden, wo Optimierungsbedarf besteht. Gezielt genutzt und regelmäßig überprüft setzen IT-Security Controls in der Regel interne Ressourcen für wichtigere Aufgaben frei und senken die Gesamtbetriebskosten für die IT-Security."

Tripwire

Tripwire ist ein führender globaler Anbieter für intelligente, automatisierte IT-Sicherheit und Compliance. Mehrere tausend Unternehmen und Behörden sichern mit den Lösungen von Tripwire ihre IT-Infrastruktur, um sensible Daten zu schützen, Compliance nachzuweisen und Ausfallzeiten bei Systemen und Services zu verhindern. Tripwire VIA(TM) ist ein umfassendes Paket aus branchenführenden Lösungen für Dateiintegrität, Richtlinien-Compliance sowie Log- und Event-Management. Tripwire VIA(TM) bietet Unternehmen die Möglichkeit zum proaktiven Nachweis kontinuierlicher Compliance, zur Risikominimierung und zur Sicherung der operativen Kontrolle durch Transparenz, Intelligenz und Automatisierung.

Mit Hauptsitz in Portland, Oregon, verfügt Tripwire über Niederlassungen in 15 Ländern weltweit. Das Unternehmen wurde kürzlich vom Portland Business Journal zur Fastest Growing Private 100 List hinzugefügt und vom Oregon Business Magazine als eines der 100 besten Unternehmen in Oregon ausgezeichnet. Weitere Informationen finden Sie unter www.tripwire.com und auf Twitter: @TripwireInc.

Diese Pressemitteilungen könnten Sie auch interessieren

News abonnieren

Mit dem Aboservice der PresseBox, erhalten Sie tagesaktuell und zu einer gewünschten Zeit, relevante Presseinformationen aus Themengebieten, die für Sie interessant sind. Für die Zusendung der gewünschten Pressemeldungen, geben Sie bitte Ihre E-Mail-Adresse ein.

Es ist ein Fehler aufgetreten!

Vielen Dank! Sie erhalten in Kürze eine Bestätigungsemail.


Ich möchte die kostenlose Pressemail abonnieren und habe die Bedingungen hierzu gelesen und akzeptiert.