Malware steht für IT-Sicherheitsverantwortliche an oberster Stelle der Gefährdungen für die Unternehmens-IT. Zu diesem Ergebnis kommt die aktuelle <kes>/Microsoft-Sicherheitsstudie 2014. Damit verdrängt Malware zum zweiten Mal in 28 Jahren Studiengeschichte die Bedrohungen durch "Irrtum und Nachlässigkeit eigener Mitarbeiter" auf Platz Zwei.
Darüber hinaus gaben 74 % der Studienteilnehmer an, dass sie in den letzten zwei Jahren generell von Malware-Vorfällen betroffen waren; im Vergleich zur letzten Studie vor zwei Jahren stieg der Wert um 11 %-Punkte an. Damit wurde wieder das Niveau von 2006 (72 %) und 2002 (74 %) erreicht, auch wenn der Spitzenwert von 2004 (88 %) noch unangefochten bleibt. Die mittleren bis größeren Beeinträchtigungen durch Malware (31 %) haben ebenfalls nach langer Zeit erstmals wieder etwas deutlicher zugelegt. Gleichzeitig haben aber mehr Befragte als zuvor einen Rückgang der Häufigkeit der Angriffe angegeben: Bei 67 % der Teilnehmer gab es 2013 weniger Malware-Incidents als 2012 (vorige Studie: 52 % sahen einen Rückgang von 2011 gegenüber 2010).
Die Ergebnisse legen nahe, dass die seit 2006 in den <kes>/Microsoft-Sicherheitsstudien vertretene These "erhebliches Problem, aber der viele Aufwand trägt zunehmend Früchte" zumindest für die vergangenen zwei Jahre ins Wanken gerät. Vielmehr lassen sich die aktuellen Zahlen so interpretieren, dass hier die Angreifer auf "Klasse statt Masse" setzen und bei tendenziell weiterhin rückläufigen Fallzahlen nun eine größere Zahl von Attacken wieder die Abwehr durchbricht, sodass insgesamt ein größerer Anteil der Befragten als zuvor von mindestens einem Malware-Vorfall betroffen war - und auch etwas mehr Teilnehmer nennenswerte Schäden zu verbuchen hatten.
Bei den Infektionswegen in die Unternehmen hinein liegt die E-Mail weiterhin an der Spitze, gefolgt von WWW-Inhalten, die eine Infektion über aktive Inhalte oder "Drive-by"-Attacken bewirken. Speichermedien (+8 %-Pkt. "nie") und Internet-Würmer (+7 %-Pkt. "nie") waren hingegen seltener ein Problem.
Weitere Ergebnisse der Studie in Kurzform:
- Erneut war mehr als die Hälfte der Befragten mutmaßlich Opfer von Vertraulichkeitsbrüchen - als wichtigste Ursache trat die neue Kategorie "Datenlecks/Probleme bei Partnern" auf, gefolgt vom Verlust und Diebstahl von Speichermedien sowie mobilen Systemen.
- Die schlechteste Sicherheitseinschätzung erhalten erneut mobile Endgeräte (Smartphones, Tablets & Co.) sowie Speichermedien - industrielle IT-Systeme liegen auf dem Niveau von Telearbeitsplätzen.
- Über 80 % der Teilnehmer besitzen eine schriftliche Strategie zur Informations-Sicherheit - die Bereitschaft, Konzepte und Maßnahmen schriftlich zu fixieren, nimmt erneut zu.
- Die organisatorische Umsetzung von Policies in die Praxis nennt erneut fast ein Viertel nicht oder gerade einmal ausreichend - im Mittel ergibt sich eine "befriedigende" Umsetzung.
- Verstöße gegen Gesetze, Vorschriften und Verträge bleiben wichtigstes Kriterium zur Risikobewertung - etwa ein Viertel verzichtet weiterhin auf eine Risikoklassifizierung von Anwendungen und Systemen.
- ISO 2700x erhält erstmals höhere praktische Bedeutung zuerkannt als IT-Grundschutz - das deutsche Telemediengesetz erlangt höhere Aufmerksamkeit, der Umsetzungsgrad entsprechender Maßnahmen bleibt jedoch auf dem früheren Niveau.
- Es fehlt wieder häufiger an Geld/Budget, um die Informations-Sicherheit zu verbessern - häufigstes Hindernis bleibt jedoch mangelndes Bewusstsein bei Mitarbeitern.
Über die <kes>/Microsoft-Sicherheitsstudie
Die <kes>-Studien wenden sich an Menschen, die beispielsweise als IT-Sicherheitsverantwortliche, Rechenzentrumsleiter, Revisoren, Datenschutzbeauftragte oder Geschäftsführer für die Informations-Sicherheit in Behörden und Unternehmen zuständig sind. Den umfangreichen Fragebogen der nicht-repräsentativen, aber mit einer hohen Datenqualität versehenen Studie haben dieses Jahr erneut 133 Teilnehmer eingesandt. Da Organisationen, die einen Sicherheitsverantwortlichen haben und an der Studie mitwirken, tendenziell als besonders sicherheitssensitiv gelten müssen, dürfte es außerhalb der erfassten Stichprobe eher noch deutlich schlechter um die Informations-Sicherheit stehen.
Zusatzinfos/Downloads
- die vollständige tabellarischen Ergebnisse und textliche Auswertung der <kes>/Microsoft-Studie stellt der SecuMedia-Verlag Journalisten auf Anfrage gerne für weitere Recherchen zur Verfügung. Die Zugangsdaten erfragen Sie bitte telefonisch unter 06725 9304-17 oder per E-Mail von presse@kes.de. Unsere Grafiken stellen wir ebenfalls auf Anfrage gerne bereit.
- Fragebogen: www.kes.info/...
- Aufruf und weitere Infos zur Studie: www.kes.info/studie2014
Sponsoren
Hauptsponsor der Studie ist Microsoft Deutschland - weitere Sponsoren sind Applied Security, Barracuda Networks, Brainloop, Bundesdruckerei, CSC, ESET Deutschland, Jürgen Jakob Software-Entwicklung, KPMG und secunet Security Networks.
Für die technisch-organisatorische Unterstützung bedanken wir uns bei der OTARIS Interactive Services GmbH und der humanIT-Software GmbH.
Darüber hinaus gaben 74 % der Studienteilnehmer an, dass sie in den letzten zwei Jahren generell von Malware-Vorfällen betroffen waren; im Vergleich zur letzten Studie vor zwei Jahren stieg der Wert um 11 %-Punkte an. Damit wurde wieder das Niveau von 2006 (72 %) und 2002 (74 %) erreicht, auch wenn der Spitzenwert von 2004 (88 %) noch unangefochten bleibt. Die mittleren bis größeren Beeinträchtigungen durch Malware (31 %) haben ebenfalls nach langer Zeit erstmals wieder etwas deutlicher zugelegt. Gleichzeitig haben aber mehr Befragte als zuvor einen Rückgang der Häufigkeit der Angriffe angegeben: Bei 67 % der Teilnehmer gab es 2013 weniger Malware-Incidents als 2012 (vorige Studie: 52 % sahen einen Rückgang von 2011 gegenüber 2010).
Die Ergebnisse legen nahe, dass die seit 2006 in den <kes>/Microsoft-Sicherheitsstudien vertretene These "erhebliches Problem, aber der viele Aufwand trägt zunehmend Früchte" zumindest für die vergangenen zwei Jahre ins Wanken gerät. Vielmehr lassen sich die aktuellen Zahlen so interpretieren, dass hier die Angreifer auf "Klasse statt Masse" setzen und bei tendenziell weiterhin rückläufigen Fallzahlen nun eine größere Zahl von Attacken wieder die Abwehr durchbricht, sodass insgesamt ein größerer Anteil der Befragten als zuvor von mindestens einem Malware-Vorfall betroffen war - und auch etwas mehr Teilnehmer nennenswerte Schäden zu verbuchen hatten.
Bei den Infektionswegen in die Unternehmen hinein liegt die E-Mail weiterhin an der Spitze, gefolgt von WWW-Inhalten, die eine Infektion über aktive Inhalte oder "Drive-by"-Attacken bewirken. Speichermedien (+8 %-Pkt. "nie") und Internet-Würmer (+7 %-Pkt. "nie") waren hingegen seltener ein Problem.
Weitere Ergebnisse der Studie in Kurzform:
- Erneut war mehr als die Hälfte der Befragten mutmaßlich Opfer von Vertraulichkeitsbrüchen - als wichtigste Ursache trat die neue Kategorie "Datenlecks/Probleme bei Partnern" auf, gefolgt vom Verlust und Diebstahl von Speichermedien sowie mobilen Systemen.
- Die schlechteste Sicherheitseinschätzung erhalten erneut mobile Endgeräte (Smartphones, Tablets & Co.) sowie Speichermedien - industrielle IT-Systeme liegen auf dem Niveau von Telearbeitsplätzen.
- Über 80 % der Teilnehmer besitzen eine schriftliche Strategie zur Informations-Sicherheit - die Bereitschaft, Konzepte und Maßnahmen schriftlich zu fixieren, nimmt erneut zu.
- Die organisatorische Umsetzung von Policies in die Praxis nennt erneut fast ein Viertel nicht oder gerade einmal ausreichend - im Mittel ergibt sich eine "befriedigende" Umsetzung.
- Verstöße gegen Gesetze, Vorschriften und Verträge bleiben wichtigstes Kriterium zur Risikobewertung - etwa ein Viertel verzichtet weiterhin auf eine Risikoklassifizierung von Anwendungen und Systemen.
- ISO 2700x erhält erstmals höhere praktische Bedeutung zuerkannt als IT-Grundschutz - das deutsche Telemediengesetz erlangt höhere Aufmerksamkeit, der Umsetzungsgrad entsprechender Maßnahmen bleibt jedoch auf dem früheren Niveau.
- Es fehlt wieder häufiger an Geld/Budget, um die Informations-Sicherheit zu verbessern - häufigstes Hindernis bleibt jedoch mangelndes Bewusstsein bei Mitarbeitern.
Über die <kes>/Microsoft-Sicherheitsstudie
Die <kes>-Studien wenden sich an Menschen, die beispielsweise als IT-Sicherheitsverantwortliche, Rechenzentrumsleiter, Revisoren, Datenschutzbeauftragte oder Geschäftsführer für die Informations-Sicherheit in Behörden und Unternehmen zuständig sind. Den umfangreichen Fragebogen der nicht-repräsentativen, aber mit einer hohen Datenqualität versehenen Studie haben dieses Jahr erneut 133 Teilnehmer eingesandt. Da Organisationen, die einen Sicherheitsverantwortlichen haben und an der Studie mitwirken, tendenziell als besonders sicherheitssensitiv gelten müssen, dürfte es außerhalb der erfassten Stichprobe eher noch deutlich schlechter um die Informations-Sicherheit stehen.
Zusatzinfos/Downloads
- die vollständige tabellarischen Ergebnisse und textliche Auswertung der <kes>/Microsoft-Studie stellt der SecuMedia-Verlag Journalisten auf Anfrage gerne für weitere Recherchen zur Verfügung. Die Zugangsdaten erfragen Sie bitte telefonisch unter 06725 9304-17 oder per E-Mail von presse@kes.de. Unsere Grafiken stellen wir ebenfalls auf Anfrage gerne bereit.
- Fragebogen: www.kes.info/...
- Aufruf und weitere Infos zur Studie: www.kes.info/studie2014
Sponsoren
Hauptsponsor der Studie ist Microsoft Deutschland - weitere Sponsoren sind Applied Security, Barracuda Networks, Brainloop, Bundesdruckerei, CSC, ESET Deutschland, Jürgen Jakob Software-Entwicklung, KPMG und secunet Security Networks.
Für die technisch-organisatorische Unterstützung bedanken wir uns bei der OTARIS Interactive Services GmbH und der humanIT-Software GmbH.
