Global Headquarters: 5 Speen Street Framingham, MA USA P F

Transkript

1 Global Headquarters: 5 Speen Street Framingham, MA USA P F W H I T E P A P E R S i n d I h r e s e n s i t i v e n D a t e n s i c h e r? E i n e S t u d i e z u m S t a t u s d e r I T - S e c u r i t y - P r a x i s i n D e u t s c h l a n d Gesponsert von: Tripwire Matthias Zacher Oktober 2011 Eric Domage Basis des vorliegenden Whitepapers ist eine Befragung von IT Security Fach- und Führungskräften in Deutschland durch IDC. Diese Befragung ist im Sommer 2011 durchgeführt worden. Grundlegende Ergebnisse der Befragung sind: IT Security Verantwortliche in Deutschland verfügen über ein klar umrissenes Verständnis ihres Aufgabengebiets nämlich dem Schutz des operativen Geschäfts, der Unternehmensmarken und der Sicherung des Kundenvertrauens. Der Stellenwert von sicherheitsrelevanten Daten (persönliche Kundendaten, Finanzdaten und geistiges Eigentum) ist exakt definiert und potenzielle Geschäftsschädigungen (Verlust des Kundenvertrauens bzw. von Umsätzen sowie rechtliche Sanktionen). durch Vorkommnisse in der IT können genau eingeschätzt werden Compliance ist eines der wichtigsten und umfassendsten Themen, bei einem starken lokalen Fokus. IT Security Experten in Deutschland müssen eine ganze Reihe an gesetzlichen Anforderungen und Richtlinien berücksichtigen und verarbeiten. Allerdings zeigt die Befragung auch eine gewisse Zurückhaltung gegenüber offiziellen Audits und Prüfungen der Security Policy und flächendeckenden IT Security Controls. Die Unternehmen halten die obligatorischen gesetzlichen Regelungen ein, die Fähigkeit auf mögliche ernsthafte Zwischenfälle im Nachhinein zu reagieren ist eher schwach ausgeprägt- In den Unternehmen eingesetzte IT Security Controls erfüllen heute Basisanforderungen (Daten-Recovery, Malware-Abwehr, Accessmanagement). Aber tiefergehende Instrumente, die Schwachstellen in der IT Security aufdecken und Abhilfe schaffen könnten (Security Configuration Management, Störfallbearbeitungen, Auslastungstests) werden bisher kaum eingesetzt. Aktuelle IT Security Controls adressieren vor allem die Verbesserung von Security Skills, Audit Log Monitoring, Account Monitoring, Asset Inventory und Data Loss Prevention. Zusätzlich zur Befragung wurden Expertengespräche in Fokusgruppen geführt. Dabei zeigt sich ein einheitliches Bild der aktuellen Entwicklungen. Die befragten IT- Experten sind mit den aktuellen IT Security-Anforderungen durch das Business vertraut Das Thema Sicherheit und Compliance findet immer stärker Berücksichtigung. Dennoch scheint die IT-Sicherheit, gemessen am Grad der Automatisierung von IT Security Controls (Maßnahmen, Vorgehensweisen und IT Security Technologie), noch auf einem niedrigen Stand bei deutschen Unternehmen zu sein.

2 IDC geht davon aus, dass automatisierte Security Controls ein geeigneter Ansatz sind, wenn es darum geht, den aktuellen Level der IT-Sicherheit zu verbessern und ROI (Return-on-Investment) zu generieren. Des Weiteren können IT Security Controls gezielt dort eingesetzt werden, wo Optimierungsbedarf besteht und somit interne Ressourcen für wichtigere Aufgaben freigesetzt werden. Das senkt zugleich die Total Costs für IT Security. #IDCWP41T 2011 IDC

3 I N H A L T S V E R Z E I C H N I S Einführung... 1 Methodik... 1 Aktuelle Situation... 2 Schutz von Daten... 2 Typen von zu schützenden Daten... 2 IT Security Controls... 7 PCI DSS im Detail Einführung Compliance mit PCI DSS PCI DSS Anforderungen Zusammenfassung Copyright-Hinweis P 2011 IDC #IDCWP41T

4 A B B I L D U N G S V E R Z E I C H N I S 1 Welche Arten von sensitiven Daten müssen von Ihrem Unternehmen geschützt werden? Was wären die Auswirkungen auf Ihr Unternehmen, wenn sensible Daten verloren gingen oder kompromittiert würden? Wie zuversichtlich sind Sie, dass Sie im Falle eines erfolgreichen Angriffs auf Ihre IT die Ursache und alle nicht autorisierten Eingriffe schnell herausfinden und identifizieren können? Was ist der Hauptgrund, warum IT Sicherheitstechnologien und Maßnahmen erfolgreiche Angriffe auf die IT nicht verhindern bzw. nicht rechtzeitig entdecken können? Welche der folgenden IT Security Controls haben Sie bereits implementiert, wollen Sie erweitern oder beabsichtigen Sie zu implementieren? Welche der folgenden IT Security Controls beabsichtigen Sie zu erweitern oder zu implementieren? Top 10 Nennungen Welche der folgenden IT Security Controls haben Sie nicht implementiert? Top 10 Nennungen Führt Ihr Unternehmen Audits zur Wirksamkeit der eingesetzten IT Security Controls durch? Mit welchen der folgenden Gesetze und Richtlinien muss Ihr Unternehmen compliant sein? Verfügen Sie über ein formelles Informations-Sicherheits-Management System, das die Risiken im Zusammenhang mit Ihren sensitiven Unternehmensdaten beschreibt und die IT Security Controls definiert, die für den Schutz notwendig sind? Wir haben eine formelle Vorgehensweise implementiert, die auf einem der folgenden Standards oder Richtlinien beruht Sind Sie derzeit PCI DSS compliant? Bitte wählen Sie aus den folgenden 12 PCI DSS-Compliance Anforderungen diejenige aus, die am EINFACHSTEN zu erfüllen ist Bitte wählen Sie aus den folgenden 11 PCI DSS-Compliance Anforderungen diejenige aus, die am SCHWIERIGSTEN zu erfüllen ist Werden in Ihrem Unternehmen regelmäßig PCI DSS Compliance Audits durchgeführt? P #IDCWP41T 2011 IDC

5 E i n f ü h r u n g 2011 ist ein äußert herausforderndes Jahr hinsichtlich der IT-Sicherheit in Unternehmen. Das gilt umso mehr für die Verantwortlichen, die für die Sicherheit sorgen müssen. Über Sicherheitslücken und Datenlecks in Unternehmen wird derzeit vielfach in den Medien berichtet und die Zahl strafrechtlich relevanter Attacken und Angriffe auf die Daten von Behörden, Unternehmen und Privatpersonen steigt kontinuierlich. Der richtige Umgang mit sicherheitsrelevanten (sensitiven) Daten ist für viele Organisationen aufgrund fehlender Mittel, knapper personeller Ressourcen und mangelnder technischer Expertise schwierig, oftmals mit desaströsten Folgen. Aber die Unternehmen in Deutschland verstärken ihre Anstrengungen zum Schutz sensitiver Daten und setzen in wachsendem Maße vorbeugende Maßregeln und Mechanismen ein. Die Spannbreite dieser Maßnahmen reicht von Schulungen und Awareness Programmen bis zur Einführung neuer IT Security Lösungen. Das Einführen einer passenden technischen Lösung zum Schutz von Daten ist absolut wichtig geworden. Einerseits sind Angriffe aufgrund verfeinerter Vorgehensweise immer schwieriger zu erkennen und andererseits erfordern komplexe und umfassende Technologien adäquate Schutzvorrichtungen. M e t h o d i k Ziel des vorliegenden Whitepapers ist es, die aktuellen Herausforderungen und Bedürfnisse deutscher Unternehmen und Institutionen hinsichtlich des Schutzes sensitiver Daten und der Rolle von IT Security Controls zu untersuchen. Dabei wird auf die Sichtweisen und Anforderungen von Unternehmen eingegangen, der stetig wachsenden Bedrohung sensitiver Daten entgegen zu steuern und dem Bedürfnis nach leistungsfähigeren IT Security Controls nachzukommen. Diese Anforderungen stehen in engem Zusammenhang mit sich ändernden technologischen Standards und der Art und Weise, wie IT heutzutage im Unternehmensalltag Verwendung findet. Dementsprechend bedarf es immer mehr Schutzvorkehrungen und Gegenmaßnahmen, um Bedrohungen der IT zu entschärfen. In dieser Studie wird dabei auch auf Compliance Richtlinien in Deutschland eingegangen. IDC hat 2011 im Juli und August 150 Unternehmen mit mehr als 100 Mitarbeitern in Deutschland zur IT Security und aktuellen Bedrohungsszenarien befragt, um ein besseres Verständnis über den Einsatz von IT Security Lösungen und die Abwehr von Gefährdungspotenzialen zu bekommen. Ergänzend zur Befragung fanden zudem Diskussionen in Fokusgruppen mit IT Security Verantwortlichen auf Senior Level in München und Frankfurt statt. Der Teilnehmerkreis der Befragung und der Fokusgruppen setzte sich aus Experten und Managern zusammen, die vorwiegend für die Sicherheit der IT in ihrem Unternehmen zuständig sind. Im Branchensplit der Studienteilnehmer stellt die Industrie den größten Anteil, gefolgt von den Branchen Handel, Unternehmensdienstleistungen, das Gesundheitswesen, Finanzdienstleister und Andere. Das vorliegende Dokument fasst die Key-Ergebnisse der Befragung und der Diskussion der Fokusgruppen zusammen IDC #IDCWP41T 1

6 A k t u e l l e S i t u a t i o n IT Security und damit der Schutz von Daten, Informationstechnologie und der IT Landschaft insgesamt zählt seit vielen Jahren zu den Topthemen der IT-Abteilungen deutscher Unternehmen. Obwohl Unternehmen in Deutschland die Wichtigkeit dessen erkannt haben, ist absolute IT Sicherheit heutzutage noch immer eine Illusion. IT Security ist immer komplexerer und anspruchsvollerer geworden und muss fortwährend neue Aspekte und Angriffsszenarien berücksichtigen. Laut Bundeskriminalamt (BKA) ist die Zahl der Cyber-Verbrechen im Jahr 2010 um 19 % angestiegen. Für 2011 erwartet IDC weiterhin eine wachsende Zahl von Bedrohungen, Angriffen und Sicherheitslücken. S c h u t z v o n D a t e n Die Entwicklung immer neuer Technologien zur Steigerung der Effektivität und Effizienz in Unternehmen geht aus Sicht der IT Security mit einem parallelen Anstieg der Bedrohungen für sensitive Daten Hand in Hand. Mit den heutigen Bedrohungsszenarien sind Angriffe auf die IT Infrastruktur alltäglich geworden und der Diebstahl sensitiver Daten stellt keine Seltenheit mehr dar. Typen von zu schützenden Daten Der Schutz der Sicherheit und Vertraulichkeit von Daten ist für jedes Unternehmen von hoher Bedeutung. Die vorliegende Befragung bestätigt, dass der Schutz personenbezogener Daten, Kundendaten und Finanzdaten bei über 90 % der Befragten ein Top Thema darstellt. Weitere Daten, bei denen erhöhter Sicherheitsbedarf besteht, sind geistiges Eigentum und Fachwissen, Daten von Kreditkartenbesitzern, Patientendaten und einige weitere gesetzlich geschützte und nicht geschützte Daten. 2 #IDCWP41T 2011 IDC

7 A B B I L D U N G 1 W e l c h e A r t e n v o n s e n s i t i v e n D a t e n m ü s s e n v o n I h r e m U n t e r n e h m e n g e s c h ü t z t w e r d e n? Personenbezogene daten 93,3% Kundendaten 92,0% Finanzdaten 91,3% Geistiges Eigentum, Fachwissen 69,3% Daten von Kreditkartenbesitzern 48,0% Patientendaten 16,7% Andere gesetzlich geschützte Daten 4,0% Andere nicht gesetzlich geschützte Daten 1,3% 0% 50% 100% n = 150 Umso mehr Technologien in einem Unternehmen eingesetzt werden, desto stärker häufen sich die Gefahren, sensible Daten zu streuen oder zu verlieren. Die Diskussion in den Fokusgruppen hat gezeigt, dass Unternehmen mit einer wachsenden Anzahl von Einbrüchen in die Informationstechnologie umgehen müssen. Die Anzahl der Angriffe auf unternehmensinterne IT-Infrastrukturen liegt bei bis zu Angriffen im Monat, Tendenz steigend. Es hat den Anschein, als seien die Fokusgruppenteilnehmer wesentlich offener im Umgang mit dieser Problematik, denn die Befragung in den Unternehmen zeichnet ein anderes Bild. Auch hier wurde nach der Anzahl der Angriffe auf die IT- Infrastruktur der Unternehmen gefragt über die Hälfte der Befragten äußerte sich dazu gar nicht, das Ergebnis der Übrigen ist wie folgt: Mehr als 15 % der befragten Unternehmen gaben an, noch nie Opfer eines Angriffs gewesen zu sein, 21 % bezifferten die Angriffe zwischen 1 und 10 im Monat, Bei 7 % der Befragten gebe es Angriffe im Monat. Die tatsächliche Situation spiegeln diese Zahlen nicht wider IDC geht davon aus, dass die Anzahl der Angriffe tatsächlich wesentlich höher ist und dass diese sich durch große Raffinesse auszeichnen. Viele Unternehmen haben erhebliche Probleme damit, das Gefahrenpotenzial neuer Bedrohungen einzuschätzen und es kommt erschwerend hinzu, dass es häufig keine unternehmensweiten Informationen über erfolgreiche Angriffe auf das Unternehmen gibt IDC #IDCWP41T 3

8 Die Befragten bezifferten in der Umfrage die Anzahl der in letzten 12 Monaten erfolgten Angriffe recht niedrig, was nach IDC Meinung nicht die Realität abbildet. Tatsächlich sind, wie aktuelle Reports und Nachrichten zeigen, erfolgreiche Angriffe im letzten Jahr dramatisch angestiegen. Der Verlust sensitiver Informationen wirkt sich nicht nur in Form wirtschaftlichen Verlustes aus, sondern kann das Image eines Unternehmens langfristig stören und damit eine ersthafte Bedrohung darstellen. Das Ergebnis zeigt, dass über 95 % der Befragten davon ausgehen, ein Datenverlust führe zu einem Vertrauensverlust der Kunden und habe negative Auswirkungen auf das Unternehmens-Brand bzw. den Ruf des Unternehmens. Dazu kommen Umsatzverluste (67,3 %), Schadenersatz, Wiederherstellungskosten, Vertragsstrafen und höhere Betriebskosten (66,7 %), gesetzliche Strafen und Bußgelder (52,7 %) sowie der Verlust des eigenen Jobs (12,7 %). Insgesamt decken sich diese Ergebnisse auch mit den Ausführungen in den Fokusgruppen. A B B I L D U N G 2 W a s w ä r e n d i e A u s w i r k u n g e n a u f I h r U n t e r n e h m e n, w e n n s e n s i b l e D a t e n v e r l o r e n g i n g e n o d e r k o m p r o m i t t i e r t w ü r d e n? Vertrauensverlust der Kunden, negative Auswirkungen auf das Unternehmens-Brand bzw. den Ruf des Unternehmens 95,3% Umsatzverlust 67,3% Schadensersatz, Wiederherstellungskosten, Vertragsstrafen, höhere Betriebskosten 66,7% Gesetzliche Strafen, Bußgelder, Kompensationen 52,7% Ich würde meine Stelle verlieren 12,7% 0% 50% 100% n = 150 Wenn eine Sicherheitslücke entdeckt wird, müssen Unternehmen diese umgehend schließen und schnell alle Auswirkungen des Angriffs ausfindig machen. Dazu gehören beispielsweise eingeschleuster Schadcode, zerstörte Daten und Dateien sowie jegliche andere unbefugten Zugriffe auf die IT-Infrastruktur (Nutzerprofile und Rechte). Um die Rechtsgültigkeit und Integrität der Daten sicherzustellen, bedürfen die Unternehmen verschiedener Lösungen, Policies und Methoden. 4 #IDCWP41T 2011 IDC

9 A B B I L D U N G 3 W i e z u v e r s i c h t l i c h s i n d S i e, d a s s S i e i m F a l l e e i n e s e r f o l g r e i c h e n A n g r i f f s a u f I h r e I T d i e U r s a c h e u n d a l l e n i c h t a u t o r i s i e r t e n E i n g r i f f e s c h n e l l h e r a u s f i n d e n u n d i d e n t i f i z i e r e n k ö n n e n? Nicht zuversichtlich (6,7%) Weiß nicht (1,3%) Sehr zuversichtlich (48,0%) Teils teils (44,0%) n = 150 Das Problem möglichen Datenverlustes ist zurzeit das wichtigste Thema der IT Security Verantwortlichen. IDC geht davon aus, dass Datenlecks- und Verluste sich nicht nur dramatisch auf die IT-Sicherheit auswirken, sondern auch auf den Geschäftsbetrieb insgesamt. Die Frage aber ist: Wie können IT Security Manager und Leiter Verletzungen der Datensicherheit erfolgreich bekämpfen und wie schnell kann die Quelle eines Angriffs tatsächlich ausfindig gemacht werden? Hat ein erfolgreicher Angriff stattgefunden, so müssen Unternehmen so schnell wie möglich handeln, um auf unerlaubte Vorgänge und Zugriffe reagieren zu können. In der Befragung geben jedoch weniger als die Hälfte der Unternehmen an, diesen Anforderungen gewachsen zu sein und auf Angriffe entsprechend reagieren zu können, 44 % der Unternehmen fühlen sich teilweise dazu in der Lage. 7 % hingegen gaben sogar an, nicht zuversichtlich dahingehend zu sein, bei einem Angriff richtig zu reagieren und 1 % der Befragten weiß es nicht. In Regel werden unbefugte Zugriffe mit einer Kombination aus Configuration Management, Change Monitoring und Network Change Detection bekämpft. Es sollte besonderes Augenmerk auf diese Themen gelegt werden, um auch zukünftige Angriffe kontrollieren zu können. Es gibt sehr unterschiedliche Gründe für das Versagen der IT Security bei der Erkennung und Schließung von Sicherheitslücken. Die drei häufigsten sind dabei der Mangel an passenden Fachkräften (48,7 %), fehlendes internes Know-how (42,7 %) 2011 IDC #IDCWP41T 5

10 und zu geringes Budget für den Kauf geeigneter Technologien (39,3 %). Insgesamt zeigt dieses Ergebnis den großen Handlungsbedarf auf, entsprechende Fähigkeiten im Unternehmen aufzubauen. Dabei muss darauf geachtet werden, die entsprechenden Ressourcen gezielt einzusetzen dort, wo eventuelle Angriffe am wahrscheinlichsten und am schwerwiegendsten sind. A B B I L D U N G 4 W a s i s t d e r H a u p t g r u n d, w a r u m I T S i c h e r h e i t s t e c h n o l o g i e n u n d M a ß n a h m e n e r f o l g r e i c h e A n g r i f f e a u f d i e I T n i c h t v e r h i n d e r n b z w. n i c h t r e c h t z e i t i g e n t d e c k e n k ö n n e n? Keine passenden Fachkräfte 48,7% Fehlendes internes Know-how Zu wenig Budget, um geeignete Technologien zu kaufen Eingesetzte Technologien sind unzulänglich / ineffektiv 34,0% 39,3% 42,7% Zu wenig IT Controls im Einsatz Mitarbeiter sind von Datenvolumen überfordert, das durch bestehende Lösungen entsteht Mangelnde Koordination oder Integration von bestehenden Technologien Derzeitige IT Sicherheitsmaßnahmen und Technologien werden nicht gepflegt (gewartet) 33,3% 32,0% 29,3% 24,0% Weiß nicht 7,3% 0% 30% 60% n = 150 Genauere Betrachtung der Aussagen der IT Security Verantwortlichen macht deutlich, wie unterschiedlich allgemeines Wissen und Expertise über die Mitglieder der Fokusgruppen verteilt sind. Während einige über ein großes Portfolio an IT Security Mitarbeitern innerhalb des Unternehmens verfügen, sind andere auf einen besonderen Bereich oder eine bestimmte Abteilung spezialisiert. Viele der neueren Security Mitarbeiter verfolgen eher einen technisch-basierten Lösungsansatz für die IT Security, zugleich wird aber die Informationssicherheit auf der Agenda der Verantwortlichen immer wichtiger. Dies ist zum Teil der Tatsache geschuldet, dass die Infrastruktur immer komplexer wird, aber auch immer neue gesetzlichen Vorschriften und Compliance Richtlinien zu beachten sind. Insgesamt ergibt sich daraus die Notwendigkeit eines erweiterten Ansatzes einer IT Security Strategie und Umsetzung. Je stärker sich Unternehmen mit IT-Sicherheit auseinandersetzen, desto eher werden neue, effektivere Abwehransätze entwickelt. 6 #IDCWP41T 2011 IDC

11 I T S e c u r i t y C o n t r o l s IT Security Controls sind Maßnahmen für die Prävention, Bearbeitung und Minimierung geschäftlicher Risiken. Sie stellen die unternehmensinternen Abläufe, Policies und Technologien dar, die den reibungslosen Ablauf grundlegender betrieblicher Prozesse sichern. Durch die Einführung von IT Security Controls werden Unternehmen in die Lage versetzt, ihre Abwehrfähigkeit gegenüber Datenverlust oder -diebstahl zu stärken. IDC hat in der vorliegenden Untersuchung die Einstellung deutscher Unternehmen zu diesen IT Security Controls eruiert. Im Zuge der Befragung und der Diskussion in den Fokusgruppen wurde eine Liste mit 18 grundlegenden IT Security Controls erarbeitet, die zur Entschärfung der Risiken von Datenverlusten von besonderer Bedeutung sind. Beide Gruppen haben dabei sehr interessante Einblicke zur Einführung dieser Schutzmaßnahmen gegeben. Abbildung 5 zeigt die von den Befragten am häufigsten eingeführten IT Security Controls im Vergleich zu den Plänen, diese künftig zu erweitern oder eine Einführung zu planen. Wichtigkeit und Relevanz der verschiedenen IT Security Controls im Einsatz bei den Unternehmen hängen im Wesentlichen von deren Konfiguration und der Sensitivität der Daten ab IDC #IDCWP41T 7

12 A B B I L D U N G 5 W e l c h e d e r f o l g e n d e n I T S e c u r i t y C o n t r o l s h a b e n S i e b e r e i t s i m p l e m e n t i e r t, w o l l e n S i e e r w e i t e r n o d e r b e a b s i c h t i g e n S i e z u i m p l e m e n t i e r e n? Malware-Schutz Informationssicherheitsrichtlinien Datenwiederherstellung Access Management Data Loss Prevention Anwendungssoftware Security Asset Inventory Audit Log Monitoring und Analyse Account Monitoring und Überwachung Datenverschlüsselung System Changes Monitoring und Analyse Security Skills & Awareness Training Secure Network Engineering (Boundary Defense) Vulnerability Assessment & Wiederherstellung Penetrations-Testing Überwachung drahtloser (WLAN) Geräte Incident Response Secure Configuration Standards (Hardening) 93,3% 84,7% 93,3% 78,0% 74,0% 76,7% 67,3% 70,7% 65,3% 64,7% 64,7% 58,7% 66,7% 58,7% 53,3% 51,3% 52,7% 51,3% 1,3% 9,3% 0,0% 6,6% 10,6% 6,7% 10,6% 6,6% 10,7% 10,6% 9,3% 14,6% 4,0% 9,9% 8,6% 7,3% 5,3% 5,3% 0% 50% 100% Bereits implementiert Erweiterung oder Einführung geplant n = 150 Über 90 % der befragten Unternehmen gaben an, solche grundlegenden Basis Security Controls wie Malware-Schutz, Datenwiederherstellung und Informationssicherheitsrichtlinien entweder bereits zu nutzen oder eine Erweiterung oder Einführung in Planung zu haben. Unter den fünf häufigsten Antworten finden sich zudem Access Management und Data Loss Prevention. Innerhalb der Fokusgruppen wird dies bestätigt. So betonten die Teilnehmer, dass es heutzutage unerlässlich ist, einen aktiven automatisierten Malware-Schutz in jedem System auf dem aktuellsten Stand zu haben. Abbildung 6 zeigt die Top 10 der IT Security Controls, die erweitert oder eingeführt werden sollen. Angeführt wird die Liste von Security Skills & Awareness, Datenverschlüsselung sowie Account Monitoring und Überwachung, welche aktuell viel Aufmerksamkeit bekommen, sich aber bisher noch auf einem niedrigen Nutzungs- bzw. Erweiterungs-Level befinden. 8 #IDCWP41T 2011 IDC

13 A B B I L D U N G 6 W e l c h e d e r f o l g e n d e n I T S e c u r i t y C o n t r o l s b e a b s i c h t i g e n S i e z u e r w e i t e r n o d e r z u i m p l e m e n t i e r e n? T o p 1 0 N e n n u n g e n Security Skills & Awareness Training 8,7% 6,0% Datenverschlüsselung 6,7% 4,0% Account Monitoring und Überwachung 6,0% 4,7% Asset Inventory 7,3% 3,3% Data Loss Prevention 9,3% 1,3% Vulnerability Assessment & Wiederherstellung System Changes Monitoring und Analyse Informationssicherheitsrichtlinien 6,7% 4,7% 6,0% 4,7% 3,3% 3,3% Penetrations-Testing Überwachung drahtloser (WLAN) Geräte 7,3% 5,3% 2,0% 1,3% 0% 5% 10% 15% 20% Einführung geplant Erweiterung geplant n = 150 IDC geht davon aus, dass einige der IT Security Controls noch unterbewertet und unterschätzt werden. Secure Configuration Standards, welche die Liste der am wenigsten implementierten IT Security Controls (Abbildung 7) anführt, ist ein Beispiel hierfür. IT Unternehmen müssen eine sichere Konfiguration der Computer und Netzwerke gewährleisten, "gehärtete" Systeme nachrüsten und regelmäßig updaten. Handlungsbedarf besteht auch bei der Verbesserung von Due Diligence, Assurance und Datenschutz IDC #IDCWP41T 9

14 A B B I L D U N G 7 W e l c h e d e r f o l g e n d e n I T S e c u r i t y C o n t r o l s h a b e n S i e n i c h t i m p l e m e n t i e r t? T o p 1 0 N e n n u n g e n Secure Configuration Standards (Hardening) Überwachung drahtloser (WLAN) Geräte Incident Response Capability Penetrations-Testing Vulnerability Assessment & Wiederherstellung Secure Network Engineering (Boundary Defense) Security Skills & Awareness Training System Changes Monitoring und Analyse Account Monitoring und Überwachung Data Loss Prevention 41,3% 40,3% 40,0% 36,7% 28,7% 27,3% 24,7% 24,0% 23,3% 22,0% 0% 25% 50% n = 150 Quelle: IDC, 201 Häufige Prüfungen (Audits) der Effektivität von IT Security Controls gehören zu den wichtigsten Elementen der Messung der Qualität einer sicheren IT Infrastruktur. Fast 73 % der befragten Unternehmen geben an, derartige Prüfungen zwar durchzuführen, aber nur gelegentlich oder in großen zeitlichen Abständen. Wie Abbildung 8 verdeutlicht, führen die meisten Unternehmen diese Prüfungen einmal jährlich durch (53 %), halbjährlich sind es 10 % und bei 9 % wird auf eine quartalsweise Prüfung geachtet. Besorgniserregend ist aber, dass fast ein Viertel der Befragungsteilnehmer (24 %) keinerlei Qualitätsmanagement in diesem Bereich einsetzt, also die Effektivität der IT Security Controls gar nicht überprüft. Wenn keine regelmäßigen Überprüfungen der IT Security Controls stattfinden, verringert das den Wert dieser Instrumente erheblich, da stets sichergestellt sein muss, dass sie funktionieren und effektiv sind. Unternehmen können unmöglich etwas verwalten, das sie nicht vorher messen und der Mangel häufiger Prüfungen führt damit zu einem erhöhten geschäftlichen Risiko. 10 #IDCWP41T 2011 IDC

15 Incident Response Capability Penetration Testing Vulnerability Assessment & Remediation 28,7% 40,0% 36,7% Secure Network Engineering (Boundary Defense) 27,3% A B B I L D U N G 8 Security Skills & Awareness Education 24,7% F ü h r t I h r U n t e r n e h m e n A u d i t s z u r W i r k s a m k e i t d e r Systems Changes Monitoring and Analysis e i n g e s e t z t e n I T S e c u r i t y C o n t r o l s d u r c h? 24,0% Account Monitoring and Control 23,3% Ja, einmal im Jahr Data Loss Prevention 22,0% 53,3% Audit Log Monitoring and Analysis Nein 24,0% Asset Inventory Ja, alle sechs Monate Access 10,0% Management 14,0% 21,3% 19,3% Ja, alle drei Monate Weiß nicht Data Encryption 9,3% Information Security Policy 3,3% Data Recovery Capability 14,0% 5,3% 4,7% 0% Malware Defenses 30% 4,7% 60% n = 150 Application Software Security 1,3% 0% 10% 20% 30% 40% 50% (%) Unternehmen müssen eine stetig steigende Anzahl von Richtlinien einhalten (Compliance), von denen einige branchenübergreifend sind und andere bestimmte interne Policies oder branchenspezifische Anforderungen abdecken. Die für diese Studie befragten Unternehmen listen eine ganze Reihe solcher Richtlinien auf, die für ihren geschäftlichen Alltag wichtig sind, welche in Abbildung 9 dargestellt sind. Die branchenübergreifenden Richtlinien, die das deutsche Gesetz fordert, werden dabei am häufigsten genannt. Dazu zählt das Bundesdatenschutzgesetz (BDSG) (91.3%) sowie das Aktiengesetz (AktG), GmbH-Gesetz (GmbHG) und das Handelsgesetzbuch (Handelsgesetzbuch) mit zusammen 66,7 % IDC #IDCWP41T 11

16 A B B I L D U N G 9 M i t w e l c h e n d e r f o l g e n d e n G e s e t z e u n d R i c h t l i n i e n m u s s I h r U n t e r n e h m e n c o m p l i a n t s e i n? Bundesdatenschutzgesetz (BDSG) Interne Compliance-Vorschriften und Regeln 91,3% 87,3% AktG, GmbHG, HGB GDPdU 66,7% 62,7% Basel II, Solvency II PCI DSS KontraG Sox / Eurosox MaRISK SAS 70 (SSAE 16) und PS 951 Weiß nicht. 41,3% 33,3% 27,3% 19,3% 12,0% 9,3% 1,3% 0% 50% 100% n = 150 Mit 87,3 % sind interne Compliance-Vorschriften und Regeln an zweiter Stelle genannt, was die große Bedeutung interner Richtlinien für deutsche Unternehmen unterstreicht. Gemeint sind damit Policies und Abläufe, die durch das Management festgelegt werden um das eigene geschäftliche Risiko zu minimieren. Gesetzliche Compliance Richtlinien sind für IT Abteilungen heute nicht mehr neu, dennoch befinden sich die Unternehmen immer noch auf unterschiedlichen Verständnis- und Umsetzungsstufen, wenn es um die Verinnerlichung dieser Prozesse und dessen effiziente Gestaltung geht. Die steigende Aufmerksamkeit gegenüber Compliance-Anforderungen, sowohl deren Beachtung als auch Implementierung, zieht ein deutliches Potenzial zur Automatisierung der Überwachung nach sich. Verschiedene Sicherheitsstufen sollten, wann immer es möglich ist, kombiniert werden um eine umfassende Absicherung der Systeme zu gewährleisten. Das Ziel der Implementierung eines Information Security Managements Systems ist grundsätzlich immer die Eindämmung und Begrenzung aktueller und künftiger geschäftlicher Risiken, daneben aber auch die Einhaltung aktueller Richtlinien und gesetzlicher Anforderungen zum Schutz und der Vertraulichkeit von Informationen. Dabei muss ein gutes Security Management in seinen Policies und Abläufen drei Dimensionen integrieren: Menschen, Prozesse und Technologie. 12 #IDCWP41T 2011 IDC

17 A B B I L D U N G 10 V e r f ü g e n S i e ü b e r e i n f o r m e l l e s I n f o r m a t i o n s - S i c h e r h e i t s - M a n a g e m e n t S y s t e m, d a s d i e R i s i k e n i m Z u s a m m e n h a n g m i t I h r e n s e n s i t i v e n U n t e r n e h m e n s d a t e n b e s c h r e i b t u n d d i e I T S e c u r i t y C o n t r o l s d e f i n i e r t, d i e f ü r d e n S c h u t z n o t w e n d i g s i n d? Weiß nicht. (2,7%) Wir haben kein Informations- Sicherheits- Management (30,7%) Wir haben eine formelle Vorgehensweise implementiert, die auf einem der folgenden Standards oder Richtlinien (66,7%) n = 150 Wurde erst einmal ein offizielles Information Security Management Systemeingerichtet, zeigt sich schnell der enorme Gewinn, da es von diesem Zeitpunkt an IT Security Verantwortlichen möglich wird, den Stand der Sicherheit zu messen und abzubilden. Zwei Drittel der befragten Unternehmen verfügen bereits, wenn auch in unterschiedlichen Ausprägungen, über ein offizielles Information Security Management System, in denen auch die Risiken für sensible Daten und die notwendigen Security Controls definiert sind. Das übrige Drittel hat derartige Modelle bisher nicht entwickelt. Nach IDC Meinung stellen Information Security Management Systeme grundlegende Instrumente dar, die von Unternehmen eingeführt werden sollten. Es sind hinreichende Ressourcen zur Anleitung entsprechender Security Policies vorhanden, sodass das "Was" kein Problem darstellen sollte. Security Verantwortliche der Fokusgruppen neigen bisher dazu, einzelne Policies für ihr Unternehmen auszuwählen und zu verwenden, während nur einige Verantwortliche komplette Standards implementieren. Dadurch können schnell Sicherheitslücken entstehen. Unternehmen, die bereits offizielle Modelle eingeführt haben, setzen auf Standardbasierte oder Best-Practices-Systeme. Die meisten Befragten (58 %) nutzen dementsprechend den IT-Grundschutz, ein Vorgehensmodell des Bundesamtes für Sicherheit in der Informationstechnik (BSI) zur Erstellung eines Information Security Management Systems. Andere genannte Modelle basieren auf ISO 2700x (44%), ITIL 2011 IDC #IDCWP41T 13

18 (30%), Information Security Forum Best Practices (24%), PCI DSS (17%) und COBIT (11%). A B B I L D U N G 11 W i r h a b e n e i n e f o r m e l l e V o r g e h e n s w e i s e i m p l e m e n t i e r t, d i e a u f e i n e m d e r f o l g e n d e n S t a n d a r d s o d e r R i c h t l i n i e n ber u h t. IT Grundschutz 58,0% ISO 2700x 44,0% ITIL (Information Technology Infrastructure Library) Information Security Forum Best Practices (ISF) PCI DSS COBIT Keine der Genannten. 30,0% 24,0% 17,0% 11,0% 15% 0% 30% 60% n = 150 P C I D S S i m D e t a i l Einführung PCI DSS (Payment Card Industry Data Security Standard) ist eine im Auftrag der großen Kreditkartenmarken entwickelte Information Security Richtlinie des PCI Data Security Councils, welche spezifische Compliance Anforderungen für Unternehmen, die Kreditkarteninhaberinformationen verwalten, umfasst. Dieser Standard bietet ein erprobtes System zur Entwicklung stabiler und überprüfbarer Sicherheitsprozesse, das die Vorsorge, Ermittlung und Reaktion auf Störfälle bezüglich der Sicherheit in Relation zum Verlust sensibler Daten beinhaltet. Compliance mit PCI DSS Wie bereits Abbildung 9 verdeutlicht, nutzen 33 % der befragten Unternehmen PCI DSS. Innerhalb des Kreditkartenverkehrs haben diese Unternehmen unterschiedliche Rollen 61,3 % sind Händler, 25,3 % Service Provider und 13,3 % sind Banken. Mehr als 25 % der Banken, die PCI DSS einsetzen, tun dies seit mehr als zwei Jahren. Sie haben bereits Erfahrung im Umgang mit dem Aufbau und der Instandhaltung sicherer Netzwerke und dem Schutz der Daten Ihrer Kreditkarteninhaber. 20 % verwenden PCI DSS seit einem Jahr und weitere 20 % befinden sich noch in der Entscheidungsphase. Überraschenderweise haben 35 % 14 #IDCWP41T 2011 IDC

19 der befragten Unternehmen, die bestimmte Standards einhalten müssen, noch keinerlei Erfahrung mit PCI DSS zur Prüfung ihrer Compliance Vorschriften. A B B I L D U N G 12 S i n d S i e d e r z e i t P C I D S S c o m p l i a n t? Wir sind nicht PCI DSS-konform 34,7% Ja, seit mehr als zwei Jahren 25,3% Ja, seit einem Jahr 20,0% Wir sind gerade im PCI DSS Assessment 20,0% 0% 20% 40% n = 75 PCI DSS Anforderungen PCI DSS besteht aus 12 Anforderungen, die in Kombination oder durch Erweiterung mit "klassischen" IT Security Controls eine umfassende Minimierung des Risikos sicherstellen können. Als eines der sehr umfangreichen und strukturierten Systeme, analysiert es den Aufwand für die Einhaltung der vorgegeben Standards und gibt damit einen erweiterten detaillierteren Einblick über den aktuellen Status der IT Security Controls. Bei der Frage, welche der Anforderungen des PCI DSS für die befragten Unternehmen am EINFACHSTEN zu erfüllen seien, wird deutlich, dass die Umsetzung der Anforderungen 1, 5 und 8 am einfachsten für die befragten Unternehmen ist. Im Detail sind dies der Schutz von Karteninhaberdaten (Anf. 1), die Verwendung und regelmäßige Aktualisierung der Antivirensoftware (Anf. 5) und die Zuweisung einer eindeutigen ID für jede Person mit Computerzugriff (Anf. 8). Damit decken sich die Antworten gut mit denen, die bereits in Abbildung 5 dargestellt wurden und die jene IT Security Controls aufzeigten, die am häufigsten in den Unternehmen eingesetzt werden. Diejenigen PCI DSS Anforderungen, die am einfachsten für die Unternehmen umzusetzen sind, sind auch jene, die von Security- Organisationen aktuell bereits eingesetzt werden und ihnen am vertrautesten sind IDC #IDCWP41T 15

20 A B B I L D U N G 13 B i t t e w ä h l e n S i e a u s d e n f o l g e n d e n 1 2 P C I D S S - C o m p l i a n c e A n f o r d e r u n g e n d i e j e n i g e a u s, d i e a m E I N F A C H S T E N z u e r f ü l l e n i s t. Anforderung 1: Karteninhaberdaten 36,0% Anforderung 5: Verwendung und regelmäßige Aktualisierung von Antivirensoftware Anforderung 8: Zuweisung einer eindeutigen ID für jede Person mit Computerzugriff Anforderung 2: Systemkennwörter und andere Sichehreitsparameter verwenden 8,0% 14,7% 26,7% Anforderung 3: Schutz gespeicherter Karteninhaberdaten Anforderung 9: Physischen Zugriff auf Karteninhaberdaten beschränken Anforderung 10: Netzwerkressourcen und Karteninhaberdaten Anforderung 12: Befolgung einer Informationssicherheits- Richtlinie für das gesamte Personal Anforderung 4: Offene, öffentliche Netze Anforderung 6: Entwicklung und Wartung sicherer Systeme und Anwendungen Anforderung 7: Geschäftsinformationsbedarf Anforderung 11: Regelmäßiges Testen der Sicherheitssysteme und -prozesse Weiß nicht 4,0% 2,7% 1,3% 1,3% 1,3% 0,0% 0,0% 0,0% 4,0% 0% 10% 20% 30% 40% n = 75 Die drei am SCHWIERIGSTEN zu erfüllbaren Anforderungen von PCI DSS sind in Abbildung 14 (Anf. 10, 11 und 12) darstellt. Sie beziehen sich auf den Schutz der Netzwerkressourcen von Karteninhabern (Anf. 10), das Befolgen einer Informationssicherheitsrichtlinie für das gesamte Personal (Anf. 12) und das regelmäßige Testen der Sicherheitssysteme und -prozesse (Anf. 11). Erneut decken sich diese Erkenntnisse mit denen, die bereits in Abbildung 8 dargestellt wurden und die Security Controls abbildeten, die aktuell am seltensten eingesetzt werden. Diese Anforderungen sind also solche, die zum einen noch nicht hinreichend eingesetzt und zum anderen heutzutage noch unterschätzt werden. 16 #IDCWP41T 2011 IDC