Schutz vor der stillen Bedrohung. Ein globaler Bericht zu den Einstellungen der Unternehmen und Ansichten über IT-Sicherheit.

Transkript

1 Exklusive Umfrageergebnisse Schutz vor der stillen Bedrohung. Ein globaler Bericht zu den Einstellungen der Unternehmen und Ansichten über IT-Sicherheit. With Kaspersky, now you can. Be Ready for What s Next

2 Inhaltsverzeichnis Über die Umfrage 3 Zusammenfassung 4 1 IT-Sicherheit Machen wir uns um die richtigen Dinge Sorgen? 5 2 Das mobile Chaos im Griff haben 9 3 Nutzung eigener Geräte wendet sich das Blatt? 11 4 Weiter schauen Die Herausforderung für die Verwaltung 13 5 Kosten von IT-Sicherheitsverletzungen berechnen 15 6 Empfehlungen Zeit, einen Gang zuzulegen 17 With Kaspersky, now you can 18 2

3 Über die Umfrage i Was bietet dieser Bericht? Einen Überblick über den heutigen Stand von IT- Sicherheit in Unternehmen auf der ganzen Welt Sie erfahren, was andere Unternehmen denken, planen und machen Sie können in Benchmark-Tests Ihr Unternehmen mit der Konkurrenz vergleichen Sie erhalten Zugriff auf eine Expertenanalyse durch Forscher von Kaspersky Lab Die weltweite Umfrage zu IT-Sicherheitsrisiken von Kaspersky Lab (Global IT Risks Survey) wird vom Forschungsberatungsunternehmen B2B International nun zum dritten Mal durchgeführt. Diese Umfrage wendet sich an IT-Fachkräfte auf der ganzen Welt und versucht Einsicht in ihre Ansichten, Meinungen und Einstellungen zu IT-Sicherheit sowie deren Einfluss auf die Unternehmen zu erhalten. Dadurch hoffen wir, einen weltweiten Benchmark für die Branche zu erstellen und Unternehmen aller Arten und Größen zu helfen, eine umfassendere Sicht des IT- Sicherheitsdenkens zu erlangen. 3

4 Zusammenfassung Die durchschnittlichen Kosten einer IT- Sicherheitsverletzung belaufen sich auf US-$ für KMU und US-$ für Großunternehmen. Die Untersuchung zusammengefasst: Interviews 24 Länder Alle IT-Profis aus Unternehmen mit mindestens 100 Workstations Alle mit guten praktischen Kenntnissen von IT-Sicherheitsproblemen Die weltweite Umfrage zur IT-Sicherheit enthält dieses Jahr zwei neue Aspekte. Erstens haben wir die Daten in KMU ( Workstations) und Großunternehmen ( Workstations) unterteilt. Während viele der Ergebnisse eng beieinander liegen, gibt es einige interessante Bereiche mit Divergenzen, auf die in diesem Bericht detailliert eingegangen wird. Einer der Bereiche, die herausstechen, ist ein besorgniserregender Mangel an Wissen um IT- Sicherheit in kleineren Betrieben. Der zweite neue Aspekt ist, dass wir die Befragten gebeten haben, den finanziellen Schaden zu beziffern, den eine IT-Sicherheitsverletzung verursacht hat. Nähere Details finden Sie in Kapitel 5. Die durchschnittlichen Beträge entsprechen US-$ für KMU und US-$ für Großunternehmen. Dies zeigt grundsätzlich, dass IT-Sicherheitsverletzungen bei KMU im Verhältnis viel mehr Schaden als bei Großbetrieben anrichten. Der Rest der Umfrage behandelt dieselben Themen, denen wir in den vorhergegangenen Jahren nachgegangen sind. Es ist immer interessant, Veränderungen zu sehen, und dieses Jahr enthält die Umfrage einige überraschende und auf den ersten Blick widersprüchliche Ergebnisse. Auf der einen Seite sind die beiden wichtigsten Anliegen der IT-Profis einmal mehr das Verhindern von IT-Sicherheitsverletzungen (von 30 % im Vorjahr auf 34 % gestiegen) sowie Datenschutz (von 26 % im Vorjahr auf 28 % gestiegen). Die überwiegende Mehrheit der Befragten unterschätzte jedoch die Menge der Schadsoftware, und die Zahl jener, die angaben, eine Zunahme von Cyber-Angriffen festzustellen, ging um 6 % zurück. Ist dies ein Grund für Selbstsicherheit? Unserer Analyse zufolge ist die Sache nicht so einfach. Im Großen und Ganzen jedoch muss man Unternehmen anrechnen, dass sie in neue Tools zum Schutz ihrer Betriebe investiert und die Wichtigkeit von IT-Sicherheit erkannt haben. Die kommende Herausforderung liegt darin, dass IT-Sicherheitsprobleme nicht mehr so auffällig wie früher sind. Schadsoftware verursachte offensichtliche Systemprobleme, die aufgezeigt und behoben wurden. Mittlerweile ist Malware aber viel fortschrittlicher geworden. Wo die Bedrohungen für Unternehmen früher von Amateur-Hackern ausgingen, stammen sie heute von professionellen Kriminellen, die wertvolle Daten stehlen und verwenden wollen entweder zu ihrem direkten finanziellen Vorteil (z. B. um auf Bankkonten zuzugreifen) oder, um sie auf dem riesigen Markt für persönliche Informationen zu verkaufen. Dies wird von einer der besorgniserregendsten Statistiken im Bericht untermauert dass 35 % der untersuchten Unternehmen aufgrund von externen IT-Bedrohungen betriebliche Daten verloren haben. Die diesjährige Untersuchung bestätigt auch die steigende Verbreitung mobiler Bedrohungen als IT-Sicherheitsherausforderung für Unternehmen. Wir haben Leute auch nach ihrer Handhabung von BYOD (Bring Your Own Device, Nutzung eigener Geräte) befragt, einem weiteren gut dokumentierten Trend in Unternehmen, und herausgefunden, dass IT-Profis BYOD zunehmend als Sicherheitsrisiko betrachten. Die Schlussfolgerung ist, dass IT-Sicherheitsbedrohungen jetzt stiller, gleichzeitig aber auch gefährlicher sind. Dabei zeigt sich, dass Cyber- Kriminelle vermehrt leichte Opfer ins Visier nehmen, immer kleinere Unternehmen ohne die Unternehmens-IT-Sicherheits -Tools und -Fähigkeiten, um einen widerstandsfähigen Echtzeitschutz aufrechtzuerhalten. Während also Unternehmen auf der ganzen Welt Fortschritte erzielt haben, glaubt Kaspersky Lab, dass eine neue Denkweise erforderlich ist. 4

5 IT-Sicherheit Machen wir uns um die richtigen Dinge Sorgen? 1 Der Anstieg mobiler Malware Die Zahl der Varianten war 2012 sechsmal höher als im Jahr davor das seinerseits den sechs vorangegangenen Jahren entsprach. Die diesjährigen Ergebnisse sind in der Tat eine Geschichte der Widersprüche. Dies zeigt uns, dass Unternehmen in einem unbeständigen IT-Sicherheitsmarkt mit einer komplexen Bedrohungsumgebung Mühe haben, ihre Bemühungen und Investitionen zu priorisieren. Zum Beispiel zeigt uns die Untersuchung, dass die Zahl der Cyber-Angriffe als sinkend wahrgenommen wird, doch die Wirklichkeit sieht anders aus. Nur 46 % der untersuchten IT-Entscheider glauben, dass die Zahl der Angriffe im Steigen begriffen ist. Daten von Kaspersky Lab zeigen, dass die Menge der Malware weiterhin zunimmt; derzeit werden einzigartige Malware-Varianten pro Tag verfolgt. Bei mobiler Malware wächst die Menge ebenfalls, und zwar exponentiell. Die Zahl mobiler Bedrohungen, die Kaspersky Lab 2011 verfolgt hat, entsprach der gesamten Menge im Zeitraum war die Menge um das Sechsfache höher als Im März 2013 wurden mehr als neue Malware-Varianten verfolgt. Wahrnehmung der Zahl von Cyber-Angriffen Die Zahl derer, die einen Anstieg der Angriffe auf ihr Unternehmen feststellten, ist in den letzten zwölf Monaten gefallen. Sieht man dies vor dem Hintergrund, dass die Angriffe in Wahrheit zunehmen, lässt dies darauf schließen, dass sich eine gewisse Selbstsicherheit breitmacht. Zahl der Cyber-Angriffe auf das Unternehmen (letzte 12 Monate) Ein Rückgang Unverändert Ein Anstieg Netto-Bedrohungs-Zahl 2013: +35 % 2012: +43 % 2011: +42 % 5

6 Bedeutet dies, dass die Unternehmen ein kleines bisschen besser vorbereitet sind, sodass sich ihre Situation in ihrer Wahrnehmung verbessert (oder zumindest nicht verschlechtert)? Oder empfinden sie IT-Sicherheit nur nicht als wichtiges Anliegen? (Unwahrscheinlich, da die Untersuchungsdaten das Gegenteil nahelegen). Oder ist es ein grundlegenderes Problem: dass die Sorge um die Menge der Schadsoftware nicht das ist, worauf sich Unternehmen konzentrieren sollten? Die überwiegende Mehrheit der Unternehmen (90 %) unterschätzt die tatsächliche Menge von Malware drastisch. Dieses Problem ist in Kleinunternehmen besonders stark ausgeprägt. Großunternehmen schätzten die Menge auf pro Tag. Die Schätzung von Kleinbetrieben lag noch darunter, bei pro Tag. Damit unterschätzten alle Unternehmen die Zahl um 60 % und mehr. David Emm, Senior Researcher bei Kaspersky Lab, sagt dazu: Leider ist dies kein einfaches Problem. Die Menge von Malware könnte als Grund zur Sorge gesehen werden; was aber von größerem Interesse sein sollte, ist die komplexere Art der Bedrohungen, denen sich Unternehmen heute gegenübersehen. Wie in der Zusammenfassung erwähnt ist dies eines der Beispiele, wo die Unterschiede bei Verständnis und Wissen zwischen KMU und Großunternehmen besonders auffallen. KMU haben selten IT-Sicherheitsspezialisten auf der Gehaltsliste, und dies bekräftigt die Notwendigkeit für Aufklärung und Unterstützung in diesem Bereich, vor allem da IT-Sicherheit und Datenschutz einmal mehr die beiden Punkte sind, um die sich IT-Profis die größten Sorgen machen. Das heißt, sie sorgen sich darum, bringen aber nicht das entsprechende Verständnis mit und verfügen über weniger Ressourcen, um damit fertigzuwerden. 6

7 Was noch nicht verstanden wurde, war, wie weit sich Malware entwickelt hat. Kriminelle Banden nutzen ausgeklügelte Malware, um gezielt Unternehmen direkt anzugreifen und wertvolle Daten zu stehlen. Diese Verbindung ist wichtig, da das Stoppen des einen das andere verhindert. David Emm, Senior Researcher Kaspersky Lab Viren, Würmer, Spyware und andere bösartige Programme Spam Phishing-Angriffe Angriffe auf das Netzwerk/Hacking Diebstahl mobiler Geräte (Smartphones/Tablets) Was ist nun die wirkliche Bedrohung? Jedes Jahr fragen wir IT-Entscheidungsträger, welche Bedrohungen sie feststellen und worüber sie sich vom Blickwinkel der IT-Sicherheit aus Sorgen machen. Während 91 % der Unternehmen (gegenüber dem Vorjahr unverändert) mindestens einer Bedrohung ausgesetzt waren und die meisten (66 % nach 55 % im Vorjahr) von Viren, Spyware und anderer bösartiger Software befallen wurden, schließen manche Unternehmen noch immer nicht von Datenverlust auf Malware. Erlebte externe Bedrohungen 91 % der Unternehmen waren in den letzten zwölf Monaten mindestens einer Bedrohung ausgesetzt. Malware ist noch immer die am häufigsten auftretende Bedrohung mit steigender Tendenz. Diebstahl mobiler Geräte ist weiterhin ein oft gemeldetes Problem: Eine von fünf Firmen gab an, dass dieses Problem in den vergangenen zwölf Monaten auftrat. % der Unternehmen mit einem Ereignis, das die Sicherheit beeinträchtigt Denial of Service (DoS), Distributed-Denial-of- Service-Angriffe (DDoS) Diebstahl größerer Hardware (Desktop-Computer, Laptops etc.) Wirtschaftsspionage (durch Personen, nicht IT-Systeme) Gezielte Angriffe gegen das eigene Unternehmen/ die eigene Marke Sachbeschädigung (einschließlich Brand/ Brandstiftung) Keine Viel höher (Vorjahresvergleich) 7

8 Die größte Sorge für Unternehmen sind Missstände bei den Kundendaten, da sich dies direkt auf den Ruf des Unternehmens auswirkt und somit einen Risikofaktor darstellt. Darüber waren sich die Befragten unabhängig von Unternehmensgröße und Standort einig. David Emm, Senior Researcher bei Kaspersky Lab, sagt dazu: Was noch nicht so klar verstanden wird, ist, wie weit sich Malware entwickelt hat. Kriminelle Banden nutzen ausgeklügelte Malware, um gezielt bestimmte Unternehmen anzugreifen und wertvolle Daten zu stehlen. Diese Verbindung ist wichtig, da eine effektive Strategie, die das eine unterbindet, das Risiko für das andere verringert. Die Erkenntnis, dass Malware einer der wichtigsten Faktoren bei Datenverlust ist, wäre ein großer Schritt vorwärts. Dies würde dem Kampf gegen Malware eine höhere Priorität in Unternehmen bescheren. Darüber hinaus lagen Ereignisse wie Angriff auf das Netzwerk in unserer Umfrage bei den Themen, um die sich IT-Profis Sorge machen, weit oben. Und was verursacht Angriffe auf Netzwerke? Malware entwickelt und verbreitet von Kriminellen, die versuchen, wertvolle Daten zu stehlen. Was verloren geht, und was Unternehmen fürchten zu verlieren Verlust von Kundendaten ist die größte Sorge der meisten Unternehmen und betrifft derzeit 35 % der Unternehmen, die in den letzten zwölf Monaten Datenverlust hinnehmen mussten. Verzeichneter Datenverlust (%) Schlimmstmöglicher Datenverlust (%) Kundendaten Interne Betriebsdaten Finanzdaten zum Unternehmen Geistiges Eigentum Marktinformationen/Wettbewerbsdaten 22 9 Zahlungsinformationen 10 7 HR/Mitarbeiterdaten 23 7 Sonstige 8

9 Das mobile Chaos im Griff haben 2 Nur einer von zehn Befragten gibt an, eine vollständig implementierte Sicherheitsrichtlinie im ganzen Unternehmen zu haben. Dem statistischen Trend vom Bericht des Vorjahres folgend, machen sich Unternehmen auch weiterhin um mobile Bedrohungen Sorgen. Betrachtet man mobile Bedrohungen im Speziellen, gelten die Sicherheitssorgen der Unternehmen in erster Linie dem Verlust von heiklen Geschäftsdaten (38 %), gefolgt vom Verlust des Geräts selbst (33 %). Was jedoch nach wie vor eine große Herausforderung für Unternehmen ist, ist die Einrichtung und Aufrechterhaltung effektiver IT-Sicherheitsrichtlinien für mobile Geräte und Benutzer. Nur einer von zehn Befragten gibt an, eine vollständig implementierte Sicherheitsrichtlinie im ganzen Unternehmen zu haben. IT-Entscheider tun sich eindeutig schwer damit, das Problem mobiler Bedrohungen anzugehen und festzumachen. Aufgrund ihres Wesens sind mobile Geräte von einem geschäftlichen Blickpunkt aus schwerer zu erfassen IT-Sicherheitsrichtlinie für mobile Geräte Nur knapp mehr als eines von zehn Unternehmen verfügt über eine vollständig implementierte Sicherheitsrichtlinie für mobile Geräte. Obwohl die Bereitschaft zur Einführung einer Richtlinie hoch ist, verfügt die Hälfte über gar keine Richtlinie. % Insgesamt KMU (kleine und mittlere Unternehmen) Konzerne APAC Nordamerika Japan Großraum Europa Lateinamerika gesamt GCC/Naher Osten Russland Nein, und keine Einführung geplant Nein, aber Einführung ist geplant Ja, aber sie ist noch nicht vollständig implementiert Ja, und sie ist vollständig implementiert 9

10 als eine Menge von Desktop- oder Laptop-Computer. Außerdem: Wie viele Ihrer Mitarbeiter besitzen mehr als ein Telefon? In der heute immer mehr konsumorientierten Welt bedeutet die verschwimmende Grenze zwischen Arbeit und Privatleben, dass Firmendaten irgendeiner Art allzu leicht auf dem Privatgerät eines Mitarbeiters landen können. Nichtsdestoweniger ist die Zahl der Unternehmen, die eine proaktive Haltung einnehmen und spezifische Präventivmaßnahmen ergreifen, eher niedrig. Nur 24 % der Unternehmen verwenden Mobile-Device-Management-Software, und nur 40 % verwenden Anti-Malware-Lösungen für mobile Geräte. Sergey Lozhkin meint dazu: Mobile Geräte und Bedrohungen fallen in die Kategorie,Noch etwas zu verwalten. IT-Teams erhalten selten mehr Geld oder Ressourcen, obwohl ihre Umgebung immer komplexer wird. Daher sind diese Teams gezwungen, unangenehme Kompromisse zu machen, und können nicht die gewünschten Tools einsetzen, weil diese mehr Ressourcen zum Verwalten benötigen. Ein weiteres Problem, das uns auffiel, war, dass von den 10 %, die erfolgreich mobile Sicherheitsrichtlinien implementiert hatten, sehr wenige die Ressourcen erhalten hatten, die sie für die Implementierung als nötig erachteten. Wir fragten, ob sie ein höheres Budget bekamen, um die zusätzliche Aufgabe abzudecken. 16 % beantworteten dies mit Nein, und weitere 48 % sagten, das zusätzliche Budget hätte nicht ausgereicht. Mit der zunehmenden Reife von mobiler Sicherheit werden diese Barrieren jedoch mehr subjektive Wahrnehmung als Realität. Heute vereinen Endpoint- Sicherheitsplattformen Mobile Device Management und mobile Sicherheit im selben Satz von Tools; daher werden auch keine weiteren IT-Fähigkeiten und nur wenige zusätzliche Ressourcen benötigt. David Emm, Senior Researcher bei Kaspersky Lab, fügt hinzu: Mobile Geräte ähneln in gewisser Hinsicht s, als diese begannen, sich in Unternehmen auszubreiten. Die Nutzungszahlen explodierten, und dann mussten IT-Teams die Kontrollwerkzeuge und Sicherheitsrichtlinien nachrüsten. Mir kommt es vor, als wären wir mit mobilen Geräten in derselben Phase und die IT beginnt gerade erst mit dem Nachrüsten. 10

11 Nutzung eigener Geräte wendet sich das Blatt? 3 Dieses Jahr haben wir bestimmte Datenpunkte rund um BYOD untersucht. Wir haben eine rasante Verbreitung dieses Phänomens in den vergangenen Jahren bemerkt, die hauptsächlich von der steigenden Zahl von Tablet- Besitzern vorangetrieben wird. Die meisten Unternehmen haben weltweit im Hinblick auf eigene Geräte relativ liberale Nutzungsrichtlinien. 32 % erlauben die uneingeschränkte Nutzung (die Verwendung von Firmennetzwerken und -ressourcen) mit Smartphones, 29 % mit Tablets und 37 % mit Laptops. Diese letzte Zahl ist im letzten Jahr um mehr als 10 zurückgegangen. Wie wir feststellten, waren wenig überraschend die Beschränkungen umso strikter, je größer die Firma war. Interessanter waren jedoch die Antworten auf die Frage nach einem Ausblick auf den zukünftigen Stand. Wir stellten hier eine allgemein strengere Haltung gegenüber BYOD bei IT- Entscheidern fest. Die Umfrage deutet klar auf einen Grund hin IT-Sicherheitsbedenken. 65 % der IT-Entscheider waren der Ansicht, dass BYOD eine Gefahr für das Unternehmen darstellt. Diese Ansicht war relativ gleichmäßig in allen Regionen der Umfrage verbreitet mit Ausnahme von Japan, wo erstaunliche 93 % Bedenken im Bezug auf BYOD hatten. Darüber hinaus äußerten sich 48 % besorgt darüber, dass BYOD in der Zukunft Sicherheitsrisiken verursachen würde. Die durch BYOD empfundene Bedrohung 65 % glauben, dass BYOD eine Bedrohung für die Sicherheit ihres Unternehmens darstellt, die Sorge ist in Europa besonders hoch. Ist BYOD eine Bedrohung für die Sicherheit Ihres Unternehmens? % besorgt, nach Region Japan 93 Nordamerika GCC/Naher Osten Großraum Europa APAC Lateinamerika gesamt Russland Ja Nein 11

12 Costin Raiu, Director Global Research & Analysis bei Kaspersky Lab, sagt dazu: Ich glaube, dass sich für BYOD das Blatt möglicherweise wendet. IT- Abteilungen befinden sich in der Defensive. Tablet-Benutzerzahlen explodieren, vor allem bei Führungskräften. Daher mussten sie das wohl oder übel hinnehmen. Jetzt sehen sie jedoch, wie die heikelsten Firmendaten auf eigenen Geräten gespeichert werden und erkennen dies zu Recht als tickende IT-Sicherheitszeitbombe. BYOD-Richtlinien in der Zukunft Nur eine kleine Minderheit wird die Verwendung eigener Geräte einschränken. Die Umfrageergebnisse von 2013 zeigen jedoch eine allgemein strengere Haltung der IT-Entscheider gegenüber BYOD. % Weltweites Ergebnis (2013), n = Weltweites Ergebnis (2012), n = KMU, n = 2340 Großunternehmen, n = Wir erlauben aktiv mehr Benutzern die Nutzung ihrer eigenen Geräte für berufliche Zwecke. Egal, was wir tun, es wird eine unweigerliche Zunahme von eigenen Geräten der Benutzer am Arbeitsplatz geben. Wir werden versuchen, die Zahl und Art der Benutzer einzuschränken, die ihre eigenen Geräte mitbringen können. Wir werden ein striktes Verbot von mitgebrachten eigenen Geräten für berufliche Zwecke durchsetzen. 12

13 Weiter schauen Die Herausforderung für die Verwaltung 4 Im vorangegangenen Kapitel haben wir uns die sich wandelnde Einstellung zu BYOD angesehen. Bei Betrachtung der Umfragedaten wird klar, dass dies eigentlich ein Hinweis auf einen größeren Wandel und auch ein größeres Problem bei der Kontrolle ist. Zum Beispiel verwendet nur knapp mehr als die Hälfte (54 %) Patch Management und Systems Management, obwohl diese zu den meistgenannten technologischen Herausforderungen zählen. In der Tat ist die Zahl jener, die diese grundlegenden Verwaltungstools verwenden, seit der letzten Umfrage um 9 % gesunken. Darüber hinaus lautet die IT-Sicherheits strategie einer besorgniserregend hohen Zahl von Unternehmen Nur Anti-Malware und diese Haltung beschränkt sich nicht, wie man vermuten möchte, auf Kleinunternehmen. Maßnahmen zur Vermeidung von Sicherheitsrisiken Viel niedriger (Vorjahresvergleich) Viel höher (Vorjahresvergleich) Vgl Schutz vor Malware (Viren, Spyware) Regelmäßige Verwaltung von Patches/Software-Updates Einrichtung von Zugriffsebenen auf verschiedene IT-Systeme nach Berechtigung Netzwerkstrukturen (z. B. Trennung wichtiger Netzwerke von weniger wichtigen) 67 % 62 % 45 % 45 % Vgl % 0 % 0 % 3 % Richtlinie zur IT-Sicherheit an entfernten Standorten/ Niederlassungen Eigene Sicherheitsrichtlinie für Notebooks Verschlüsselung aller gespeicherten Daten (z. B. komplette Datenträgerverschlüsselung) Verschlüsselung der Unternehmenskommunikation Prüfung der IT-Sicherheit von Drittanbietern 37 % 36 % 36 % 34 % 33 % 2 % k. A. k. A. 3 % 2 % Verschlüsselung hochsensibler Daten Physische Sicherung wichtiger IT-Systeme (z. B. Diebstahl- und Brandschutz) Richtlinie und vorbereitende Maßnahmen für die Systemwiederherstellung nach einem Ausfall 44 % 43 % 42 % 7 % 1 % 4 % Eigene Sicherheitsrichtlinie für Smartphones/Tablet-Computer Verschlüsselung der Daten auf Wechseldatenträgern (z. B. USB-Sticks) Client-Management (PC-Lifecycle-Management) 32 % 32 % 32 % k. A. k. A. k. A. Eigene Sicherheitsrichtlinie für abnehmbare/ tragbare Geräte (z. B. USB-Geräte) 38 % k. A. Mobile Device Management 23 % k. A. Die Abbildung zeigt den Prozentsatz der Unternehmen, die verschiedene Sicherheitsmaßnahmen vollständig umgesetzt haben. 13

14 Wir fragten die Teilnehmer, welche Technologien sie glaubten, besser verstehen zu müssen, und interessanterweise war die Fülle an derzeit erhältlicher Verwaltungssoftware mit 51 % die zweithäufigste Antwort (wobei Cloud mit einem Prozent mehr die häufigste war). Sergey Lozhkin meint dazu: Systems Management bietet einen Überblick darüber, was im Netzwerk geschieht, welche Geräte Mitarbeiter verwenden und welche Programme installiert werden. Wenn Sie nicht wissen, welche Programme Ihre Mitarbeiter herunterladen, installieren und verwenden, setzen Sie sich der Gefahr von Angriffen und Malware aus. Es ist schockierend, dass 80 % der Programme von Filesharing-Websites wie Torrent bereits mit einem Virus infiziert sind! David Emm setzt fort: Systems Management wird als schwierig und/oder teuer angesehen. Dieser Glaube scheint in kleinen Unternehmen besonders ausgeprägt zu sein, die glauben, es handle sich um eine Technologie für Großunternehmen. Das muss es aber nicht sein. Die heutigen vereinheitlichten Sicherheitsplattformen bieten alle Systems- Management-Funktionen, die KMU benötigen, aber ohne die Kosten und Komplexität, die Tools für Unternehmen normalerweise zugeschrieben werden. 14

15 Kosten von IT-Sicherheitsverletzungen berechnen 5 Zum ersten Mal in der Geschichte der Umfrage versuchten wir, die finanziellen Auswirkungen von IT- Sicherheitsverletzungen zu beziffern. Dies war keine leichte Aufgabe, da Firmen in der Vergangenheit für ihr Bangemachen kritisiert wurden: plumpe Berechnungen auf Basis der Wahrscheinlichkeit einer Bedrohung multipliziert mit den Kosten pro Stunde Betriebsunterbrechung. Dieser Ansatz besitzt wenig Gültigkeit, da es keinen sinnvollen Durchschnitt gibt und IT-Betriebsunterbrechung je nach Art des Unternehmens unterschiedliche Bedeutungen hat. Ein Online-Händler kann z. B. im Falle eines Denial-of-Service-Angriffs sehr schnell gezwungen sein, das Geschäft aufzugeben. Wohingegen ein professionelles Beratungsunternehmen weiterhin funktioniert, da ein Großteil seines Geschäfts von Angesicht zu Angesicht und über längere Zyklen hinweg stattfindet. 60 % der Datenverluste führten zu einer Beeinträchtigung der betrieblichen Abläufe eines Unternehmens 53 % verzeichneten negative Auswirkungen auf ihren Ruf Finanzieller Schaden ist am größten im Falle von vorübergehend verminderter Geschäftstätigkeit: 1,7 Mio. US-$ bei Großunternehmen US-$ bei KMU Zieht man dies in Betracht, ist es wichtig, die verwendete Methodik beim Berechnen der Kosten von IT-Sicherheitsverletzungen zu erklären. Wir fragten alle Firmen, die einen Datenverlust meldeten (egal ob heikel oder nicht) nach den Auswirkungen dieses Ereignisses. Dabei konzentrierten wir uns nur auf die schwerwiegendste Datenschutzverletzung innerhalb der letzten 12 Monate. Die Fragen betrafen die diversen zusätzlichen Ausgaben sowie Wiederherstellungs- und Präventivmaßnahmen, die infolge der Sicherheitsverletzung getroffen wurden. Die Teilnehmer, die Auskunft über das Ausmaß der Kosten geben konnten, wurden zu den geschätzten Ausgaben befragt. Wir verwenden diese Daten zusammen mit einer näheren Analyse der gemeldeten Auswirkungen von Datenschutzverletzungen, um einige Schätzungen der Gesamtkosten dieser Ereignisse für unterschiedliche Unternehmensgrößen und Arten von Ereignissen vorzunehmen. Die Ergebnisse sind interessant, zu einem großen Teil deswegen, weil sie anstelle von hypothetischen Situationen auf tatsächlichen Ereignissen beruhen. In fast allen Fällen (88 %) wurde eine Art von professioneller Dienstleistung benötigt, um das Problem zu beheben meistens IT- Sicherheitsberater, doch auch Rechtsanwälte fanden sich auf der Liste weit oben. Bei Großunternehmen beliefen sich die durchschnittlichen Kosten hierfür auf US-$. KMU mussten durchschnittlich US-$ bezahlen, was für Kleinunternehmen eine beträchtliche ungeplante Kostenposition darstellt. Ein hoher Prozentsatz (60 %) von Sicherheitsverletzungen hatte eine Beeinträchtigung des Betriebs zur Folge, und 53 % meldeten negative Auswirkungen auf ihren Ruf. Diese Kosten (die weniger genau beziffert werden können, da in manchen Fällen nicht greifbare Faktoren zum Tragen kommen) waren höher US-$ bei Großunternehmen und US-$ bei KMU. Der größte finanzielle Verlustfaktor ist jedoch, wenn eine IT- Sicherheitsverletzung eine vorübergehend verminderte Geschäftstätigkeit zur Folge hat. Dies kam in den befragten Unternehmen seltener vor, doch die dadurch verursachten Kosten waren erheblich: 1,7 Millionen US-$ für Großunternehmen und US-$ für KMU. Danach untersuchten wir, wie viel Präventivmaßnahmen kosten würden wobei zu beachten ist, dass dies Firmen betrifft, die einen Datenverlust hinnehmen mussten und ihre IT-Sicherheit beträchtlich erhöhen müssen. 59 % investierten in zusätzliche Software- oder Hardware-Infrastruktur, 49 % investierten in Mitarbeiterschulungen, und 38 % stellten neue Mitarbeiter ein (dies geschah bei Großunternehmen häufiger als bei KMU). 15

16 Was erhalten wir also, wenn wir all dies unter Beachtung der unterschiedlichen Wahrscheinlichkeiten, mit denen bestimmte Kosten verursacht werden (z. B. geringe Wahrscheinlichkeit für verminderte Geschäftstätigkeit), zusammenzählen? Konservativ gerechnet, und bei ausschließlicher Betrachtung der Zahlen, die die Befragten schnell und einfach ermitteln konnten, beliefen sich die Kosten für eine Datenschutzverletzung auf rund US-$ für Großunternehmen und US-$ für KMU. David Emm, Senior Researcher bei Kaspersky Lab, sagt dazu: Diese Zahlen zeigen die Kosten von IT-Sicherheitsverletzungen wirklich in einem neuen Licht. Wenn Organisationen sich dieser tatsächlichen Kosten bewusst wären, denke ich, dass sie sich ganz anders verhalten würden. Dies zeigt mir den Bedarf sowohl an mehr Wissen und Bewusstsein um das potenzielle Risiko als auch an effektiver Technologie sehr deutlich. Darüber hinaus zeigte ein anderer Teil der Umfrage deutlich, dass Unternehmen nicht so sehr auf die Aufklärung der Endbenutzer bedacht waren, wie sie hätten sein sollen. Viele gezielte Angriffe werden dadurch ermöglicht, dass Mitarbeiter die Bedrohung nicht verstehen, nicht wissen, wonach sie Ausschau halten sollen, was verdächtig ist und wie ihre Aktionen die Sicherheit des Unternehmens, für das sie arbeiten, beeinträchtigen können. Gesamtkosten verpasster Geschäftsmöglichkeiten Die mittleren Kosten verpasster Geschäftsmöglichkeiten aufgrund schwerwiegenden Datenverlusts betragen US-$ bei KMU und US-$ bei Großunternehmen. KMU ( Computerarbeitsplätze) Große Unternehmen (1500 oder mehr Computerarbeitsplätze) US-$ und mehr 7,5 Mio. US-$ und mehr US-$ US-$ 9 1,5 Mio. US-$ - 7,49 Mio. US-$ US-$ US-$ US-$ - 1,4 Mio. US-$ US-$ US-$ US-$ US-$ US-$ US-$ US-$ US-$ US-$ US-$ US-$ US-$ US-$ US-$ US-$ US-$ US-$ US-$ US-$ US-$ US-$ US-$ US-$ US-$ US-$ US-$ US-$ US-$ US-$ US-$ US-$ US-$ 1 0 US-$ US-$ 1 0 US-$ US-$ 16

17 Empfehlungen Zeit, einen Gang zuzulegen 6 Wiegen Sie sich nicht in falscher Sicherheit Ein Virus ist nicht mehr nur etwas, das Ihren Computer verlangsamt. Heutige Bedrohungen sind ausgeklügelt und so entwickelt, dass sie nicht entdeckt werden. Es geht hier nicht wirklich um Selbstsicherheit, sondern darum, zu erkennen, dass IT-Sicherheit sich grundlegend gewandelt hat. Bringen Sie mobile Geräte und Bedrohungen und BYOD unter Ihre Kontrolle Die hohe Nachfrage nach Tablets wird nicht so bald nachlassen, und Unternehmen sollten sich die Priorität setzen, dies aus Sicht der Datensicherheit unter Kontrolle zu bekommen. Dabei geht es zum Teil um die Festlegung von Richtlinien bezüglich BYOD, teils um Mitarbeiteraufklärung und teils um die Implementierung eines Plans, um mobiles Arbeiten sicher zu machen. Wenn sich Daten bewegen, sind sie einem Sicherheitsrisiko ausgesetzt. Anti-Malware reicht nicht mehr aus verbessern Sie Ihre Kontrolle Die diesjährige Umfrage zeigte, dass die Einführung von Patch Management und Systems Management tatsächlich zurückgegangen sind. Andere Bereiche wie Datenverschlüsselung und Mobile Device Management werden noch immer relativ selten verwendet. Bedenkt man, dass Kriminelle vermehrt ausgeklügelte Tools verwenden, um Daten einzusammeln, so ist bessere Kontrolle und mehr Schutz nötig. Die Werkzeuge sind vorhanden und können einfach eine natürliche Erweiterung bestehender Anti-Malware sein. Dieser Entwicklung müssen sich Unternehmen stellen. Verbessern Sie gezielt Ihre IT-Sicherheitsverwaltung über eine zentrale Konsole Als logische Folge des vorhergehenden Punktes müssen weitere Probleme und Technologien bedacht werden, daher muss die Verwaltung in einer Konsole zusammengefasst werden. Nur so können Unternehmen mit beschränkten Ressourcen ihr Sicherheitsniveau heben. Aufklärung, Aufklärung, Aufklärung. Eine Konstante in der diesjährigen Untersuchung ist fehlendes Bewusstsein oder Interesse der Mitarbeiter bezüglich IT-Sicherheit. Rund 40 % der Unternehmen gaben an, dass ihre Mitarbeiter IT-Sicherheitsrichtlinien eher nicht befolgen oder auch nur wissen, warum sie eingeführt wurden. Dies muss sich ändern, und als weltweite Gemeinschaft von IT-Sicherheitsprofis sind wir alle dafür verantwortlich, dass dies schnell geschieht. Wir müssen Mitarbeiter aufklären und ihnen zeigen, wie ihre Aktivitäten und ihr Verhalten das Unternehmen, für das sie arbeiten, und auch ihre persönlichen Daten beeinträchtigen können. Zeigen Sie ihnen die wichtigsten Punkte, die es zu beachten gilt, und sie werden einen dauerhaften Einfluss auf das Sicherheitsniveau des Unternehmens haben. 17

18 With Kaspersky, now you can. Kaspersky Lab ist einer der am schnellsten wachsenden Anbieter von IT- Sicherheitslösungen weltweit und eines der international vier führenden Unternehmen im Bereich Sicherheit. Als globales Unternehmen sind wir in fast 200 Ländern tätig und bieten über 300 Millionen Anwendern sowie mehr als Firmenkunden von kleinen über mittelständischen bis hin zu großen Unternehmen, Behörden und gewerblichen Organisationen Lösungen für den Schutz ihrer Systeme an. Mit unseren fortschrittlichen Lösungen können Unternehmen die Nutzung von Anwendungen, Internet und Geräten optimal steuern. Als Kunde legen dabei Sie die Regeln fest, und unsere Systeme leisten einen Beitrag zu deren Umsetzung. Kaspersky Endpoint Security for Business bekämpft und blockiert hochentwickelte und hartnäckige Bedrohungen. In Kombination mit Kaspersky Security Center erhalten die für die Sicherheit zuständigen Mitarbeiter den Einblick und die Kontrollmöglichkeiten, die sie brauchen, um Gefahren jedweder Art abzuwehren. Mehr erfahren Sie unter Unsere Experten Für diesen Bericht standen folgende Experten aus dem internationalen Forschungs- und Analyseteam von Kaspersky Lab beratend zur Seite. David Emm David Emm fing 1990 in der Antivirenbranche an und wechselte 2004 zu Kaspersky Lab. Dort entwickelte er unseren Workshop für Malware-Schutz. Derzeit ist er der für das Vereinigte Königreich zuständige Senior Regional Researcher und wird in den Medien gern als Experte befragt. Seine Arbeitsschwerpunkte sind das Malware-Ökosystem, Identitätsdiebstahl und die Technologien von Kaspersky Lab. David Emm veröffentlicht seinen Blog unter Costin Raiu Costin Raiu leitet das internationale Forschungs- und Analyseteam. Der frühere Chief Security Expert ist seit 2000 bei Kaspersky Lab tätig und ist Spezialist für schädliche Webseiten, Browser-Sicherheit und Sicherheitslücken, Malware im Bereich Online-Banking, Sicherheit für große Unternehmen und Bedrohungen aus dem Web 2.0. Seinen Blog können Sie unter lesen, oder folgen Sie Costin Raiu auf Twitter Sergey Lozhkin Sergey ist Technologieexperte bei Kaspersky Lab. Er absolvierte 2002 die Omsker Polizeischule und war als Kriminalbeamter in der Abteilung für Cyber-Kriminalität für die Omsker Polizei tätig beendete er den staatlichen Dienst und arbeitete für mehrere Unternehmen als IT-Sicherheitsspezialist und -Techniker. Er arbeitete auch als Penetration-Tester und führte für diverse staatliche und private Unternehmensnetzwerke Penetration-Tests durch. 18

19 With Kaspersky, now you can. kaspersky.de/business Be Ready for What s Next 193na/Stand: November 2013