Nachrichten, Gerüchte, Meldungen und Berichte aus der IT-Szene
Redaktion: Heinz Schmitz
Rückschlag in der Malware-Abwehr
Malware steht für IT-Sicherheitsverantwortliche an oberster Stelle der Gefährdungen für die Unternehmens-IT. Zu diesem Ergebnis kommt die aktuelle <kes>/Microsoft-Sicherheitsstudie 2014. Damit verdrängt Malware zum zweiten Mal in 28 Jahren Studiengeschichte die Bedrohungen durch „Irrtum und Nachlässigkeit eigener Mitarbeiter“ auf Platz Zwei.
Darüber hinaus gaben 74 % der Studienteilnehmer an, dass sie in den letzten zwei Jahren generell von Malware-Vorfällen betroffen waren; im Vergleich zur letzten Studie vor zwei Jahren stieg der Wert um 11 %-Punkte an. Damit wurde wieder das Niveau von 2006 (72 %) und 2002 (74 %) erreicht, auch wenn der Spitzenwert von 2004 (88 %) noch unangefochten bleibt. Die mittleren bis größeren Beeinträchtigungen durch Malware (31 %) haben ebenfalls nach langer Zeit erstmals wieder etwas deutlicher zugelegt. Gleichzeitig haben aber mehr Befragte als zuvor einen Rückgang der Häufigkeit der Angriffe angegeben: Bei 67 % der Teilnehmer gab es 2013 weniger Malware-Incidents als 2012 (vorige Studie: 52 % sahen einen Rückgang von 2011 gegenüber 2010).
Die Ergebnisse legen nahe, dass die seit 2006 in den <kes>/Microsoft-Sicherheitsstudien vertretene These „erhebliches Problem, aber der viele Aufwand trägt zunehmend Früchte“ zumindest für die vergangenen zwei Jahre ins Wanken gerät. Vielmehr lassen sich die aktuellen Zahlen so interpretieren, dass hier die Angreifer auf „Klasse statt Masse“ setzen und bei tendenziell weiterhin rückläufigen Fallzahlen nun eine größere Zahl von Attacken wieder die Abwehr durchbricht, sodass insgesamt ein größerer Anteil der Befragten als zuvor von mindestens einem Malware-Vorfall betroffen war – und auch etwas mehr Teilnehmer nennenswerte Schäden zu verbuchen hatten.
Bei den Infektionswegen in die Unternehmen hinein liegt die E-Mail weiterhin an der Spitze, gefolgt von WWW-Inhalten, die eine Infektion über aktive Inhalte oder „Drive-by“-Attacken bewirken. Speichermedien (+8 %. „nie“) und Internet-Würmer (+7 % „nie“) waren hingegen seltener ein Problem.
Weitere Ergebnisse der Studie in Kurzform:
- Erneut war mehr als die Hälfte der Befragten mutmaßlich Opfer von Vertraulichkeitsbrüchen – als wichtigste Ursache trat die neue Kategorie „Datenlecks/Probleme bei Partnern“ auf, gefolgt vom Verlust und Diebstahl von Speichermedien sowie mobilen Systemen.
- Die schlechteste Sicherheitseinschätzung erhalten erneut mobile Endgeräte (Smartphones, Tablets & Co.) sowie Speichermedien – industrielle IT-Systeme liegen auf dem Niveau von Telearbeitsplätzen.
- Über 80 % der Teilnehmer besitzen eine schriftliche Strategie zur Informations-Sicherheit – die Bereitschaft, Konzepte und Maßnahmen schriftlich zu fixieren, nimmt erneut zu.
- Die organisatorische Umsetzung von Policies in die Praxis nennt erneut fast ein Viertel nicht oder gerade einmal ausreichend – im Mittel ergibt sich eine „befriedigende“ Umsetzung.
- Verstöße gegen Gesetze, Vorschriften und Verträge bleiben wichtigstes Kriterium zur Risikobewertung – etwa ein Viertel verzichtet weiterhin auf eine Risikoklassifizierung von Anwendungen und Systemen.
- ISO 2700x erhält erstmals höhere praktische Bedeutung zuerkannt als IT-Grundschutz – das deutsche Telemediengesetz erlangt höhere Aufmerksamkeit, der Umsetzungsgrad entsprechender Maßnahmen bleibt jedoch auf dem früheren Niveau.
- Es fehlt wieder häufiger an Geld/Budget, um die Informations-Sicherheit zu verbessern – häufigstes Hindernis bleibt jedoch mangelndes Bewusstsein bei Mitarbeitern.
Weiter Informationen unter