Rückschlag in der Malware-Abwehr
Ergebnisse der <kes>/Microsoft-Sicherheitsstudie 2014: 74 Prozent der Studienteilnehmer waren in den letzten zwei Jahren von Malware-Vorfällen betroffen
Bei den Infektionswegen in die Unternehmen hinein liegt die E-Mail weiterhin an der Spitze, gefolgt von WWW-Inhalten
(17.10.14) - Malware steht für IT-Sicherheitsverantwortliche an oberster Stelle der Gefährdungen für die Unternehmens-IT. Zu diesem Ergebnis kommt die aktuelle <kes>/Microsoft-Sicherheitsstudie 2014. Damit verdrängt Malware zum zweiten Mal in 28 Jahren Studiengeschichte die Bedrohungen durch "Irrtum und Nachlässigkeit eigener Mitarbeiter" auf Platz Zwei.
Darüber hinaus gaben 74 Prozent der Studienteilnehmer an, dass sie in den letzten zwei Jahren generell von Malware-Vorfällen betroffen waren; im Vergleich zur letzten Studie vor zwei Jahren stieg der Wert um 11 Prozent-Punkte an. Damit wurde wieder das Niveau von 2006 (72 Prozent) und 2002 (74 Prozent) erreicht, auch wenn der Spitzenwert von 2004 (88 Prozent) noch unangefochten bleibt. Die mittleren bis größeren Beeinträchtigungen durch Malware (31 Prozent) haben ebenfalls nach langer Zeit erstmals wieder etwas deutlicher zugelegt. Gleichzeitig haben aber mehr Befragte als zuvor einen Rückgang der Häufigkeit der Angriffe angegeben: Bei 67 Prozent der Teilnehmer gab es 2013 weniger Malware-Incidents als 2012 (vorige Studie: 52 Prozent sahen einen Rückgang von 2011 gegenüber 2010).
Die Ergebnisse legen nahe, dass die seit 2006 in den <kes>/Microsoft-Sicherheitsstudien vertretene These "erhebliches Problem, aber der viele Aufwand trägt zunehmend Früchte" zumindest für die vergangenen zwei Jahre ins Wanken gerät. Vielmehr lassen sich die aktuellen Zahlen so interpretieren, dass hier die Angreifer auf "Klasse statt Masse" setzen und bei tendenziell weiterhin rückläufigen Fallzahlen nun eine größere Zahl von Attacken wieder die Abwehr durchbricht, sodass insgesamt ein größerer Anteil der Befragten als zuvor von mindestens einem Malware-Vorfall betroffen war – und auch etwas mehr Teilnehmer nennenswerte Schäden zu verbuchen hatten.
Bei den Infektionswegen in die Unternehmen hinein liegt die E-Mail weiterhin an der Spitze, gefolgt von WWW-Inhalten, die eine Infektion über aktive Inhalte oder "Drive-by"-Attacken bewirken. Speichermedien (+8 Prozent-Pkt. "nie") und Internet-Würmer (+7 Prozent-Pkt. "nie") waren hingegen seltener ein Problem.
Weitere Ergebnisse der Studie in Kurzform:
>> Erneut war mehr als die Hälfte der Befragten mutmaßlich Opfer von Vertraulichkeitsbrüchen – als wichtigste Ursache trat die neue Kategorie "Datenlecks/Probleme bei Partnern" auf, gefolgt vom Verlust und Diebstahl von Speichermedien sowie mobilen Systemen.
>> Die schlechteste Sicherheitseinschätzung erhalten erneut mobile Endgeräte (Smartphones, Tablets & Co.) sowie Speichermedien – industrielle IT-Systeme liegen auf dem Niveau von Telearbeitsplätzen.
>> Über 80 Prozent der Teilnehmer besitzen eine schriftliche Strategie zur Informations-Sicherheit – die Bereitschaft, Konzepte und Maßnahmen schriftlich zu fixieren, nimmt erneut zu.
>> Die organisatorische Umsetzung von Policies in die Praxis nennt erneut fast ein Viertel nicht oder gerade einmal ausreichend – im Mittel ergibt sich eine "befriedigende" Umsetzung.
- Verstöße gegen Gesetze, Vorschriften und Verträge bleiben wichtigstes Kriterium zur Risikobewertung – etwa ein Viertel verzichtet weiterhin auf eine Risikoklassifizierung von Anwendungen und Systemen.
>> ISO 2700x erhält erstmals höhere praktische Bedeutung zuerkannt als IT-Grundschutz – das deutsche Telemediengesetz erlangt höhere Aufmerksamkeit, der Umsetzungsgrad entsprechender Maßnahmen bleibt jedoch auf dem früheren Niveau.
>> Es fehlt wieder häufiger an Geld/Budget, um die Informations-Sicherheit zu verbessern – häufigstes Hindernis bleibt jedoch mangelndes Bewusstsein bei Mitarbeitern.
Über die <kes>/Microsoft-Sicherheitsstudie
Die <kes>-Studien wenden sich an Menschen, die beispielsweise als IT-Sicherheitsverantwortliche, Rechenzentrumsleiter, Revisoren, Datenschutzbeauftragte oder Geschäftsführer für die Informations-Sicherheit in Behörden und Unternehmen zuständig sind. Den umfangreichen Fragebogen der nicht-repräsentativen, aber mit einer hohen Datenqualität versehenen Studie haben dieses Jahr erneut 133 Teilnehmer eingesandt. Da Organisationen, die einen Sicherheitsverantwortlichen haben und an der Studie mitwirken, tendenziell als besonders sicherheitssensitiv gelten müssen, dürfte es außerhalb der erfassten Stichprobe eher noch deutlich schlechter um die Informations-Sicherheit stehen.
(SecuMedia Verlag: ra)
SecuMedia Verlag: Kontakt und Steckbrief
Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.