Warum US-Firmen nicht ganz so sicher sind wie angenommen

Warum US-Firmen nicht ganz so sicher sind wie angenommen

03/2019

Die alte Platitüde: 100% Sicherheit gibt es nicht

 

Die USA sind im Moment sicherlich in mancher Hinsicht eine gespaltene Nation, aber die Sorge um die Cyber-Sicherheit als Bedrohung für eine Mehrheit der US-Unternehmen gehört nicht dazu. Darin sind sich alle einig.

Die Mehrheit der Teilnehmer einer kürzlich von FICO durchgeführten Umfrage versteht und erkennt das Risiko von Datenschutzverletzungen und erwartet, dass sie zunehmen, glaubt aber auch, dass sie besser vorbereitet ist als ihre Mitbewerber. FICO, ursprünglich Fair, Isaac & Co., ist ein Datenanalyse-Unternehmen mit Sitz in San Jose, Kalifornien, das sich auf Dienstleistungen im Bereich Credit-Scoring spezialisiert hat.

Doch in einer Welt, in der intelligente Unternehmen wie Facebook, Yahoo und Target Opfer von Hackern werden können, wie vorbereitet können sie sein? Fünfhundert Führungskräfte, meist IT-Manager, nahmen an der Studie teil, die von Ovum durchgeführt wurde.

 

Punkt Nr. 1: Unternehmen sind sich bewusst, dass Cyber-Sicherheitsbedrohungen bestehen.

Zwei Drittel (63 Prozent) der Befragten gaben an, dass sie erwarten, dass das Gesamtniveau der Cyber-Bedrohungen und Datenverstösse im Laufe des kommenden Jahres zunehmen wird. Dreiunddreissig Prozent berichteten über einen Anstieg der Cyber-Sicherheitsangriffe, und 57 Prozent berichteten über das gleiche Volumen wie im Vorjahr - damals gaben 61 Prozent der Unternehmen bereits an, eine erhöhte Anzahl von Cyber-Sicherheitsangriffen zu verzeichnen

 

Punkt 2: Auf Cyber-Sicherheitsbedrohungen vorbereitet

Mehr als zwei Drittel (68 Prozent) der Befragten schätzten ihre Cybersicherheitsabwehr als überdurchschnittlich (31 Prozent) oder als eine der besten ihrer Branche (37 Prozent) ein; 93 Prozent glauben, dass das Top-Management ihres Unternehmens ausreichend darauf bedacht war, Verstösse zu verhindern; und 57 Prozent erwarten, dass eine Bewertung ihrer Cybersicherheitsabwehr in einem Jahr zu dem Schluss kommt, dass sich ihre Einsatzbereitschaft verbessert hat.

 

Punkt 3: Strategien zur Risikoeinschätzung eingesetzt

Ein Grund für das Vertrauen der Befragten ist vielleicht die Bandbreite der von ihnen eingesetzten Strategien zur Risikobewertung: Siebenunddreissig Prozent berichteten über die Verwendung von Software, die das Risiko einer Datenschutzverletzung misst, 27 Prozent berichteten über die Durchführung einer Risikobewertung durch eine externe Agentur und nur 13 Prozent verfügten überhaupt nicht über eine Strategie zur Risikobewertung.

 

Punkt 4: Kaum konkrete Cyber Defence-Pläne

Bei den konkreten Methoden zum Schutz der Unternehmensdaten hatten jedoch nur 29 Prozent der Befragten einen getesteten Reaktionsplan für Datenschutzverletzungen; 23 Prozent hatten einen Vorstandsmitglied, der für Cybersicherheit zuständig war; 23 Prozent hatten einen laufenden Überwachungs-, Bewertungs- und Berichtsdienst für Cybersicherheitsrisiken; und 25 Prozent hatten Berichtsstrategien und -mechanismen auf Vorstandsebene, um den Sicherheitsstatus ihrer Organisation hervorzuheben.

 

Punkt 5: Mit solchen Freunden …

Studien zeigen, dass mehr als die Hälfte der Datenschutzverletzungen innerhalb der Lieferkette eingeleitet werden, aber nur 31 Prozent der Befragten berichteten, dass sie regelmässig das Cybersicherheitsrisiko ihrer Partner mit ihrem eigenen vergleichen. Obwohl es mittlerweile üblich ist, dass die Cyber-Risikobewertung Teil des Beschaffungsprozesses ist, führen nur wenige Unternehmen mehr als eine periodische Risikobewertung durch, und 28 Prozent geben zu, eine erste Bewertung überhaupt nicht zu aktualisieren.

 

Punkt 6: Versichert – so irgendwie

Sechsundsiebzig Prozent der US-Organisationen berichten heute über eine Cyber-Risikoversicherung, aber nur 32 Prozent haben eine umfassende Versicherung. Am unwahrscheinlichsten war die Cyber-Risikoversicherung im Gesundheitswesen, wo derzeit nur 30 Prozent versichert sind, während weitere 40 Prozent planen, im kommenden Jahr eine Versicherung abzuschliessen. Viele US-Organisationen (73 Prozent) glauben nicht, dass ihre Prämien auf einer genauen Bewertung ihres Risikoprofils basieren. Die meisten Unternehmen (33 Prozent) sagen, dass ihre Prämien auf Durchschnittswerten ihrer Branche basieren.

 

Punkt 7: Das interne Risiko

Als wir nach der Bedrohung durch diejenigen fragten, die Zugang zu Systemen und Netzwerken hatten, wird das interne Risiko - von ihren eigenen Mitarbeitern - als viel höher wahrgenommen als das Risiko von externen IT-Anbietern und Drittanbietern - 81 Prozent gegenüber 15 Prozent bzw. 4 Prozent. Die Mehrheit der Befragten ist in leitenden IT-Positionen tätig, so dass es interessant ist, dass die grösste Anzahl der Befragten, 55 Prozent, die grösste Bedrohung als von ihrem eigenen Unternehmen ausgehend erachten.

 

Punkt 8: Wir haben sie gut erzogen

Obwohl sie einen grossen Teil ihres Cybersicherheitsrisikos als intern betrachten, glauben 85 Prozent der Befragten, dass ihre Mitarbeiter über ausreichende Kenntnisse verfügen, um Verstösse zu verhindern. Es scheint, dass Bildung und Wissen nicht das gewünschte Verhalten bewirken.

 

Punkt 9: Jede Industrie für sich

Es ist anzumerken, dass bei der Aufteilung der Antworten nach Sektoren ein hohes Mass an Divergenz bestand. Nur 39 Prozent der Befragten mit Telekommunikationsbezug erwarten einen Anstieg der Angriffsraten, verglichen mit 80 Prozent bei Finanzdienstleistungen sowie Einzelhandel und E-Commerce. Dies könnte ein Spiegelbild dafür sein, dass sich das Volumen der Angriffe in den USA nach einer Phase erheblichen Wachstums zu stabilisieren beginnt - oder dass Cyberkriminelle ihre Angriffe auf bestimmte Arten von Organisationen richten, vielleicht diejenigen, die sie als diejenigen wahrnehmen, die die schwächste Verteidigung haben.

 

Eweek.com; Chris Preimesberger; 31.1.2019

https://www.eweek.com/security/why-u.s.-firms-are-less-cyber-secure-than-they-think