Zwei Drittel der IT-Entscheider aus 230 Organisationen in Deutschland mit mehr als 20 Mitarbeitern haben angegeben, in den vergangenen Monaten Sicherheitsvorfälle gehabt zu haben. Durchgeführt hatte die Studie das Marktforschungs- und Beratungsunternehmen International Data Corporation (IDC).

Zwar wachse bei den Unternehmen das Verständnis für den Nutzen moderner, ganzheitlicher IT-Security, die Umsetzung lasse aber weiterhin zu wünschen übrig. Bei den 67 Prozent der Unternehmen mit Sicherheitsvorfällen waren am häufigsten PC und Notebooks mit 34 Prozent, Netzwerke mit 31 Prozent sowie Smartphones und Tablets mit 30 Prozent betroffen.

Mitarbeiter Risiko Nummer eins

Dies ist laut IDC vor allem deswegen kritisch, da diese als Einfallstor in das Rechenzentrum genutzt werden. Doch auch Rechenzentren selbst mit 29 Prozent und Server mit 28 Prozent waren ebenso wie Drucker, Sensoren und dem Internet der Dinge betroffen.

Mitarbeiter rangieren nach wie vor auf Platz 1 bei den größten Risiken, gefolgt von unzureichend gesicherten Endpoints und Angriffen von Cyber-Kriminellen, so die Marktforscher. Das Anwender-Fehlverhalten sowie mangelnde Awarness – etwa für die Gefahr von Phising-Mails, Downloads oder Geräteverlusten – hätten Externen demnach in den vergangenen Monaten den Zugang zu Firmendaten erleichtert.

Weniger als 50 Prozent haben ihre Security-Prozesse umfassend automatisiert

Ein weiteres Ergebnis: Weniger als der Hälfte der befragten Unternehmen gelang bisher der Schritt der Neubewertung ihrer IT-Security vom vorherrschenden "Prevent and Protect", also der eher reaktiv orientierten Sicherheitslandschaft hin zu "Detect and Respond".

Demnach hätten nicht einmal 50 Prozent ihre Security-Prozesse umfassend automatisiert. Dadurch würden Potenziale wie beschleunigte Abläufe, eine höhere Transparenz, die Verringerung manueller Fehler sowie die Entlastung der Mitarbeiter weitestgehend nicht genutzt.

Security-Silos bieten keinen ausreichenden Schutz mehr

"Wir sehen nicht selten über 50 bis 80 unterschiedliche Security-Lösungen in einem Unternehmen im Einsatz, entweder als on-premises Software-Lösung, Appliance, Security-as-a-Service oder Managed Sercurity Service", sagt Matthias Zacher, Manager Research and Consulting bei IDC und Projektleiter der Studie.

Zwei Drittel der Unternehmen habe die Integration für bessere Schutz- und Abwehrfähigkeit als erforderlich betrachtet und erkannt, dass ein integrativer Ansatz besser als die Summe aller Security-Lösungen schütze. Dementsprechend stünden in der Bewertung der verschiedenen Security-Prozessthemen die Integration an erster Stelle. Dennoch hapere es auch hier mit der Umsetzung, so ein weiteres Fazit der Studie. (sg)