81 Prozent der deutschen Unternehmen haben Defizite im Umgang mit Schwachstellen

Wie gehen deutsche Unternehmen mit IT-Security-Risiken um?

Vierkirchen bei München, 15. Dezember 2022

Eine zunehmende Digitalisierung von Prozessen ist für deutsche Unternehmen unausweichlich. In diesem Zusammenhang wird das Management von Schwachstellen immer komplexer und nicht zuletzt durch Schatten-IT unübersichtlicher.  Insbesondere die Regelmäßigkeit und die Tiefe der Schwachstellenscans sind hierbei von entscheidender Bedeutung. Aber gerade hier weisen deutsche Unternehmen grundlegende Missstände auf, die zu gravierenden Konsequenzen führen können.

In Zusammenarbeit mit ManageEngine ist das Research- und Analystenhaus techconsult der Frage nachgegangen, wie sich das Schwachstellenmanagement deutscher Unternehmen ausgestaltet und welche Rolle Softwarelösungen in diesem Kontext spielen. Hierfür wurden in der nun veröffentlichten Studie „Effizientes Schwachstellenmanagement in dynamischen IT-Infrastrukturen: Der Umgang deutscher Unternehmen mit IT-Security-Risiken“ 150 IT-Verantwortliche aus Unternehmen mit mindestens 2.000 Beschäftigten befragt.

Unternehmen oft zu langsam im Umgang mit kritischen Schwachstellen

Regelmäßig die eigene IT-Infrastruktur auf Schwachstellen zu untersuchen, stellt einen der Kernaspekte dar, um durch eine vorausschauende Strategie Sicherheitsrisiken zu minimieren. So wird in 45 Prozent der befragten Unternehmen täglich und in mehr als jedem dritten (35 Prozent) wöchentlich die IT-Infrastruktur mithilfe einer Softwarelösung auf Sicherheitslücken gescannt. Dagegen führt jedes fünfte deutsche Unternehmen einen solchen Scan lediglich einmal monatlich (10 Prozent) oder ohne eine Routine unregelmäßig (11 Prozent) durch. Hierbei zeigt sich, dass sich die Regelmäßigkeit eines Sicherheitsscans je nach Unternehmensgröße stark unterscheidet; je größer die Unternehmen, desto häufiger werden Scans durchgeführt. Insbesondere in gewachsenen und komplexen IT-Infrastrukturen müssen routinemäßige und kontinuierliche Schwachstellenscans das IT-Sicherheitskonzept ergänzen, ansonsten laufen Unternehmen Gefahr, Opfer von Cyberkriminellen zu werden. Die Größenklassenunterschiede zeigen sich insbesondere auch im Umgang mit Schwachstellen. So sind Unternehmen mit 5.000 oder mehr Beschäftigten deutlich häufiger in der Lage, kritische Schwachstellen innerhalb eines Tages zu patchen (58 Prozent) als Unternehmen mit 2.000 bis unter 5.000 Mitarbeitenden (40 Prozent). 

Ganzheitliche Sicherheitsstrategie nicht ohne Software

Eine optimierte Schließung von kritischen Lücken lässt sich nicht zuletzt mithilfe einer ganzheitlichen Softwarelösung erreichen. Es zeigt sich jedoch, dass nur jedes dritte befragte Unternehmen (33 Prozent) eine ganzheitliche Lösung für Scan, Bewertung und Behebung von Schwachstellen einsetzt. Dagegen nutzen 38 Prozent der Unternehmen zwei getrennte Anwendungen zur Bewertung und Behebung, was zu einem umständlicheren und längeren Beseitigungsprozess führen kann. Je länger eine Sicherheitslücke offen bleibt, desto größer ist das Risiko eines Angriffs, denn Cyberkriminelle suchen genau diese „offenen Tore“. Jedes zehnte Unternehmen (11 Prozent) scheint indes einer permanent hohen Gefahr ausgesetzt zu sein. Der komplette Verzicht auf unterstützende Softwarelösungen, indem ausschließlich die manuelle Schwachstellenbewertung und -behebung angewandt wird, führt in diesen Unternehmen nicht nur zu einer unverhältnismäßig hohen Belastung der IT-Security-Verantwortlichen, sondern auch zu mehr Sicherheitslücken. Die Ausprägung dieser beiden Faktoren ist dabei unmittelbar von der Komplexität der jeweiligen IT-Infrastruktur abhängig.

Unternehmen priorisieren Schwachstellen nach Schadenspotenzial

Um das Ausmaß eines möglichen Schadens zu verringern, priorisieren die befragten Unternehmen identifizierte Schwachstellen insbesondere nach Schadenspotenzial (54 Prozent) und Ausnutzbarkeit (47 Prozent). Denn hochkritische Schwachstellen, die einfach ausgenutzt und großen Schaden anrichten können, sollten unverzüglich und mit höchster Priorität geschlossen werden. Damit einhergehend werden oftmals auch Schweregrad und Verwundbarkeit (45 Prozent) sowie die Anzahl der betroffenen Systeme (43 Prozent) zur Priorisierung genutzt. Im Sinne einer vorausschauenden Sicherheitsstrategie sollten Schwachstellen softwaregestützt bewertet werden, um zuverlässig zu priorisieren und dadurch Risiken zu minimieren.

Mobile Endgeräte als größte Herausforderung im Schwachstellenmanagement

Die Priorisierung von Sicherheitslücken ist nicht zuletzt begründet in einer explodierenden Anzahl an heterogenen IT-Assets, die zu potenziellen Schwachstellen werden können. Mobile Arbeitsgeräte wie Smartphones, Tablets oder Notebooks weisen laut 27 Prozent der befragten Unternehmen das größte Gefahrenpotenzial auf, da sie häufig auch privat genutzt und nur bedingt von der IT-Sicherheitsinfrastruktur erfasst werden können. Für Unternehmen stellt das Absichern derartiger Endgeräte, insbesondere in Zeiten von Remote work und Homeoffice, eine große Herausforderung dar, die ausschließlich softwaregestützt realisierbar ist. Jedoch haben viele Unternehmen nach eigener Einschätzung auch Defizite beim Umgang mit Schwachstellen in der eigenen Anwendungslandschaft, bestehend aus Cloud-Anwendungen (27 Prozent) und On-Premises-Lösungen (21 Prozent). Lediglich jedes fünfte befragte Unternehmen (19 Prozent) schätzt, dass es alle möglichen Schwachstellen der gesamten IT-Infrastruktur im Überblick hat.

Fazit

Alles in allem zeigen die Studienergebnisse auf, dass deutsche Großunternehmen bereits erste Schritte hin zu einer vorausschauenden Sicherheitsstrategie vorweisen können, jedoch sind deutliche Missstände insbesondere bei der Abdeckung mobiler Endgeräte sichtbar. Zudem ist erkennbar, dass ein Schwachstellenmanagement ohne ganzheitliche Softwarelösung in Zukunft nur noch möglich sein wird, wenn man bereit ist, ein höheres Risiko bei der Absicherung der IT-Infrastruktur einzugehen. Was bedeutet das für die Umsetzung einer vorausschauenden IT-Sicherheitsstrategie? Nur wer Scan, Bewertung und Behebung in einer Anwendung vereint, wird langfristig in die Lage versetzt, Gefahren innerhalb komplexer IT-Infrastrukturen frühzeitig und verlässlich zu entdecken, um so effizient und zeitnah wie möglich kritische Lücken schließen zu können.

Pressekontakt

Für Fragen oder weitere Informationen rund um die Produkte von ManageEngine steht Ihnen unser Presseteam gerne zur Verfügung. Wenn Sie künftig ManageEngine-Pressemitteilungen erhalten wollen, schreiben Sie uns bitte eine E-Mail an presse@micronova.de.

MicroNova
Unternehmenskommunikation
Unterfeldring 6
D-85256 Vierkirchen
Tel.: +49 8139 9300-824
Fax: +49 8139 9300-80
E-Mail: presse@micronova.de



Bildmaterial

Hochauflösende Bilder können Sie direkt bei den jeweiligen Pressemitteilungen herunterladen. Die Fotos und Screenshots sind ausschließlich für die redaktionelle Nutzung frei.

Bitte geben Sie, sofern nicht anders vermerkt, folgendes Copyright an:
Zoho

Über ManageEngine

ManageEngine ist die Enterprise-IT-Management-Sparte der ZOHO Corporation. Weltweit vertrauen Organisationen auf die IT-Management-Lösungen von ManageEngine – vom Start-up bis zum etablierten Unternehmen, darunter 9 von 10 der Fortune-100-Firmen. Sie nutzen die Produkte, um ihre IT-Infrastruktur optimal einsetzen zu können, vom Netzwerk über Server bis hin zu Endpoints und Anwendungen. ManageEngine verfügt weltweit über Niederlassungen, unter anderem in den USA, den Niederlanden, den Vereinigten Arabischen Emiraten, Indien, Singapur, Japan, China, Mexiko, Brasilien und Australien. Gemeinsam mit über 200 Partnern weltweit unterstützt ManageEngine Unternehmen dabei, Geschäftsprozesse und IT optimal miteinander abzustimmen.

Weitere Informationen sind verfügbar unter https://www.manageengine.com sowie im ManageEngine-Blog unter https://blogs.manageengine.com/. ManageEngine ist außerdem auf LinkedIn präsent unter https://www.linkedin.com/company/manageengine, auf Facebook unter https://www.facebook.com/ManageEngine sowie auf X (ehemals Twitter) unter https://twitter.com/manageengine. Für Deutschland ist die MicroNova AG der exklusive Vertriebspartner für die ManageEngine-Lösungen.

Über MicroNova

MicroNova ist seit 1987 als Software- und Systemhaus aktiv und bietet Produkte, Lösungen und Dienstleistungen in drei Geschäftsfeldern: Testing von elektronischen Systemen, Management von Mobilfunk- & Kommunikationsnetzen einschließlich Lösungen für das Industrial Internet of Things (IIoT) sowie die Distribution von IT- und Projektmanagement-Lösungen. 400 Expertinnen und Experten arbeiten mit Technologiekompetenz und Leidenschaft am Hauptsitz in Vierkirchen bei München sowie an acht weiteren Standorten in Deutschland und Tschechien. Zahlreiche Kunden wie Audi, BMW, Continental, Telefónica Germany, Vodafone Deutschland oder Volkswagen vertrauen auf das Know-how von MicroNova.
www.micronova.de | www.manageengine.de


ManageEngine – Support & Kontakt


MicroNova AG
Unterfeldring 6
85256 Vierkirchen

Vertrieb
   +49 8139 9300-456
   Sales-ManageEngine@micronova.de

Technische Unterstützung
   Support kontaktieren