Kompromisse bei der IT-Sicherheit: Kein Patching aus Sorge um den Geschäftsbetrieb

Viele CIOs und CISOs können ihre Unternehmen nicht richtig absichern, weil Systeme veraltet sind oder der Geschäftsbetrieb nicht gestört werden darf. Ihr Problem: Bei Führungskräften und anderen Abteilungen hat Security schlicht keine Priorität.

(Foto: niroworld - Fotolia)

Viele Sicherheitsverantwortliche stehen vor enormen Herausforderungen – nicht nur, weil die Zahl der Bedrohungen wächst, sondern auch weil sie nicht so agieren können, wie sie gerne würden, um ihr Unternehmen abzusichern. Das geht aus einer Umfrage von Tanium unter 500 CIOs und CISOs in Firmen mit mehr als 1.000 Mitarbeitern hervor. In dieser gaben 87 Prozent der deutschen CIOs und CISOs an, sie müssten Kompromisse bei IT-Security eingehen, weil sie wegen veralteter Systeme handlungsunfähig sind, sich darauf konzentrieren müssten, den Geschäftsbetrieb aufrechtzuerhalten, oder mit inkonsistenten Daten arbeiten.

Die Ursachen dafür sind vielfältig, am häufigsten wird jedoch in der Umfrage bemängelt, dass Führungskräften und anderen Abteilungen das Verständnis fehlt, wie wichtig bestimmte Security-Maßnahmen und Sicherheitstechnologien für das Geschäft sind (47 Prozent). Zudem werden anderen Dingen oft höhere Prioritäten eingeräumt, etwa die Kundenbetreuung wichtiger genommen als die Einhaltung von Sicherheitsvorgaben (43 Prozent).

Das Ergebnis ist, dass sich CIOs und CISOs oft zurücknehmen, obwohl sie mehr für die Sicherheit tun könnten. So gaben 90 Prozent der deutschen Befragten an, sie hätten schon wichtige Patches und Updates nicht durchgeführt, um den Geschäftsbetrieb nicht zu beeinträchtigen. Damit liegt Deutschland deutlich über dem internationalen Schnitt von 81 Prozent.

Doch auch wenn Updates durchgeführt werden, ist oft nicht sicher, dass die Aktualisierungen alle Geräte erreichen. 94 Prozent der hiesigen CIOs und CISOs musste schon feststellen, dass wichtige Patches nicht wie angenommen auf allen Systemen im Unternehmen installiert wurden – etwa weil einzelne Abteilungen in Silos arbeiten oder ein Überblick über die gesamte Infrastruktur fehlt.

»Unsere Studie belegt, dass über 80 Prozent der weltweit befragten CIOs und CISOs wichtige Updates nicht durchführen, weil sie wegen möglicher Auswirkungen auf den Geschäftsbetrieb besorgt sind. Solche mangelhaften Sicherheitsvorkehrungen können weltweite Cyberangriffe wie etwa durch Wannacry ermöglichen«, mahnt Ryan Kazanciyan, CTO von Tanium. Seine Empfehlung: »Um eine starke Sicherheitskultur im Unternehmen aufzubauen, sollten IT-Operations- und Sicherheitsteams zusammenarbeiten. Diese Zusammenarbeit muss auf gemeinsam erhobenen, verlässlichen Daten basieren, die vollen Einblick und Kontrolle über alle Geräte hinweg ermöglichen.«