Datenlecks: Nur 21 Prozent aller Unternehmen kümmern sich zeitnah um Sicherheitslücken
Laut einer neuen Studie lassen sich 42 Prozent aller Datenpannen, die in Unternehmen passieren, auf nicht-eingespielte Sicherheitsupdates zurückführen.
Die Zahlen sind gravierend: Über einen Zeitraum von sechs Monaten versäumen durchschnittlich 28 Prozent der Firmen Sicherheitsupdates durchzuführen. Entsprechend einer Studie des Marktforschungsunternehmens Ponemon im Auftrag von IBM entstehen dadurch rund 57.000 identifizierbare Schwachstellen. Rund 53 Prozent der Befragten gaben an, dass in ihrem Unternehmen in den letzten zwei Jahren Datenlecks entstanden sind, 42 Prozent davon lassen sich darauf zurückführen, dass ein Patch für eine bekannte Schwachstelle verfügbar war, aber nicht angewendet wurde.
Personalmangel verantwortlich?
Nur 21 Prozent der befragten Firmen gaben an, sich zeitnah um Sicherheitslücken zu kümmern. Das Problem sei häufig Personalmangel. Gemäß der Studie verfügen weniger als die Hälfte über ausreichendes Personal, um alle Sicherheitspatches zeitnah einzuspielen. Zudem mangelt es oft an Mechanismen, um das Schließen von Sicherheitspatches nachverfolgen zu können.
Sicherheitslücken priorisieren
Die Befragung zeigt auch, dass 57 Prozent der Unternehmen Probleme mit der Einschätzung der Sicherheitslücken hat. Der Grund dafür liegt bei der Priorisierung, welche Sicherheitslücke die größte Auswirkung auf das Unternehmen hat. "Ohne eine risikobasierte Priorisierungsformel können Schwachstellenmanagement-Teams Schwierigkeiten haben zu entschlüsseln, welche Schwachstellen real sind und das höchste Risiko einer Kompromittierung darstellen", äußerte sich Charles Henderson Global Head von IBM X-Force Red. Derzeit priorisieren nur 25 Prozent der Firmen Sicherheitslücken, die eine direkte Gefahr für die wichtigsten Unternehmenssysteme darstellen.
Gegenwärtig nutzen Unternehmen häufig das Common Vulnerability Scoring System (CVSS) für die Priorisierung von Sicherheitslücken. Im CVSS werden Sicherheitslücken nach verschiedenen Kriterien, sogenannten Metrics, bewertet und miteinander verglichen, so dass eine Prioritätenliste für Gegenmaßnahmen erstellt werden kann. Das System ist wird jedoch diskutiert, wie vorangegangene Forschungen zeigen.
Die vollständige Studie finden Sie hier als Download.
LG
Sie möchten zukünftig per Newsletter der Informatik Aktuell informiert werden? Hier können Sie sich anmelden.