Drohender Kontrollverlust: Umfrage identifiziert interne Faktoren wider die IT-Sicherheit

Studie: IT-Sicherheit ist Management-Aufgabe, strikte Prozesse und tagesaktuelle Auswertungen fehlen aber. Ungenügendes Pattern- und Patch-Management untergräbt die sonst guten IT-Sicherheitsstandards vieler deutscher Großunternehmen. Vor dem Hintergrund der steigenden Gefahr durch Zero Day-Exploits genügt das Update-Management in Groß;unternehmen nicht der tatsächlichen Bedrohungslage: Das Vertrauen in automatische Update-Verteilsysteme ist zu hoch. Die Ziele für Pattern- und Patch-Managementsysteme sind zu weit gefasst und die Leistung der Systeme nicht ausreichend transparent, um IT-Sicherheit effektiv kontrollieren zu können. Das sind die Kernaussagen einer vom Sicherheitsdienstleister AMPEG in Auftrag gegebenen und mit rund 50 Chief-Security-Officern und IT-Leitern deutscher Groß;unternehmen durchgeführten Umfrage. Die genannten Faktoren, in Kombination mit nicht ausreichend konkret definierten Management-Prozessen, rauben IT-Leitern zunehmend die Kontrolle über die IT-Sicherheit in ihren Unternehmen.

Nach der Umfrage sehen knapp 30 Prozent der IT-Leiter keine groß;e Gefahr in einem verzögerten Roll-Out von Virenpattern oder Patches, wenn diese überhaupt auf den Zielrechnern ankommen. Ob dies aber wirklich der Fall ist, können viele Unternehmen nicht sicher sagen: Nur knapp 50 Prozent der IT-Leiter prüfen den Verteil-Erfolg regelmäß;ig. „Eine in unseren Augen erstaunlich groß;e Gruppe ist hingegen der Ansicht, dass die Sicherheit auch ohne einen Erfolgsnachweis für die Verteilung grundsätzlich gewährleistet ist“, kommentiert Peter Graf, Geschäftsführer von AMPEG. Lediglich 38,3 Prozent gaben an, dass sie sicherstellen können, dass immer alle Rechner mit allen Pattern/Patches versorgt werden. Dabei verlassen sich allerdings 75 Prozent der Befragten auf Informationen, die eine Woche oder älter sind.

Schwachstelle Patch-Management

In der Studie wurde durchaus ein ausgeprägtes Gefahrenbewusstsein deutlich: „Wird eine Sicherheitslücke durch die Veröffentlichung des Gegenmittels erst einmal weithin publik, bleibt nicht mehr viel Zeit, sie zu schließ;en“, nennt ein IT-Leiter seine konkreten Bedenken. Angriffe erfolgen tatsächlich in immer kürzeren Zeitabständen nach der Veröffentlichung von Pattern oder Patches. „Vor kurzem gelang sogar der Nachweis, dass automatisierte Patch-Exploits möglich sind“, ergänzt Peter Graf. Die Einschätzung, dass die Bedrohung für die IT-Sicherheit schon bei einer Verzögerung um wenige Stunden in relevantem Maß;e steigt, teilen 68 Prozent der Befragten.

Patch-Verteilung dauert zu lange

Die Studie zeige weiter, dass es derzeit viel zu lange dauert, bis Systeme gepatcht sind. Der Hauptgrund laut der Umfrage: Die internen Analyse-Labs geben Patches erst nach durchschnittlich fast einer Woche nach deren Veröffentlichung zur Verteilung frei. Erst nach acht Tagen ist die Patch-Verteilung im Durchschnitt abgeschlossen. Angesichts der aktuellen Bedrohnungslage besteht hier noch viel Potenzial zur Prozessverbesserung. Die in der Befragung gesammelten Aussagen im Hinblick auf die tatsächliche Leistung der Update-Systeme sind kritisch zu beurteilen, die Mehrheit der IT-Leiter schätzten die Zeitangaben lediglich (44,7 Prozent) oder haben überhaupt keine Erkenntnisse (15 Prozent), wie schnell und gründlich ihre Systeme arbeiten.

Management by Gefühl

Die Umfrage zeigt nach den Analysen von AMPEG, dass IT-Sicherheit noch immer keine Disziplin ist, in der fixierte Management-Prozesse mit konkreten, messbaren Zielen, Maß;nahmen, Revisionen und daraus abzuleitenden Handlungen zum Standard gehören.

– 61,7 Prozent der Befragten berichten zwar von konkreten Richtlinien oder SLAs hinsichtlich der Patch-Verteilung, nur die wenigsten konnten oder wollten diese aber konkret benennen.

– Fast die Hälfte prüft die Leistung der Update-Systeme lediglich über Stichproben (34 Prozent) oder gar nicht (ca. 13 Prozent). Das „festgelegte Procedere“, das die restlichen IT-Leiter angeben, beschränkt sich auf die Beobachtung der Rückmeldungen einzelner Konsolen.

Zusätzlich besteht weiterhin das Problem der Beschaffung aktueller Informationen, um eine permanente Überwachung durchzuführen.

Transparenz schaffen

Kontinuierliche und punktuelle Leistungsprüfungen können wertvolle Erkenntnisse zur Verbesserung der IT-Sicherheit liefern. Das verschärfte Bedrohungsszenario bei Patches und die fehlende Transparenz zeigt, dass es deutliches Verbesserungspotenzial gibt. Es besteht weiterhin Optimierungsbedarf, vor allem was die Einhaltung der eigenen Zielvorgaben betrifft. In vielen Unternehmen sind die dafür benötigten Managementsysteme und -prozesse jedoch noch nicht vorhanden. Ein umfassendes Security Level Management kann hier Abhilfe schaffen. Security Level Management ist ein Qualitätssicherungssystem, das IT-Leiter in die Lage versetzt, IT-Sicherheit kontrolliert zu steuern und somit kontinuierlich und nachweislich zu verbessern.

www.security-lighthouse.de