STATUS QUO
IT-SICHERHEIT IN DEUTSCHEN UNTERNEHMEN
Ergebnisse einer Studie von Bitkom Research im Auftrag von F-Secure
Oktober 2017
2
6 von 10 Unternehmen fühlen sich von IT-Angriffen bedroht
Frage: „Bitte beurteilen Sie die Aussage ‚Das Risiko, von IT-Angriffen geschädigt zu werden, ist für unser Unternehmen sehr groß‘ auf einer Skala von 1 „Trifft
voll und ganz zu“, 2 „Trifft eher zu“, 3 „Teils / teils“, 4 „Trifft eher nicht zu“ bis 5 „Trifft überhaupt nicht zu“.“ | Basis: Alle Unternehmen ab 50 Mitarbeiter (n=750)
| Top2 Boxes („Trifft voll und ganz zu“ & „Trifft eher zu“) in Prozent | Abweichungen von 100 Prozent sind rundungsbedingt
27%
28%
26%
26%
45%
28%
21%
32%
28%
36%
21%
34%
36%
32%
36%
33%
38%
41%
29%
32%
22%
33%
24%
23%
25%
27%
12%
10%
24%
26%
26%
26%
33%
10%
7%
14%
9%
6%
20%
10%
9%
13%
11%
12%
3%
4%
1%
4%
4%
3%
2%
5%
0% 20% 40% 60% 80% 100%
Gesamt
50-99 MA
100-499 MA
500+ MA
Finanzdienstleister & Versicherungen
IT & Telekommunikation
Sonstige Dienstleistungen
Sonstige Industrie
Automobilbranche
Handel
Maschinen- / Anlagenbau
Trifft voll und ganz zu Trifft eher zu Teils / teils
Trifft eher nicht zu Trifft überhaupt nicht zu Weiß nicht / keine Angabe
61%
64%
58%
62%
78%
66%
62%
61%
60%
58%
54%
Top2 Boxes
6 von 10 Unternehmen schätzen das Risiko, Schaden durch IT-Angriffe zu nehmen, als hoch ein. Finanzdienstleister und Versicherungen sehen ein überdurchschnittlich hohes Risiko.
3
Mehrheit glaubt, IT-Angriffe können vollständig verhindert werden
Frage: „Bitte beurteilen Sie die Aussage ‚Wir sind der Auffassung, dass man IT-Angriffe vollständig verhindern kann‘ auf einer Skala von 1 „Trifft voll und ganz
zu“, 2 „Trifft eher zu“, 3 „Teils / teils“, 4 „Trifft eher nicht zu“ bis 5 „Trifft überhaupt nicht zu“.“ | Basis: Alle Unternehmen ab 50 Mitarbeiter (n=750) | Top2 Boxes
(„Trifft voll und ganz zu“ & „Trifft eher zu“) in Prozent | Abweichungen von 100 Prozent sind rundungsbedingt
23%
23%
23%
18%
48%
35%
20%
20%
24%
19%
21%
32%
32%
34%
27%
19%
24%
39%
34%
28%
33%
30%
20%
19%
19%
27%
18%
21%
15%
26%
21%
21%
21%
13%
12%
14%
17%
10%
16%
13%
12%
14%
12%
15%
11%
12%
10%
11%
5%
4%
9%
7%
13%
14%
13%
0% 20% 40% 60% 80% 100%
Gesamt
50-99 MA
100-499 MA
500+ MA
Finanzdienstleister & Versicherungen
Handel
Sonstige Industrie
Automobilbranche
IT & Telekommunikation
Sonstige Dienstleistungen
Maschinen- / Anlagenbau
Trifft voll und ganz zu Trifft eher zu Teils / teils
Trifft eher nicht zu Trifft überhaupt nicht zu Weiß nicht / keine Angabe
55%
55%
57%
45%
67%
59%
59%
54%
52%
52%
51%
Top2 Boxes
Mehr als die Hälfte der Unternehmen ist der Ansicht, IT-Angriffe könnten vollständig verhindert werden. Die Finanzdienstleister und Versicherungen zeigen sich hier besonders optimistisch.
4
Zwei Drittel der Unternehmen sind von IT-Vorfällen betroffen
Frage: „War Ihr Unternehmen innerhalb der letzten 12 Monate von IT-Sicherheitsvorfälle betroffen bzw. vermutlich betroffen?“ | Basis: Alle Unternehmen ab 50
Mitarbeiter (n=750)
Großteil der Unternehmen hat IT-Sicherheitsvorfälle festgestellt oder zumindest vermutet. Finanzdienstleister und Versicherungen sind vergleichsweise seltener das Angriffsziel.
67%
72%
62%
67%
75%
70%
69%
65%
64%
64%
62%
14%
14%
13%
16%
13%
11%
19%
17%
16%
16%
14%
0% 20% 40% 60% 80% 100%
Gesamt
50-99 MA
100-499 MA
500+ MA
Automobilbranche
SonstigeDienstleistungen
Maschinen- /Anlagenbau
Handel
IT &Telekommunikation
Sonstige Industrie
Finanzdienstleister &Versicherungen
67%
14%
19%
Nicht betroffen
Nur vermutlich
von IT-Angriffen
betroffen
Von mindestens
einem IT-Angriff
betroffen
5
Die meisten Unternehmen sind Phishing und Malware ausgesetzt
4 von 10 Unternehmen sind von Phishing-Angriffen, ein Drittel von Infizierungen mit Malware betroffen. Vorfälle, die bewusst durch eigene Mitarbeiter verursacht werden, treten kaum auf.
Frage: „Von welchen der folgenden Sicherheitsvorfälle war Ihr Unternehmen innerhalb der letzten 12 Monate betroffen bzw. vermutlich betroffen?“ | Basis: Alle
Unternehmen ab 50 Mitarbeiter (n=750) | Abweichungen von 100 Prozent sind rundungsbedingt
41%
36%
15%
13%
12%
11%
10%
10%
8%
5%
5%
18%
13%
17%
20%
13%
11%
17%
15%
11%
12%
11%
39%
50%
66%
64%
72%
77%
68%
72%
78%
80%
80%
2%
2%
2%
3%
3%
2%
5%
3%
3%
3%
4%
0% 20% 40% 60% 80% 100%
Phishing-Angriffe, d.h. Versuche, über gefälschte Webseiten, E-Mailsoder Kurznachrichten an Unternehmensdaten zu gelangen
Infizierung mit Schadsoftware bzw. Malware mit dem Zielunerwünschte oder schädliche Funktionen auszuführen
IT-Sicherheitsvorfälle, die unbewusst durch eigene Mitarbeiter oderexterne Personen vor Ort verursacht wurden
Angriffe auf Passwörter, z.B. durch Angriffe auf Hash-Werte oderdurch Brute-Force Attacken
Spoofing, d.h. Identitätsdiebstahl von Geräten oder Personen
Infizierung mit Ransomware
Social Engineering, d.h. geschicktes Ausfragen von Mitarbeitern meistunter Verschleierung der eigenen Identität
Ausnutzen von Software Schwachstellen
Distributed Denial of Service Attacken mit dem Ziel bereitgestellteDienste funktionsunfähig zu machen
IT-Sicherheitsvorfälle, die bewusst durch eigene Mitarbeiter oderexterne Personen vor Ort verursacht wurden
Man in the middle Angriffe
Betroffen Vermutlich betroffen Nicht betroffen Weiß nicht / keine Angabe
6
Unternehmen reagieren mit Technologie-Investitionen auf Vorfälle
Frage links: „War Ihr Unternehmen innerhalb der letzten 12 Monate von IT-Sicherheitsvorfälle betroffen bzw. vermutlich betroffen?“ | Basis links: Alle
Unternehmen ab 50 Mitarbeiter (n=750) | Frage rechts: „Welche der folgenden Maßnahmen wurden in Folge der bei Ihnen in den vergangenen 12
Monaten aufgetretenen Sicherheitsvorfälle ergriffen?“ | Basis rechts: Unternehmen ab 50 Mitarbeiter, die innerhalb der vergangenen 12 Monate von
mindestens einem Angriff auf ihre IT-Infrastruktur betroffen oder vermutlich betroffen waren (n=609) | Mehrfachnennungen möglich
45%
36%
33%
31%
22%
13%
2%
11%
4%
0% 20% 40%
Erhöhte Ausgaben inSicherheitstechnologie
Einführung regelmäßigerBedarfsanalysen für IT-
Sicherheit
Einführung zusätzlicherSicherheits- und
Prüfungsanforderungen
Zusätzliche Mitarbeitereingestellt
IT-Sicherheitsanbietergewechselt
Mitarbeiter entlassen
Sonstige Maßnahmen
Keine Maßnahmen
Weiß nicht / keine Angabe
Fast die Hälfte der Unternehmen hat infolge von Sicherheitsvorfällen in zusätzliche Sicherheits-technologie investiert. Bei jedem zehnten Unternehmen bleiben die Vorfälle dagegen folgenlos.
67%
14%
19%
Nicht betroffen
Nur vermutlich
von IT-Angriffen
betroffen
Von mindestens
einem IT-Angriff
betroffen
7
Selbst Firewall, Virenscanner und Backup sind nicht bei allen im Einsatz
Nur 9 von 10 Unternehmen setzen Standard-Maßnahmen wie Firewall, Virenscanner und Backup ein. Erweiterte Maßnahmen wie Sicherheitssysteme (z.B. SIEM) besitzt jedes dritte Unternehmen.
Frage: „Welche der folgenden technischen IT-Sicherheitsmaßnahmen hat Ihr Unternehmen bereits umgesetzt, plant Ihr Unternehmen in Zukunft umzusetzen
bzw. diskutiert Ihr Unternehmen, um sich gegen IT-Sicherheitsvorfälle zu schützen?“ | Basis: Alle Unternehmen ab 50 Mitarbeiter (n=750) | Abweichungen von
100 Prozent sind rundungsbedingt
90%
90%
88%
75%
73%
56%
49%
48%
39%
35%
35%
35%
8%
6%
7%
15%
13%
20%
27%
25%
28%
26%
25%
23%
1%
2%
4%
6%
7%
17%
16%
15%
20%
23%
23%
22%
5%
7%
8%
8%
12%
12%
17%
16%
20%
0% 20% 40% 60% 80% 100%
Virenscanner
Firewalls
Regelmäßiges Erstellen von Backups für Daten
Passwortschutz auf allen Endgeräten
Verschlüsselter E-Mail-Verkehr
Verschlüsselung von Daten auf Datenträgern
Patch- und Änderungsmanagement
Absicherung des internen Firmennetzwerkes gegen Datenabfluss voninnen
Penetrationstests zur praktischen Verifikation der Wirksamkeit vonSchutzmaßnahmen
Intrusion Detection oder Intrusion Detection and Prevention System
Security Information and Event Management-System (SIEM)
Einsatz von erweiterten Verfahren zur Benutzeridentifikation aufEndgeräten
Bereits umgesetzt Geplant Diskutiert Aktuell kein Thema Weiß nicht / keine Angabe
8
Kontakt
F-Secure GmbH
Berk Kutsal
PR Manager
089-787467-28
Ihre Ansprechpartner
Bitkom Research GmbH
Dr. Axel Pols
Geschäftsführer
030-27576-120
Bitkom Research GmbH
Lukas Gentemann
Research Consultant
030-27576-545