IT-Sicherheit: State of the Nation

Studie: Viele Betreiber kritischer Infrastrukturen schätzen ihre eigene Situation optimischer ein als der anderen

Datum
12. Juli 2017
Autor

Zahlreiche Betreiber kritischer Infrastrukturen waren letztes Jahr Cyberangriffen ausgesetzt. Darum investieren sie viel in die IT-Sicherheit – und schätzen ihre Schutzmassnahmen als gut ein. Das ist Fazit einer Studie für das Forschungsprojekt «Vernetzte IT-Sicherheit Kritischer Infrastrukturen» der Universität der Bundeswehr München.

Angriffe sind alltäglich

73 Prozent der Organisationen und 85 Prozent der Kritischen Infrastrukturen, die an der Studie teilgenommen hatten, waren letztes Jahr das Ziel von Cyberangriffen. 14 Prozent verneinten Attacken – und 13 Prozent wussten schlicht von nichts. 38 Prozent zählten bis zu 10 Angriffe, 6 Prozent 11 bis 100 Angriffe und 13 Prozent über 100 Angriffe.

Innensicht vs Außensicht

Obwohl 77 Prozent ihre Schutzmaßnahmen als gut oder sehr gut einschätzen, lösten 40 Prozent (alle Teilnehmer) beziehungsweise 45 Prozent (nur KRITIS) der Angriffe einen Serviceausfall oder Datenverlust aus. Die Betreiber kritischer Infrastrukturen wurden überproportional oft spezifisch (Denial of Service, Innentäter, Exploit Kits) attackiert.

Mehr Geld im nächsten Jahr

60 Prozent der Betreiber kritischer Infrastrukturen beurteilen die eigenen Investitionen in die IT-Sicherheit als zu gering (28 Prozent) oder gar viel zu gering (32 Prozent). 64 Prozent gehen davon aus, dass die Investitionen im nächsten Jahr steigen werden.

ITIL, BSI IT-Grundschutz und ISO/IEC 27001

Die meisten Organisationen setzen auf bewährte Rahmenwerke und Standards wie ITIL, BSI IT-Grundschutz und ISO/IEC 27001. 44 Prozent der Betreiber kritischer Infrastrukturen haben ihr Managementsystem für Informationssicherheit bereits zertifiziert (16 Prozent) oder arbeiten daran (28 Prozent). Im Gegensatz zu anderen Organisationen setzen KRITIS-Betreiber überdurchschnittlich oft auf ein ISO/IEC 27001-zertifiziertes ISMS.

An der Studie nahmen 79 IT-Sicherheitsverantwortliche teil, unter anderem aus den Bereichen Wasser- und Energieversorgung sowie Informations- und Kommunikationstechnik. 25 von ihnen arbeiten für Betreiber kritischer Infrastrukturen.

Einschätzung

Die Studie gibt einen guten Einblick in die aktuelle Situation. Deutsche Firmen, besonders die Betreiber kritischer Infrastrukturen, sind ein beliebtes Ziel für Cyberkriminelle. Obwohl sich die meisten gut geschützt und sicher fühlen, werden sie regelmäßig angegriffen. Viele schätzen ihre Situation optimistischer ein als die der Branche oder des Wirtschaftsstandortes.

Positiv ist, dass immer mehr Organisationen auf ein Managementsystem für Informationssicherheit setzen und dieses nach ISO/IEC 27001 zertifizieren lassen. Allerdings wird die Zeit für die KRITIS-Betreiber, die noch kein ISMS eingeführt haben, langsam knapp, um alle gesetzlichen Auflagen zu erfüllen. Hier gibt es für viele im nächsten Jahr noch viel zu tun.

Zielgruppen

  • Management
  • IT- und IS-Verantwortliche