Die rapide wachsende Zahl an Anwendungen zu steuern, zu optimieren und zu schützen, wird für Unternehmen immer schwieriger. Zu diesem Ergebnis kommt eine von F5 in Auftrag gegebene Studie des Ponemon Institute.
Im Rahmen des Application Protection Reports 20181 wurden 3.135 IT- und Sicherheitsexperten aus Deutschland, Grossbritannien, USA, Kanada, Brasilien, China und Indien befragt. Demnach können 38 Prozent der Teilnehmer „nicht zuverlässig“ sagen, dass sie einen Überblick über alle genutzten Apps haben. In Deutschland behaupten dies zumindest 45 Prozent – im weltweiten Vergleich der höchste Anteil.
„Viele Unternehmen schaffen es nicht, mit technologischen Entwicklungen Schritt zu halten“, erklärt David Warburton, Senior Threat Research Evangelist EMEA von F5 Networks. „Da sie zu wenig Einblick in ihre Anwendungen haben, gehen sie unwissentlich gefährliche Sicherheitskompromisse ein. Das ist ein grosses Problem. Denn noch nie war der Druck grösser, Anwendungen mit hoher Geschwindigkeit, flexiblem Funktionsumfang und zuverlässiger Sicherheit bereitzustellen. Hinzu kommt die immer strengere europäische Gesetzgebung für Informationssicherheit.“
Geschäftskritische Apps und die grössten Bedrohungen
Laut der Studie setzen Unternehmen durchschnittlich 9,77 Web-App-Frameworks und -Umgebungen ein. Deutschland befindet sich mit 10,37 leicht darüber, doch deutlich hinter Spitzenreiter USA mit 12,09. Im Schnitt schätzen Unternehmen weltweit 33,85 Prozent aller Apps als „geschäftskritisch“ ein, in Deutschland genau 33 Prozent. Die drei wichtigsten Apps sind in allen Regionen: Dokumentenmanagement und Zusammenarbeit, Kommunikation wie E-Mail und Messaging sowie Microsoft Office.
Die Teilnehmer waren sich auch darin einig, dass die grössten Bedrohungen für Unternehmen heute der Diebstahl von Zugangsdaten, DDoS-Angriffe sowie Internetbetrug sind. In Deutschland sorgen sich 76 Prozent wegen des Diebstahls von Zugangsdaten. Das ist der zweithöchste Wert nach Kanada (81%). DDoS-Angriffe (64%) und Internetbetrug (49%) rangieren bei den deutschen Unternehmen auf den Plätzen zwei und drei.
Hohe Kosten für Unternehmen
90 Prozent der Befragten in Deutschland und den USA sagen, es wäre „sehr ärgerlich“, wenn der Zugriff auf Daten oder Apps nach einem Angriff nicht mehr möglich ist – weltweit der höchste Wert. Die Durchschnittskosten bei erfolgreichen DDoS-Attacken auf Anwendungen betragen weltweit 6,86 Millionen US-Dollar. In den USA sind die Folgen mit Verlusten von 10,64 Millionen Dollar am größten, gefolgt von Deutschland mit 9,17 Millionen Dollar.
Ein ähnliches Bild ergibt sich beim Verlust personenbezogener Daten. Dadurch entstehen im Schnitt weltweit Kosten von 6,29 Millionen Dollar pro Vorfall. Die Plätze eins und zwei belegen auch hier die USA (9,37 Mio. Dollar) und Deutschland (8,48 Mio. Dollar).
Am schlimmsten sind jedoch die Folgen beim Diebstahl von vertraulichen oder sensiblen Informationen wie geistiges Eigentum oder Geschäftsgeheimnissen. In den USA entstehen dadurch die höchsten Kosten mit 16,91 Millionen Dollar, auf Rang zwei liegt Deutschland mit 11,30 Millionen Dollar. Weltweit werden die durchschnittlichen Kosten pro Vorfall mit 8,63 Millionen Dollar beziffert.
Die wichtigsten Schutzmassnahmen
Doch wie können sich Unternehmen am besten vor diesen Gefahren schützen? Gemäss der Studie vor allem durch drei Tools: Web Application Firewalls (WAFs), das Scannen von Anwendungen sowie Penetration Testing. Als wichtigste Möglichkeit des App-Schutzes nannten in Deutschland 29 Prozent WAFs, 20 Prozent Penetration Testing und 16 Prozent das Scannen von Anwendungen. Weltweit waren es 26, 19 und 20 Prozent. Laut dem Anfang des Jahres herausgegebenen „State of Application Delivery Report 2018“ von F5 nutzen bereits 61 Prozent der Unternehmen weltweit WAFs, um Anwendungen zu schützen – ein Trend, der vor allem durch den zunehmenden Einsatz mehrerer Clouds verstärkt wird.
Die aktuelle Studie zeigt weiterhin, dass in Deutschland für die Gewährleistung einer hohen Verfügbarkeit von Web Apps vor allem Backup-Technologien (73%) und DDoS-Abwehrtechniken (64%) verwendet werden. Bei letzterem liegt Deutschland gemeinsam mit Brasilien an der Spitze, beim Backup nur knapp hinter Kanada (76%) und Grossbritannien (74%).
In Sachen Web-Anwendungen, die Secure Sockets Layer- (SSL) und Transport Layer Security- (TLS) Technologie nutzen, liegen Grossbritannien, Indien und Kanada (je 66%) hauchdünn vor Deutschland und den USA (je 65%). Dafür befinden sich die deutschen Unternehmen beim Thema Speicherverschlüsselung mit 50 Prozent an der Spitze, vor Kanada (44%) und den USA (40%).
„Die Ergebnisse zeigen, dass deutsche Unternehmen im weltweiten Vergleich einen sehr hohen Sicherheitsstandard besitzen“, resümiert Andreas Riepen, Vice President DACH bei F5 Networks. „Doch angesichts steigender Bedrohungen und Gefahren sollten sie sich nicht damit zufriedengeben, sondern ihre Sicherheitsarchitekturen weiter modernisieren, ergänzen und an neue Angriffsmethoden anpassen. Ein umfassender Lösungsansatz eines spezialisierten Anbieters kann sie dabei wesentlich unterstützen.“
Der Application Protection Report 2018 umfasst die Koordinierung, Zusammenstellung und Analyse umfangreicher Untersuchungen. Dazu zählen eine Umfrage unter Sicherheitsexperten aus 14 Ländern, weltweite Web-Angriffsdaten von zahlreichen Loryka-Sensoren, Daten von WhiteHat Security zu Schwachstellen sowie die Überprüfung veröffentlichter Exploits und dokumentierter Sicherheitsverstösse in den USA in Zusammenarbeit mit dem Cybersecurity Center-Fachbereich des WhatCom Community College. Die externen Untersuchungen wurden mit den internen Datensätzen von F5 zu DDoS-Angriffen und grösseren Vorfällen kombiniert sowie von Dutzenden F5-Sicherheitsexperten analysiert.