Tripwire Studie: 25 Prozent aller Datenschutzverstöße bleiben mindestens 24 Stunden unentdeckt

London, Großbritannien, 07. Mai 2014: Die Tripwire Inc., ein globaler Anbieter von auf Risiko-Analysen basierenden IT-Sicherheits- und Compliance Management Lösungen, hat heute die Ergebnisse einer von Tripwire gesponserten Studie von Atomic Research bei 102 Finanzinstituten und 151 Händlern in Großbritannien, die alle Kreditkartenzahlungsmöglichkeiten anbieten, veröffentlicht.

Die Studienergebnisse lassen den Schluss zu, dass die aktuellen Datenschutzverstöße nur einen geringen Einfluss auf die IT-Sicherheitskontrollen der Handels- und Finanzorganisationen haben. Von allen Befragten gaben 35% an, dass es in etwas zwei bis drei Tage dauern würde, bis ein Datenschutzverstoß in ihren Systemen entdeckt wird. Sie finden das besorgniserregend? Nach dem Data Breach Investigation Report 2014 von Verizon werden 85% aller Point-of-Sale Einbrüche erst nach zwei Wochen und 43% aller Webapplikations-Attacken erst nach Monaten entdeckt.

Der Payment Card Industry Data Security Standard (PCI DSS) ist ein IT-Sicherheitsstandard, der die minimalen IT-sicherheitstechnischen Anforderungen für Organisationen, die mit Kreditkarteninformationen arbeiten, festlegt. Auf die Frage, wie wichtig die Einhaltung des PCI Standards innerhalb der gesamten IT-Sicherheitsstrategie des Unternehmens ist, antworteten 43% der Befragten, dass dies die Grundlage ihres gesamten IT-Sicherheitsprogramms sei und 36% der Befragten, dass dies die Hälfte ihres IT-Sicherheitsprogramms ausmacht. Wie dem auch sei. Um die vertraulichen Daten der Kunden besser zu schützen, benötigen Organisationen zusätzliche IT-Sicherheitskontrollmaßnahmen.

„Aufgrund dieser aktuellen Welle von umfangreichen Kreditkarten-Datenschutzverstößen ist es schockierend, dass die Befragten eine derartige Zuversicht zur Schau stellen“ erklärt Tim Erlin, Direktor IT-Sicherheit und Risikostrategien bei Tripwire, als Reaktion auf die aktuell bekanntgewordenen Vorfälle. „60 Prozent aller Befragten gaben an, dass sie sehr zuversichtlich sind, dass ihre aktuellen IT-Sicherheitskontrollen in der Lage sind, den Verlust von Dateien zu verhindern. Aber diese Zuversicht sollte eigentlich aufgrund der aktuellen Vorfälle längst verflogen sein.“

Weitere Ergebnisse der Studie:

  • 24% aller Befragten haben mindestens einen Datenschutzverstoß zugegeben, bei dem persönlich identifizierbare Informationen gestohlen wurden bzw. auf die von unautorisierten Eindringlingen zugegriffen wurde.
  • 36% aller Befragten haben kein Vertrauen in ihren aktuellen Incident Response Plan.
  • 51 Prozent der Befragten sind nur „irgendwie“ zuversichtlich, dass ihre IT-Sicherheitskontrollen in der Lage sind, gefährliche Applikationen aufspüren zu können.
  • 40 Prozent der Befragten sind nicht der Meinung, dass die aktuell bekanntgewordenen Kreditkarten-Datenschutzverletzungen etwas hinsichtlich des IT-Sicherheitsbewusstseins bei der Führungsetage geändert hätten.

„Es ist sehr gut, dass die aktuell bekanntgewordenen Datenschutzverletzungen das generelle IT-Sicherheitsbewusstsein und den internen Dialog verbessert haben“ erklärt Dwayne Melancon, CTO bei Tripwire. „Dennoch  führt die verbesserte interne Kommunikation anscheinend zu einem falschen IT-Sicherheitsbewusstsein. So gaben beispielsweise 95 Prozent der Befragten an, dass sie innerhalb einer Woche einen Datenschutzverstoß auf einem kritischen System entdecken würden. In der Realität sind alle der bekannt gewordenen Datenschutzverstöße meist erst nach Monaten das erste Mal entdeckt worden. Zudem sind nur 60 Prozent aller Befragten der Meinung, dass ihre Systeme genug gehärtet wären, um ähnliche wie die bekannt gewordenen Datenschutzverstöße zu verhindern. Diese Einstellung impliziert ein hohes Maß an Selbstzufriedenheit oder Naivität unter den Informationssicherheitsverantwortlichen. Ich glaube, dass die meisten dieser Organisationen ein sehr böses Erwachen haben werden, wenn ihre Systeme von Cyberkriminellen angegriffen werden.“

Weitere Informationen über diese Studie finden Sie unter http://www.tripwire.com/company/research/uk-retail-and-financial-survey

Über Tripwire:
Tripwire ist ein weltweit führender Anbieter von auf Risiko-Analysen basierenden IT-Sicherheits- und Compliance-Management-Lösungen, die es Unternehmen, Behörden und Service Providern ermöglichen, die notwendige IT-Sicherheit in ihren Geschäftsalltag zu integrieren. Tripwire bietet ein breites Produktportfolio für grundlegende IT-Sicherheitsmaßnahmen wie eine sichere Konfigurationsverwaltung, Schwachstellenmanagement, die Überwachung der Integrität von Dateien wie auch das Log- und Event-Management. Die Lösungen von Tripwire ermöglichen einen bisher unerreichten Einblick in wichtige IT-Sicherheitsbereiche und stellen die erforderlichen Zusammenhänge zum geschäftskritischen Umfeld her. Die Kunden können ihre sensiblen Daten vor Datenverlust, Schwachstellen und Bedrohungen schützen. Weitere Informationen finden Sie unter http://www.tripwire.com