Trotz einer durchschnittlichen Investition von über zwei Millionen Euro wenden 75 Prozent der Unternehmen für Falschmeldungen genauso viel Zeit auf wie für tatsächliche Angriffe. Das ist eines der wichtigsten Ergebnisse aus einer globalen Umfrage unter 500 Unternehmen. Die Studie wurde in Zusammenarbeit zwischen Edge-Cloud-Plattform Anbieter Fastly und der Enterprise Strategy Group (ESG) durchgeführt.
Laut einer Studie von Fastly nutzen Unternehmen im Durchschnitt elf Tools für den Schutz von Webanwendungen und APIs und geben dafür jährlich über zwei Millionen Euro aus. Trotz dieser Investitionen verursachen diese Tools oft mehr Probleme, als sie lösen.
Die von den Sicherheitslösungen generierten False Positives sind ein ebenso großes Problem wie erfolgreiche Angriffe auf die Sicherheit. Fast die Hälfte aller Security-Warnungen werden durch harmlose Geschäftsaktivitäten verursacht. 75 Prozent der Unternehmen wenden für sie mindestens genauso viel Zeit auf wie für tatsächliche Angriffe.
Die Umfrage deckt einen dringenden Bedarf an einem einheitlichen, modernen und vereinfachten Sicherheitskonzept auf. Befragte Unternehmen waren in den letzten zwölf Monaten durchschnittlich 60 erfolgreichen Angriffen ausgesetzt. Trotz dieser Bedrohungen schalteten 91 Prozent davon ihre Tools ab oder ließen diese im Logging- oder Monitoring-Modus laufen, weil sie Angst vor Fehlalarmen hatten.
82 Prozent derjenigen, die Tools deaktivierten, taten dies weniger als einen Monat nach der Implementierung. Wenn Fehlalarme vermieden werden könnten, würden 92 Prozent der Befragten es vorziehen, ihre Security Tools im Blocking-Modus zu betreiben.
Während Unternehmen auf der ganzen Welt vor der Aufgabe stehen, sich digital zu transformieren, kämpfen viele damit, einen angemessenen Schutz in neuen Anwendungsarchitekturen zu gewährleisten. Die Hälfte der Unternehmen gibt an, dass die Sicherheit von Webanwendungen und APIs schwieriger ist als noch vor zwei Jahren.
Wesentliche Gründe dafür sind die Verlagerung zu öffentlichen Cloud-Diensten und API-zentrierten Anwendungen. 64 Prozent der Unternehmen gehen davon aus, dass in den nächsten zwei Jahren die meisten oder alle ihrer Anwendungen APIs nutzen werden und machen sich Sorgen über Schwachstellen, Malware und Datenexfiltration, die auf diese Endpunkte abzielen. Während 93 Prozent der Befragten planen, eine konsolidierte Sicherheitslösung von einem einzigen Anbieter zu nutzen, tut dies derzeit lediglich 1 Prozent.
"Die Verantwortung Daten, Anwendungen und Nutzer vor Cyber-Bedrohungen zu schützen, liegt nicht mehr allein bei dem Sicherheitsteam, auch wenn die Bedrohungslage immer komplexer wird. Insbesondere die Anwendungssicherheit ist eher eine Teamaufgabe, die Input und funktionsübergreifende Zusammenarbeit über viele Bereiche eines Unternehmens hinweg erfordert", sagt John Grady, Senior Analyst bei ESG.
"Infolgedessen sind Sicherheitsexperten frustriert über die Komplexität und den isolierten Charakter traditioneller Lösungen für die Anwendungssicherheit, die diesen Anforderungen nicht gerecht werden. Moderne Unternehmen benötigen einheitliche Tools und Ansätze, die Schwachstellen zwischen ihrer Public-Cloud-Infrastruktur, Microservices-basierten Architekturen und Legacy-Anwendungen minimieren und gleichzeitig eine Vielzahl von Personas unterstützen können."
Methodik
Um Daten für diesen Bericht zu sammeln, führte ESG eine umfassende Online-Umfrage unter Fachleuten aus den Bereichen Informationssicherheit und IT durch, die mit den Praktiken der Anwendungsentwicklung in ihrem Unternehmen vertraut und beim Einkauf von Sicherheitslösungen beteiligt sind (61 %).
Die Umfrage umfasste auch Entwickler, Engineering und DevOps-Führungskräfte, die Anwendungen für ihr Unternehmen entwickeln und bereitstellen (39 %). Die Befragten verteilten sich auf Nordamerika (41%), Europa (30%) und Asien-Pazifik und Japan (29%).
Die Teilnehmer arbeiten in Unternehmen mit 10 oder mehr Mitarbeitern. Im Einzelnen sind 10 % der Befragten in kleinen Organisationen (d.h. Organisationen mit 10 bis 499 Mitarbeitern), 15 % in mittleren Organisationen (d. h. Organisationen mit 500 bis 999 Mitarbeitern) und 75 % in Enterprise- Organisationen (d. h. Organisationen mit 1.000 oder mehr Mitarbeitern) angestellt.
Die Befragten stammen aus zahlreichen industriellen und staatlichen Bereichen, wobei die größte Beteiligung aus den Bereichen Fertigung (23 %), Finanzdienstleistungen (14 %), Einzelhandel/Großhandel (14 %), Technologie (11 %), Gesundheitswesen (8 %) und Kommunikation (8 %) kommt. Die Umfrage wurde zwischen dem 17. März 2021 und dem 31. März 2021 durchgeführt.