Studie verteilt “ungenügend” an etliche EU-Behörden

The Business Digital Index (BDI), eine Initiative von Cybernews, hat die digitale Sicherheit von 75 EU-Institutionen untersucht. Das Ergebnis ist besorgniserregend: 67% der untersuchten Einrichtungen erhielten die Noten „D“ oder „F“ und gelten damit als „hohes“ oder „kritisches“ Risiko.

Dem BDI-Bericht zufolge hatten alle 75 untersuchten Einrichtungen bereits mindestens einen Datenschutzvorfall zu verzeichnen. Alle untersuchten Einrichtungen mit der Note „C“ wiesen Sicherheitslücken auf, die E-Mail-Spoofing ermöglichen, ebenso wie 96% der Institutionen mit den Noten „D“ und „F“.

Bei 46% der Behörden mit der schlechtesten Bewertung „F“ gab es erst kürzlich ein Datenleck. 85% der Mitarbeitenden in diesen Einrichtungen nutzten ihre Passwörter mehrfach, obwohl diese bereits in früheren Leaks aufgetaucht waren. Das ist ein deutliches Warnsignal dafür, dass Grundlagen der digitalen Sicherheit nicht beachtet werden.

Zentrale Ergebnisse der BDI-Studie (nicht zu verwechseln mit dem Bundesverband der Deutschen Industrie, der sich ebenso abkürzt):
• Die durchschnittliche Sicherheitsbewertung der untersuchten EU-Einrichtungen liegt bei 71 von 100 Punkten, was laut BDI-Methodik einem hohen Risiko entspricht.
• 67% der EU-Institutionen erhielten eine schlechte Bewertung („D“ oder „F“): 32% bekamen die Note „D“, 35% sogar ein „F“ (entspricht unserer Schulnote 6). Die verbleibenden 33% erreichten die Note „C“, keine Institution erzielte eine gute („A“) oder zufriedenstellende („B“) Bewertung.
• In Institutionen mit F-Bewertung verwendeten 85% der Beschäftigten bereits geleakte Passwörter für mehrere Konten; in Einrichtungen der Kategorie D waren es 71%, bei Einrichtungen mit Note C hingegen nur 8%.
• In allen Institutionen mit F- und C-Bewertung sowie in 92% der D-bewerteten Einrichtungen gab es Probleme bei der SSL/TLS-Konfiguration, die das Risiko von Datendiebstahl und Man-in-the-Middle-Angriffen erhöhen.
• Unsichere Hosting-Umgebungen betrafen 92% der mit D oder F bewerteten Institutionen; bei Organisationen mit Note C waren es 100%. Dies erhöht die Gefahr unbefugter Zugriffe.
• 96 % der D- und F-bewerteten sowie alle C-bewerteten Einrichtungen verwendeten für E-Mail-Spoofing anfällige Domains.
• Kompromittierte Unternehmenszugänge wurden bei 96% der F- und 83% der D-bewerteten Institutionen gefunden, aber nur bei 12% der Einrichtungen mit Note C.

Methodik
Für diese Studie untersuchte das BDI-Team insgesamt 75 Behörden und Institutionen der Europäischen Union. Die Cybersicherheitsrisiken wurden anhand sieben zentraler Kriterien bewertet: Aktualität der Software, Sicherheit von Webanwendungen, E-Mail-Schutz, Systemreputation, Hosting-Infrastruktur, SSL/TLS-Konfiguration sowie frühere Datenschutzvorfälle.

Die vollständige Studie gibt es hier.