67% aller EU-Behörden erhalten mangelhafte Noten bei digitaler Sicherheit

The Business Digital Index (BDI), eine Initiative von Cybernews, hat die digitale Sicherheit von 75 EU-Institutionen untersucht. Das Ergebnis ist besorgniserregend: 67% der untersuchten Einrichtungen erhielten die Noten „D“ oder „F“ und gelten damit als „hohes“ oder „kritisches“ Risiko. 

Dem BDI-Bericht zufolge hatten alle untersuchten Einrichtungen bereits mindestens einen Datenschutzvorfall zu verzeichnen. Alle untersuchten Einrichtungen mit der Note „C“ wiesen Sicherheitslücken auf, die E-Mail-Spoofing ermöglichen, ebenso wie 96% der Institutionen mit den Noten „D“ und „F“. 

Bei 46% der Behörden mit der schlechtesten Bewertung „F“ gab es erst kürzlich ein Datenleck. 85% der Mitarbeitenden in diesen Einrichtungen nutzten ihre Passwörter mehrfach, obwohl diese bereits in früheren Leaks aufgetaucht waren. Das ist ein deutliches Warnsignal dafür, dass Grundlagen der digitalen Sicherheit nicht beachtet werden.

Zentrale Ergebnisse der Studie:

• Die durchschnittliche Sicherheitsbewertung der untersuchten EU-Einrichtungen liegt bei 71 von 100 Punkten, was laut BDI-Methodik einem hohen Risiko entspricht.
• 67% der EU-Institutionen erhielten eine schlechte Bewertung („D“ oder „F“): 32% bekamen die Note „D“, 35% sogar ein „F“. Die verbleibenden 33% erreichten die Note „C“, keine Institution erzielte eine gute („A“) oder zufriedenstellende („B“) Bewertung.
• Alle 75 analysierten Einrichtungen hatten bereits mindestens einen Datenschutzvorfall zu beklagen. 46% der mit F bewerteten Institutionen waren sogar erst kürzlich von Datenlecks betroffen.
• In Institutionen mit F-Bewertung verwendeten 85% der Beschäftigten bereits geleakte Passwörter für mehrere Konten; in Einrichtungen der Kategorie D waren es 71%, bei Einrichtungen mit Note C hingegen nur 8%. 
• In allen Institutionen mit F- und C-Bewertung sowie in 92% der D-bewerteten Einrichtungen gab es Probleme bei der SSL/TLS-Konfiguration, die das Risiko von Datendiebstahl und Man-in-the-Middle-Angriffen erhöhen. 
• Unsichere Hosting-Umgebungen betrafen 92% der mit D oder F bewerteten Institutionen; bei Organisationen mit Note C waren es 100%. Dies erhöht die Gefahr unbefugter Zugriffe. 
• 96 % der D- und F-bewerteten sowie alle C-bewerteten Einrichtungen verwendeten für E-Mail-Spoofing anfällige Domains. 
• Kompromittierte Unternehmenszugänge wurden bei 96% der F- und 83% der D-bewerteten Institutionen gefunden, aber nur bei 12% der Einrichtungen mit Note C.

Die vollständige Studie gibt es hier.

Methodik

Für diese Studie untersuchte das Team des Business Digital Index insgesamt 75 Behörden und Institutionen der Europäischen Union. Die Cybersicherheitsrisiken wurden anhand sieben zentraler Kriterien bewertet: Aktualität der Software, Sicherheit von Webanwendungen, E-Mail-Schutz, Systemreputation, Hosting-Infrastruktur, SSL/TLS-Konfiguration sowie frühere Datenschutzvorfälle. 

Eine detaillierte Beschreibung der Methodik und wie das Forschungsteam bei der Analyse vorgegangen ist, finden Sie hier.