Pressemitteilung

Kiteworks Data Forms Report deckt kritische Sicherheitslücken auf: 44 % erlitten Datenschutzverstöße durch Formulareinsendungen und 85 % fordern Kontrolle über Datensouveränität

Kiteworks, das Unternehmen, das Organisationen dabei unterstützt, Risiken beim Senden, Teilen, Empfangen und Nutzen vertraulicher Daten effektiv zu steuern, veröffentlicht heute den umfassenden 2025 Data Security and Compliance Risk: Data Forms Survey Report. Die Befragung von 324 Experten aus den Bereichen Cybersecurity, Risikomanagement, IT und Compliance zeigt eine ernüchternde Realität: Organisationen stehen vor einer gravierenden Sicherheitslücke zwischen ihrem Vertrauen in den Schutz von Web-Formularen und den tatsächlichen Vorfallzahlen. Anforderungen an Datenhoheit und Verschlüsselung erzwingen einen dringenden Wechsel von herkömmlichen Web-Formularen zu sicheren Data Forms.

Die Umfrageergebnisse zeichnen ein klares Bild der Verwundbarkeit von Web-Formularen in modernen Unternehmen. Obwohl 64 % der Organisationen ihre Sicherheitsreife als fortgeschritten oder führend einstufen, hatten 88 % in den letzten zwei Jahren mindestens einen Sicherheitsvorfall im Zusammenhang mit Web-Formularen, wobei 44 % nachweislich Datenpannen durch Formulareinreichungen erlitten.

„Die Ergebnisse sind eindeutig. Hören Sie auf, veraltete Web-Formulare zu nutzen. Setzen Sie auf sichere Data Forms,“ sagt Tim Freestone, CMO bei Kiteworks. „Diese Studie bestätigt, was Sicherheitsverantwortliche schon lange vermuten, aber bislang nicht quantifizieren konnten: Herkömmliche Web-Formulare sind das schwächste Glied im Schutz von Unternehmensdaten. Über Formulare werden die sensibelsten Informationen gesammelt – Finanzdaten, Gesundheitsdaten, Authentifizierungsdaten, Ausweisdokumente – doch die meisten Lösungen wurden auf Komfort, nicht auf Sicherheit ausgelegt. Die Branche muss Formulare nicht mehr als bloße Dateneingabewerkzeuge, sondern als kritische Infrastruktur betrachten, die militärischen Schutz, vollständige Datenhoheit und kontinuierliche Compliance-Prüfung erfordert.“

Bedrohungslandschaft zeigt anhaltende Risiken

Der Bericht dokumentiert weit verbreitete und ausgefeilte Angriffe auf Web-Formulare in allen Branchen:

• 61 % waren Bot- und automatisierten Angriffen ausgesetzt, bei denen Formulare mit bösartigem Traffic geflutet wurden
• 47 % erlebten SQL-Injection-Angriffe, obwohl parameterisierte Abfragen weit verbreitet sind
• 39 % hatten mit Cross-Site-Scripting-(XSS)-Schwachstellen zu kämpfen
• 28 % litten unter Session-Hijacking-Vorfällen
• 21 % wurden Opfer von Man-in-the-Middle-Angriffen

Diese Angriffe treten trotz weitreichender Nutzung traditioneller Sicherheitskontrollen auf. Die Daten zeigen, dass zwar Kontrollen auf Plattformebene existieren, diese aber keine durchgängige Abdeckung für ältere, eingebettete und abteilungsbezogene Formulare bieten.

Datenhoheit wird zur unverzichtbaren Anforderung

Die auffälligste Erkenntnis der Umfrage: 85 % der Organisationen bewerten Datenhoheit als kritisch oder sehr wichtig, 61 % sehen sie als zwingend für die Compliance an. Die Anforderungen an Datenhoheit sind branchenübergreifend hoch – Regierung (94 %), Finanzdienstleister (93 %), Gesundheitswesen (83 %) und Technologie (86 %).

„Die Ergebnisse zur Datenhoheit verändern die Diskussion über Formularsicherheit grundlegend,“ sagt Patrick Spencer, SVP Americas Marketing und Industry Research bei Kiteworks. „Organisationen können sich nicht einfach der souveränen Kontrolle entziehen – sie müssen nachweisen, dass Bürger- und Kundendaten in genehmigten Jurisdiktionen verbleiben. Herkömmliche Formularlösungen bieten diese Möglichkeiten nicht, da sie nie für Multi-Region-Isolierung oder Government-Cloud-Deployments konzipiert wurden. Der Markt teilt sich in Anbieter, die Datenresidenz nachweisen können, und solche, die es nicht können.“

Regulatorische Komplexität treibt Marktsegmentierung

Organisationen agieren unter mehreren sich überschneidenden Rahmenwerken: 92 % unterliegen DSGVO-Anforderungen, 58 % müssen PCI DSS erfüllen, 41 % arbeiten nach HIPAA (97 % im Gesundheitswesen) und 75 % der Regierungsbefragten benötigen eine FedRAMP-Zertifizierung. Diese regulatorische Überschneidung schafft klar abgegrenzte Marktsegmente mit sehr unterschiedlichen Sicherheitsanforderungen.

Das Hochsicherheitssegment – Regierung und Finanzdienstleister – verlangt FedRAMP-Zertifizierung, FIPS 140-3-validierte Kryptografie und strikte Datenresidenz-Kontrollen. Behörden fordern, dass 75 % der Daten im Land verbleiben, was Anbieter ohne staatliche Zertifizierungen ausschließt. Finanzdienstleister tragen das höchste Risikoprofil (90 % erfassen Finanzdaten, 83 % verarbeiten Zahlungskarten), während das Gesundheitswesen die sensibelsten Daten verarbeitet (97 % erfassen geschützte Gesundheitsinformationen). Die Studie zeigt: 71 % planen innerhalb von sechs Monaten Upgrades, getrieben durch aktuelle Vorfälle (82 %) und regulatorische Anforderungen (76 %).

Detection-Response-Gap macht Organisationen angreifbar

Die Untersuchung deckt eine kritische operative Lücke auf: Während 82 % der Organisationen über Echtzeit-Bedrohungserkennung verfügen, setzen nur 48 % auf automatisierte Incident Response. Das bedeutet, dass etwa 34 % Angriffe zwar in Echtzeit erkennen, aber weiterhin auf manuelle Prozesse – Tickets, E-Mails und menschliche Übergaben – zur Eindämmung angewiesen sind.

Organisationen, die Echtzeit-Erkennung mit automatisierter Reaktion kombinieren, berichten von deutlich niedrigeren Datenpannenraten und schnelleren Eindämmungszeiten. Die Daten legen nahe: Erkennung ohne Orchestrierung führt zu gefährlichen Verzögerungen und erhöht die Wahrscheinlichkeit, dass Aufklärungsangriffe zu vollständigen Datenschutzverstößen eskalieren.

Mobile Security hinkt trotz starker Nutzung hinterher

Mobile Geräte sind inzwischen der Hauptkanal für Formulareinreichungen: 71 % der Organisationen erhalten 21 bis 60 % der Einreichungen über mobile Endgeräte. Doch mobile-spezifische Sicherheitskontrollen bleiben deutlich hinter Desktop-Schutzmaßnahmen zurück. Nur 23 % bewerten Certificate Pinning als kritisch, und biometrische Authentifizierung – von 48 % genutzt – wird bei risikoreichen Prozessen selten verpflichtend eingesetzt.

Diese Lücke birgt erhebliche Risiken, da Angreifer zunehmend mobil-lastige Formulare ins Visier nehmen – etwa zur Identitätsprüfung, Passwortzurücksetzung, Leistungsanmeldung und in Serviceportalen, wo sensible Daten auf schwächere Client-seitige Schutzmechanismen treffen.

Zentrale Empfehlungen für Security-Verantwortliche

Der Bericht gibt strategische Empfehlungen zur Reduzierung von Formular-Risiken, darunter:

• Zentrale Steuerung aller Formulare zur Durchsetzung einheitlicher Sicherheitsstandards
• Durchsetzung von Ende-zu-Ende-Verschlüsselung mit FIPS 140-3-Validierung und Feldverschlüsselung
• Implementierung von Datenhoheitskontrollen mit flexiblen Bereitstellungsoptionen
• Echtzeit-Monitoring mit automatisierter Incident Response kombinieren
• Automatisierte Erstellung von Compliance-Nachweisen

Den vollständigen 2025 Data Forms Survey Report finden Sie hier

About Kiteworks

Kiteworks’ mission is to empower organizations to effectively manage risk in every send, share, receive, and use of private data. The Kiteworks platform provides customers with a Private Data Network that delivers data governance, compliance, and protection. The platform unifies, tracks, controls, and secures sensitive data moving within, into, and out of their organization, significantly improving risk management and ensuring regulatory compliance on all private data exchanges. Headquartered in Silicon Valley, Kiteworks protects over 100 million end-users and over 1,500 global enterprises and government agencies.

Pressekontakt:
Kiteworks Public Relations
press@kiteworks.com
(650) 800-1234