Geständnis: Laxer Umgang mit vertraulichen Daten
Angriffe aufs Firmennetz oder Mitarbeiter, die sich mit krimineller Absicht Zugang zu Informationen beschaffen, bedrohen nicht alleine die IT-Sicherheit. Es sind auch die kleinen Schwächen im Alltag, die Angriffsvektoren im besonderen Maße ausweiten.
RSA, die Sicherheitsabteilung des Speicherherstellers EMC, zeichnet mit einer anonymen Umfrage ein beunruhigendes Bild über die Sicherheitsgewohnheiten von Mitarbeitern von Behörden und Unternehmen. So rufen über 50 Prozent Mails über öffentliche Computer in Internet-Cafes, am Flughafen oder in offenen Netzen im Hotel ab.
Knapp 60 Prozent von Mitarbeitern des öffentlichen Sektors erklärten, gerne auch unverschlüsselt, in einem USB-Speicher, einem Laptop oder einem Smartphone vertrauliche Daten wie Versicherungsnummern oder ähnliches auch außerhalb der Organisation mit sich zu führen.
Über ein Drittel der Befragten erklärten, dass ihre Arbeit sie zwinge, bestimmte Sicherheitsregeln zu umgehen oder damit ‘kreativ’ umzugehen. Denn 97 Prozent aller Regierungsmitarbeiter seien laut eigenen Angaben über Sicherheitsrichtlinien oder Sicherheitsmaßnahmen informiert worden, 92 Prozent hätten sogar ein entsprechendes Training erhalten. In der Privatwirtschaft wurden rund 80 Prozent informiert und rund 70 Prozent haben hier ein Training erhalten.
Dennoch warnt der IT-Sicherheitsspezialist RSA, dass gerade solche kleinen ‘Sünden’ im Alltag von den ‘unschuldigen’ Mitarbeitern, zu Datenverlusten mit weitreichenden Folgen führen können. So gaben 8 Prozent der Beamten und Angestellten an, bereits Geräte mit wichtigen Daten verloren zu haben. Rund 65 Prozent erklärten, wichtige Dokumente an private Mail-Accounts zu schicken, oder vom Heim-PC aus zu nutzen. 19 Prozent der Befragten erklärten, dass in Konferenzräumen kabellose Netze ohne Passwortschutz für Gäste des Unternehmens bereit gehalten würden, bei Beamten lag der Prozentsatz bei null. Etwa 33 Prozent halten Sicherheitstüren für Personen offen, die sie nicht kennen, etwa die gleiche Prozentzahl erklärte, dass nach einem internen Wechsel Ressourcen zugänglich waren, die sie eigentlich nicht mehr brauchen.
Um Unternehmen gegen solche kleinen Alltagssünden zu wappnen hat RSA einige Vorschläge. So sollten Richtlinien möglichst bequem für die Nutzer sein, dabei aber ein möglichst hohes Maß an Sicherheit gewährleisten. Beim Fernzugriff sollte auf eine Autorisierung über zwei Faktoren geachtet werden und nicht über Nutzername und Passwort. Mobile Geräte sollten, für den Fall des physischen Verlustes mit einer Festplattenverschlüsselung ausgerüstet sein. Rollenbasierte Zugriffsrechte sollten schnell angepasst werden, auch diejenigen von Beratern und Partnern. Der Zugriff von Mitarbeitern sollte stets streng kontrolliert werden und auch vergebliche Versuche sich anzumelden, sollten dokumentiert werden.