IDC zur IT-Sicherheit: Das schadet deutschen Firmen am meisten
IDC hat sich angesehen, was Firmen in punkto IT-Sicherheit die größten Probleme bereitet. Versehentliche Verstöße gegen geltende Security-Richtlinien kommen demnach häufiger vor und verursachen größere Schäden als vorsätzliches missbräuchliches Handeln eigener Mitarbeiter.
Im Widerspruch zu dieser Einsicht hat die Abwehr bewusster Insider-Angriffe für die Mehrheit aller Sicherheitsverantwortlichen jedoch zurzeit noch höhere Priorität als systematische Vorkehrungen gegen unbeabsichtigte Security-Vorfälle.
Das IDC-Whitepaper trägt den Titel “Insider Risk Management: A Framework Approach to Internal Security“. Es wurde von RSA, The Security Division of EMC, gesponsert. Im Mittelpunkt stehen Gefahren, die von internen Anwendern mit Zugang zu kritischen IT-Systemen und vertraulichen Informationen ausgehen. Generell, so die Studie, seien sich viele Unternehmen zwar bewusst, dass durch die internen Nutzer potenzielle Risiken entstünden. Doch stehen Security-Schwachstellen wie sorgloses Zugriffsverhalten oder regelwidriger Umgang mit sensiblen Daten oftmals im Hintergrund, da sie von äußeren Bedrohungen überschattet würden.
Die meisten der von IDC befragten Entscheidungsträger (CXOs) sind sich über tatsächliche interne Gefahrenquellen nicht im Klaren. Sie können Ursachen von Workflow-Beeinträchtigungen deshalb auch nicht eindeutig zuordnen und finanzielle Schäden nicht quantifizieren. 52 Prozent der Befragten charakterisieren Sicherheitsverstöße, die von eigenen Mitarbeitern verschuldet wurden, als vorwiegend unbeabsichtigt. Nur 19 Prozent vermuten, dass die Mehrzahl der Fälle auf Vorsatz beruht. 26 Prozent meinen, Absicht und Fahrlässigkeit hielten sich die Waage. Die verbleibenden drei Prozent waren sich unsicher und machten keine Angaben. Bei der Frage nach der Einstufung ihrer Sicherheitsrisiken waren sich 82 Prozent der befragten CIOs und CEOs nicht sicher, ob Vorfälle im Zusammenhang mit Partnern, freien oder zeitweiligen Mitarbeitern überwiegend vorsätzlich oder fahrlässig entstehen.
“Arbeitgeber gehen generell von einem Vertrauensverhältnis zu ihren Mitarbeitern aus. Sie halten die Belegschaft für ihre wertvollste Unternehmensressource”, sagt Chris Christiansen, Program Vice President, Security Products bei IDC. “Gleichwohl werden Infrastrukturen immer komplexer, das Personal ist meist weiträumig, zunehmend global verteilt. Hinzu kommen immer mehr externe Berater und andere Outsourcing-Partner. Vor diesem Hintergrund wird der Umgang mit internen Risiken zur größten Security-Herausforderung für Unternehmen, ganz gleich, ob Absicht dahinter steckt oder nicht.”