Unternehmen müssen Sicherheitskonzepte überdenken
Die Akzeptanz für Security-Richtlinien fehlt
Cisco veröffentlicht Auszüge Sicherheitsstudie zu Data Loss Prevention: Die Ergebnisse zeigen, wie es um die Sicherheitsrichtlinien in Unternehmen weltweit bestellt ist und wie die Mitarbeiter damit umgehen.
Die aktuellen Daten ergänzen den Anfang Oktober publizierten ersten Teil der Studie zu Risiken
und Fehlern von Mitarbeitern bei der Datensicherheit. Die Grundlage bildet eine Umfrage unter mehr
als 2000 Angestellten und IT-Experten in zehn Ländern: Deutschland, USA, Großbritannien,
Frankreich, Italien, Japan, China, Indien, Australien und Brasilien. Cisco hatte die Studie beim
unabhängigen US-amerikanischen Marktforschungsinstitut Insight Express in Auftrag gegeben, weil der
Verlust von vertraulichen Daten derzeit eines der größten Risken für Unternehmen darstellt. Da die
Grenze zwischen geschäftlichen und privaten Anwendungen zunehmend verwischt und Mitarbeiter immer
mehr multifunktionelle und mobile Geräte nutzen, wächst die Bedeutung von Sicherheitsrichtlinien,
um sensible Daten zu schützen.
"Die Studie zeigt die Notwendigkeit auf, sowohl die Sicherheitsrichtlinien selbst als auch deren
Kommunikation zu überdenken", sagt John N. Stewart, Chief Security Officer bei Cisco. Wenn die
Mitarbeiter eines Unternehmens das Gefühl haben, Policies wären unfair oder behinderten sie gar bei
ihrer Arbeit, und wenn sie nicht die Hintergründe verstehen, dann verlieren diese Richtlinien ihre
Wirkung. Wir formulieren Policies zu oft als unumstößliche Regeln und verlieren dabei die Gründe
dafür aus den Augen. Sehen wir sie aber stets im Zusammenhang mit dem Bewusstsein, der Information
und Aufklärung der Mitarbeiter, dann wird deutlich, warum wir sie dringend brauchen. Wenn die
IT-Verantwortlichen das Personal mit einbeziehen und dessen Arbeitserfordernisse verstehen, können
sie realistische Strategien entwickeln, die ganzheitlich und wirkungsvoll zu einer noch sichereren
Unternehmensumgebung führen."
–
http://llschnuerer.cmpdm.de//kn30475366">LANline-Artikel zur Awareness mit einem
Interview mit John N. Stewart
–
http://llschnuerer.cmpdm.de//themen/security-awareness/index.html?thes=10191">LANline-Themenbereich "
Awareness"
Die gute Nachricht: drei von vier Unternehmen (77 Prozent) verfügen bereits über eigene
Sicherheitsrichtlinien. Für ein Viertel jedoch stellen die Trends zu Mobilität und Kollaboration
eine große Herausforderung dar, wenn sie offizielle Richtlinien für den Daten, Applikations- und
Netzwerkzugang etablieren wollen. Fehlende Security Policies waren vor allem in Japan (39 Prozent)
sowie in UK (29 Prozent) auszumachen.
Bei Firmen mit entsprechenden Richtlinien ergab die Studie, dass Mitarbeiter diese häufig
missachten oder ignorieren. Mehr als die Hälfte der Befragten gab zu, dass sie sich nicht immer an
die Sicherheitsregeln ihres Arbeitgebers hielten. Das war vor allem in Frankreich (84 Prozent) der
Fall. In Deutschland gaben neun Prozent der Befragten an, sich nicht oder kaum an die Regeln zu
halten. Aus der Befragung gehen einige Faktoren hervor, die den Umgang mit Sicherheitsrichtlinien
beeinflussen:
– Bewusstsein: Beim Wissen um Sicherheitsrichtlinien sind 20 bis 30 Prozent der
IT-Verantwortlichen den anderen Mitarbeitern des Unternehmens voraus. Die größte Kluft (31 Prozent)
war in den Vereinigten Staaten, Brasilien und Italien zu erkennen. Diese Ergebnisse werfen die
Frage auf, ob und wie wirkungsvoll die IT-Abteilung Policies an das Personal kommuniziert.
– Kommunikation: 11 Prozent der Mitarbeiter gaben an, nie von der IT-Abteilung zu Security
Policies informiert oder gar geschult zu werden. Dies zeigt sich vor allem in Europa, hier in
erster Linie in Großbritannien (25 Prozent) und Frankreich (20 Prozent). Wenn IT-Teams Regeln
kommunizieren, dann vorwiegend über indirekte Wege, etwa in E-Mails oder Voice-Mail.
– Updates: Drei von vier IT-Verantwortlichen (77 Prozent) und etwa die Hälfte der Mitarbeiter
(47 Prozent) glauben, dass ihre Richtlinien regelmäßigere Updates brauchen. Vor allem Befragte aus
China (91 Prozent) und Indien (89 Prozent) sind dieser Ansicht. Im Zusammenhang mit den Aussagen
zum Verhalten von Mitarbeitern aus dem ersten Teil der Studie wird klar, dass eine umfassendere
Security-Struktur besonders in Ländern mit wachsenden Wirtschaften und Arbeitsmärkten, in denen
auch die Internetnutzung schnell zunimmt, nötig ist.
– Fairness: Die Mehrheit der Angestellten in acht von zehn Ländern denkt, ihre
Unternehmensrichtlinien seien unfair. Nur in Deutschland und den Vereinigten Staaten war dem nicht
so. Da die Arbeitsprozesse durch Web-2.0-Applikationen, Video und mobilen Geräten kollaborativer
werden, ist es ein Balanceakt für die IT, die effiziente Nutzung dieser Techniken nicht gleich
wieder durch strikte Regeln zu beschränken. Wenn nämlich Mitarbeiter durch Restriktionen frustriert
sind, werden sie die Sicherheitsregeln auch eher brechen.
– Nichteinhaltung: Eines der wichtigsten Ergebnisse war die unterschiedliche Sichtweise von
Mitarbeitern und IT-Verantwortlichen hinsichtlich der Nichteinhaltung von Policies. Der IT zufolge
missachten Angestellte die Richtlinien aus verschiedenen Gründen: vom Nichtverständnis für das
Ausmaß von Sicherheitsrisiken bis hin zu purer Gleichgültigkeit. Mitarbeiter hingegen sehen das
Problem eher darin, dass die Policies ihrer Meinung nach nicht mit ihren realen
Arbeitserfordernissen zusammenpassen. Etwa zwei von fünf Mitarbeitern (42 Prozent) weltweit waren
dieser Ansicht. In Deutschland gab mehr als die Hälfte der Mitarbeiter an (55 Prozent), dass sie
Regeln brechen würden, um ihre Arbeit zu erledigen auch wenn die Mehrheit der deutschen
Angestellten die Policies für fair hält.
"Die Entscheidung der Mitarbeiter, sich an die Richtlinien zu halten oder sie zu Gunsten ihrer
Arbeit zu umgehen, stellt für die IT-Abteilung eine große Herausforderung dar", ist Reiner Baumann,
Regional Director Central and Eastern Europe bei der Cisco-Tochter IronPort Systems, überzeugt. "
Die IT muss ihre Security Policies neu gestalten, um den realen Anforderungen von Unternehmen und
Mitarbeitern zu genügen. Ansonsten riskiert sie, dass Regeln nicht greifen und dadurch Daten
verloren gehen oder verletzt werden."
Der Studie zufolge haben Sicherheitsbrüche nicht nur Auswirkungen auf die Unternehmen selbst.
Ein ernüchterndes Resultat der Befragung ist, dass einer von fünf IT-Verantwortlichen, die
Regelverletzungen durch Mitarbeiter bearbeiten, angibt, dass solche Vorfälle vor allem verlorene
Kundendaten zur Folge haben.
LANline/wj
Lesen Sie mehr zum Thema
