Die eigenen Mitarbeiter werden ein immer größeres Sicherheitsrisiko für die IT in deutschen Unternehmen. Dabei ist weniger Absicht im Spiel als Unwissen und Schlamperei. Das ergab die Studie »IT-Security 2008, die unsere Schwesterpublikation Information Week zusammen mit Steria-Mummert Consulting durchführte.

Laut der Studie »IT-Security 2008« der Information Week, die zusammen mit Steria Mummert Consulting ausgewertet wurde, gingen 45 Prozent der 2008 registrierten Sicherheitsverstöße auf menschliches Versagen zurück. Damit hat sich die Zahl unbeabsichtigter Störungen durch eigenes Personal gegenüber dem Vorjahreswert von 21 Prozent mehr als verdoppelt.

Eine Besserung der Situation ist allerdings vorerst nicht in Sicht. Denn neue IT-Sicherheitsmaßnahmen scheitern immer häufiger am fehlenden Risikobewusstsein der Mitarbeiter. Jedes dritte Projekt zur Verbesserung der IT-Sicherheit wird laut der Untersuchung wegen mangelnden Verständnisses der Belegschaft abgesagt.

Die IT-Sicherheit in Deutschland verschlechterte sich 2008 insgesamt deutlich gegenüber dem Vorjahr. Während gut 20 Prozent der Unternehmen dieses Jahr bisher mehr Verstöße verzeichneten, ist die Zahl der registrierten Security-Probleme nur bei 10 Prozent der Unternehmen rückläufig.

Dabei nahmen die Vorfälle in allen drei Top-Risikobereichen erheblich d zu. Angriffe durch Viren, Würmer und Spam stiegen um knapp fünf Prozentpunkte, der Missbrauch von E-Mail-Adressen um elf Prozentpunkte und unbeabsichtigte Fehlkonfigurationen um 24 Prozentpunkte.

Branchenübergreifend kommt rund ein Viertel der Angriffe von innen

Sorge bereitet ein Blick auf die Gründe, die einer Verbesserung der IT-Sicherheit im Wege stehen. Wie bereits im Vorjahr ist mangelndes Risikobewusstsein in der Chefetage eine der größten Hürden auf dem Weg zu Sicherheitsinvestitionen. Knapp 30 Prozent der geplanten Projekte blieben dadurch auf der Strecke.

Gleichzeitig vergrößerte sich der negative Einfluss, den fehlendes Verständnis der Mitarbeiter auf IT-Sicherheitsvorhaben hat. Jedes dritte Projekt scheiterte 2008 am mangelnden Risikoverständnis der Mitarbeiter. Das bedeutet einen Anstieg um knapp sechs Prozentpunkte im Vergleich zum Vorjahr.

Die Sorglosigkeit der Belegschaft setzt die IT-Sicherheit damit von zwei Seiten unter Druck. Einerseits steigt die Zahl der Sicherheitsverstöße in der praktischen Arbeit durch fehlendes Risikobewusstsein an, und andererseits bildet dieselbe Haltung inzwischen das Haupthindernis für Maßnahmen zur Verbesserung des Sicherheitsniveaus.

Bessere Informationen über Risiken und mehr Geld für IT-Sicherheit notwendig

Einen »Königsweg«, der aus dieser Sackgasse führen könnte, gibt es freilich nicht. Es bleibt wohl zum einen nur eine verbesserte Aufklärung über die möglichen Folgen von Sicherheitslöchern. Im Extremfall können Mitarbeiter ihren Arbeitsplatz verlieren, weil Konkurrenten in den Besitz von Firmengeheimnissen geraten sind oder Banken einem als »unzuverlässig« eingestuften Unternehmen den Geldhahn zudrehen, Stichwort Basel II.

Zum anderen bleibt den Anwendern nichts anderes übrig, als mehr Geld in IT-Security zu investieren, und das trotz abflauender Konjunktur. Firmenlenker, die das Know-how ihres Unternehmens nicht gegen Cyber-Angriffe und IT-Fehler schützen, handeln fahrlässig und vor allem kurzsichtig.

Aber in Zeiten, in denen Quartalszahlen mehr zählen als strategische Überlegungen, dürfte sich diese Erkenntnis nach wie vor nur schwer durchsetzen.