Nicht IT, sondern mangelnde Kooperation ist eines der größten Sicherheitsprobleme
Studie: IT alleine kann keine Sicherheit gewährleisten
Die Bemühungen der CIOs um mehr IT-Sicherheit werden häufig durch zu viele Abstimmungzwänge und zu wenig Kooperationsbereitschaft der verschiedenen Fachbereiche zunichte gemacht. "Kollaboration und Teamwork scheint für viele Sicherheits-Gruppen, -Verantwortliche und -Kontrolleure ein Fremdwort zu sein", heißt es im jüngsten Bericht des Ponemon-Institut über den Zustand der IT-Sicherheit in Großunternehmen. Gemäß dieser von Microsoft in Auftrag gegeben Studie kommunizieren die Personen und Personengruppen, die sensitive Daten erfassen, verarbeiten, ablegen oder archivieren nicht genügend untereinander.
In vielen Unternehmen gebe es sogar Anweisungen, dass diese Gruppen nicht untereinander kommunizieren sollen. Was von diesen Firmen als zusätzliche Sicherheitsmaßnahme gepriesen würde, bewirkt jedoch laut dem Bericht das Gegenteil. "Was auf einen Einzelnen als geringe Anomalie wirkt, kann im Gesamtzusammenhang mit anderen Aktivitäten plötzlich in einem ganz anderen Licht erscheinen", heißt es darin.
Zwar geben 80 Prozent der befragten IT-Mitarbeiter an, dass sie gelegentlich von den Fachabteilungen konsultiert werden, wenn dort neue sensitive Daten oder Verarbeitungen anfallen, doch nicht einmal 30 Prozent der Sachbearbeiter fragen um einen solchen Rat, sondern lassen die IT-Abteilungen meist im Dunkeln darüber, dass neue Daten erfasst und benutzt werden.
Viele Software-Entwickler beklagen sich, dass die Fachbereiche häufig auf die Implementation von Sicherheits-Tools verzichten, weil ihnen eine schnelle Verfügbarkeit des Systems wichtiger erscheint als die anschließenden Sicherheitstest und Abwehrmaßnahmen.
Folglich meinen nur die Hälfte der IT-Mitarbeiter, dass in ihrer Firma auseichende Anweisungen für einen koordinierten Umgang mit sensitiven Informationen vorhanden seien. Und dort wo es solche Regelungen gibt, stoßen diese häufig auf Ablehnung. Immerhin meint ein Viertel der Sachbearbeiter, dass die Vorschriften nicht viel nützen und nur ihre Produktivität behindern. Und selbst 45 Prozent der für Sicherheit verantwortlichen Mitarbeiter sind nicht vom Nutzen der vorhandenen Vorschriften überzeugt.
"Bei diesen Zahlen ist es kein Wunder, dass ein Viertel aller Befragten der Meinung ist, dass ihr Unternehmen auf einen größeren Dateneinbruch nicht ausreichend reagieren wird", sagt Brendon Lynch, verantwortlich bei Microsoft für Datenschutzlösungen. Als Grund, weshalb Microsoft eine solche Studie in Arbeit gegeben habe, gibt er an, dass Microsoft sich verstärkt um die Integration von Security und Geschäftsprozessen bemühen will. "IT alleine kann die Sicherheitsprobleme in einem Großunternehmen nicht lösen. IT-Sicherheit muss zum integralen Sicherheitskonzept aller Mitarbeiter und Projekte werden, um in Zukunft die heute bekannten Angriffsformen besser abzuwehren", lautet seine Erklärung.
Das Ponemon-Institut hat schon mehrmals in der den letzten Monaten auf gravierende Sicherheits-Schwachstellen in den Unternehmensorganisationen hingewiesen. Auch nach dem
Mega-Datendiebstahl bei TJX hatte sich das Institut in die lebhafte Diskussion eingeschaltet und eine mangelhafte interne Kommunikationsregelung als Hauptgrund für diesen Datenraub ausgemacht. Bei dem Dateneinbruch bei TJX im vorigen Jahr wurden Millionen an Kreditkartendaten gestohlen. Dieser Datenverlust wird dem Unternehmen vermutlich Kosten von bis zu einer Milliarde Dollar bescheren.
–
CIOs sind bei Sicherheits-Ausgaben nicht effizient
–
RSA Konferenz: Umdenken beim Thema Sicherheit
Harald Weiss/CZ/pk
Lesen Sie mehr zum Thema
