Cisco-Studie

Die zehn Todsünden der Datensicherheit

Datum:04.01.2010
Autor(en):Katharina Friedmann

Die zunehmende Mobilität der Mitarbeiter, die mit Laptops unterwegs sind oder die Arbeit vom Home Office aus erledigen, wirkt sich auch auf die Sicherheit der wertvollen Geschäftsdaten aus.
In den meisten Unternehmen geht der Trend ganz klar hin zu verteilten Arbeitsumgebungen. Häufige Dienstreisen und die Verlagerung des Schreibtischs ins Home Office machen auch die Unternehmendaten zu virtuellen Nomaden. Die Geschäftinformationen liegen heute auf Smartphones¹, Laptops² oder in webbasierten Unternehmensportalen³ für den Zugriff von jedem Ort der Welt bereit. Mit dieser Entwicklung steigt auch die Gefahr, dass Daten verloren gehen. Eine dezentrale Arbeitsumgebung kann obendrein zum zweckentfremdeten Einsatz der Firmenrechner und Ressourcen einladen. Ein riskanter Umgang mit den Geschäftsinformationen begünstigt zudem den Diebstahl vertraulicher Daten

Cisco⁴ spricht hier von einem Abfluss kritischer Daten⁵. "Unternehmen aller Größen und Branchen müssen verstehen, wie das menschliche Verhalten die Risiken und den daraus resultierenden Datenverlust beeinflusst - und was dies für den Einzelnen und das Unternehmen bedeutet", erläutert John Stewart, Chief Security Officer (CSO) bei Cisco. Der Netzwerkausrüster beauftragte das US-Marktforschungsinstitut InsightExpress mit einer globalen Studie zu den größten Risiken⁶ hinsichtlich der Datensicherheit. 2000 IT-Spezialisten und Angestellte wurden detailliert zu ihren Verhaltensweisen interviewt. Im Ergebnis identifizierte das Unternehmen die Hitliste der zehn schlimmsten Vergehen. Interessant ist, dass die eigenen Mitarbeiter für die größten Sorgen der IT-Abteilung verantwortlich sind.

Die folgenden Aktivitäten und Verhaltensmuster bedrohen die Sicherheit der Geschäftsdaten am meisten:

Eigenmächtige Änderungen an den Sicherheitseinstellungen

Um die IT-Policy⁷ der Firma zu unterwandern, verändert etwa jeder fünfte Mitarbeiter die Sicherheitseinstellungen seines Rechners. So können diese gewieften Kollegen zum Beispiel Websites zugänglich machen, die eigentlich nicht erlaubt sind. Etwa die Hälfte der Mitarbeiter, die sich an den Sicherheitseinstellungen zu schaffen macht, gab an, tatsächlich auf gesperrten Sites surfen zu wollen, während ein Drittel der Meinung ist, dass es niemanden etwas angeht, welche Webseiten sie besuchen.

Installation nicht genehmigter Software

Die Hälfte aller Datenverluste in ihrem Unternehmen hat mit der Installation unerlaubter Software auf den Arbeitsplatzrechnern oder dem Besuch unerwünschter Websites zu tun, berichten sieben von zehn IT-Experten. Dazu zählen auch soziale Netzwerke⁸, Online-Shopping und Downloadsoftware für Musik. Besonders IT-Spezialisten in den USA (74 Prozent) und Indien (79 Prozent) sind von diesem Zusammenhang überzeugt.

Unerlaubter Netzzugriff

In den vergangenen Jahren hatten zwei von fünf IT-Administratoren mit Mitarbeitern zu tun, die unerlaubt auf Teile des Netzes oder Einrichtungen zugriffen. Davon berichteten zwei Drittel von mehreren Zwischenfällen im vergangenen Jahr, während 14 Prozent monatlich mit derartigem Fehlverhalten konfrontiert sind.

Preisgabe vertraulicher Firmeninformationen

Dass Geschäftsgeheimnisse nicht unbedingt geheim bleiben⁹, bestätigte einer von vier befragten Mitarbeitern (24 Prozent), der sensible Informationen mündlich an Freunde, Familie oder andere Außenstehende weitergibt. Die häufigste Beweggründe: "Ich brauchte die Meinung von jemand anderem", "ich musste mal Dampf ablassen" und "ich habe mir nichts dabei gedacht".

Weitergabe firmeneigener IT

Vertrauliche Daten sind nicht immer in den richtigen Händen. Dafür sprechen 44 Prozent der Umfrageteilnehmer, die Arbeitsgeräte wie PCs oder USB-Sticks ohne Aufsicht mit Außenstehenden teilen oder an sie weitergeben.

Private Nutzung geschäftlicher Kommunikationsmittel

Etwa zwei von drei Mitarbeitern räumten ein, ihre Arbeitsrechner auch privat zu nutzen - unter anderem für Musik-Downloads, Shopping und Online-Banking sowie zum Bloggen und Chatten. Die Hälfte aller Umfrageteilnehmer nutzt private E-Mail-Accounts, obwohl dies in lediglich 40 Prozent der befragten Unternehmen von der IT-Abteilung genehmigt ist.

Ungeschützte Arbeitsgeräte

Einer von drei Mitarbeitern sperrt beim Verlassen seines Arbeitsplatzes seinen Computer nicht oder loggt sich nicht aus. Dabei räumten sie ein, auch Laptops¹⁰ teilweise über Nacht auf ihrem Schreibtisch zu lassen - mitunter ohne sich auszuloggen -, was das Risiko eines Datendiebstahls erhöht.

Aufbewahrung von Logins und Passwörtern

Einer von fünf Befragten speichert Logins und Passwörter¹¹ auf seinem Computer beziehungsweise schreibt sie auf und lässt sie dann auf dem Schreibtisch liegen oder klebt sie an den PC. In einigen Ländern wie China gaben 28 Prozent der Mitarbeiter an, das Passwort für ihr Bankkonto auf ihrem Arbeitsrechner zu speichern.

Verlust tragbarer Speichermedien

22 Prozent der Interviewten nehmen Firmendaten auf tragbaren Speichergeräten aus dem Büro mit.

Zutritt für Unberechtigte

Etwa einer von fünf deutschen Mitarbeitern erlaubt es Firmenfremden, sich unbeaufsichtigt in Büroräumen aufzuhalten - der Durchschnitt lag laut Studie bei 13 Prozent. 18 Prozent wiederum haben bereits zugelassen, dass Unbekannte dicht hinter Mitarbeitern das Unternehmensgebäude betreten. (kf), Computerwoche¹² (bw)

Links im Artikel: