|  |
IT-Sicherheit: Neue IDC-Studie untersucht interne Risiken
Unbeabsichtigte Security-Verstöße sind größere Bedrohung als gezielte Insider-Attacken
Versehentliche Verstöße gegen geltende Security-Richtlinien kommen häufiger vor und verursachen größere Schäden als vorsätzliches missbräuchliches Handeln eigener Mitarbeiter. Zu diesem Schluss kommt eine aktuelle IDC-Studie, die von RSA – The Security Division of EMC – gesponsert wurde. Im Widerspruch zu dieser Einsicht hat die Abwehr bewusster Insider-Angriffe für die Mehrheit aller Sicherheitsverantwortlichen jedoch zurzeit noch höhere Priorität als systematische Vorkehrungen gegen unbeabsichtigte Security-Vorfälle.
Interne Risiken zunehmend wettbewerbsrelevant
Das IDC-Whitepaper trägt den Titel „Insider Risk Management: A Framework Approach to Internal Security“. Im Mittelpunkt stehen Gefahren, die von internen Anwendern mit Zugang zu kritischen IT-Systemen und vertraulichen Informationen ausgehen. Generell, so die Studie, seien sich viele Unternehmen zwar bewusst, dass durch die internen Nutzer potenzielle Risiken entstünden. Doch stehen Security-Schwachstellen wie sorgloses Zugriffsverhalten oder regelwidriger Umgang mit sensiblen Daten oftmals im Hintergrund, da sie von äußeren Bedrohungen überschattet würden.
Die meisten der von IDC befragten Entscheidungsträger (CXOs) sind sich über tatsächliche interne Gefahrenquellen nicht im Klaren. Sie können Ursachen von Workflow-Beeinträchtigungen deshalb auch nicht eindeutig zuordnen und finanzielle Schäden nicht quantifizieren. 52 Prozent der Befragten charakterisieren Sicherheitsverstöße, die von eigenen Mitarbeitern verschuldet wurden, als vorwiegend unbeabsichtigt. Nur 19 Prozent vermuten, dass die Mehrzahl der Fälle auf Vorsatz beruht. 26 Prozent meinen, Absicht und Fahrlässigkeit hielten sich die Waage. Die verbleibenden drei Prozent waren sich unsicher und machten keine Angaben. Bei der Frage nach der Einstufung ihrer Sicherheitsrisiken waren sich 82 Prozent der befragten CIOs und CEOs nicht sicher, ob Vorfälle im Zusammenhang mit Partnern, freien oder zeitweiligen Mitarbeitern überwiegend vorsätzlich oder fahrlässig entstehen.
"Arbeitgeber gehen generell von einem Vertrauensverhältnis zu ihren Mitarbeitern aus. Sie halten die Belegschaft für ihre wertvollste Unternehmensressource", sagt Chris Christiansen, Program Vice President, Security Products bei IDC. "Gleichwohl werden Infrastrukturen immer komplexer, das Personal ist meist weiträumig, zunehmend global verteilt. Hinzu kommen immer mehr externe Berater und andere Outsourcing-Partner. Vor diesem Hintergrund wird der Umgang mit internen Risiken zur größten Security-Herausforderung für Unternehmen, ganz gleich, ob Absicht dahinter steckt oder nicht."
Ganzheitliches Insider Risk Management schafft Abhilfe
Aufschluss gibt das IDC-Whitepaper auch über Art und Anzahl intern verursachter Sicherheitsverstöße: 400 befragte Unternehmen beklagten im vergangenen Jahr zusammengerechnet 6.244 Fälle von unbeabsichtigtem Datenverlust. Sie verzeichneten 5.830 Malware- und Spyware-Attacken, die aus dem Inneren des eigenen Unternehmens heraus geführt wurden. An 5.794 riskanten Situationen waren zu weit gefasste Zugriffsprivilegien Schuld. Insgesamt belief sich die Zahl intern verursachter Security-Vorkommnisse in den letzten zwölf Monaten auf 57.485. Als Konsequenz planen fast 40 Prozent der Befragten, im Lauf des nächsten Jahres Investitionen, um interne Risiken zu reduzieren. Gerade einmal sechs Prozent glauben, an dieser Stelle sparen zu können. Die Studienergebnisse verdeutlichen zudem: Einzellösungen liefern keine adäquate Antwort auf interne Gefahren. Gefragt ist stattdessen ein durchgängiger Insider-Risk-Management-Ansatz. Nur so können Unternehmen ihr individuelles Risikoprofil besser verstehen und auf dieser Basis wirksame Schutz- und Steuerungsmechanismen implementieren.
"IT-Security darf nicht nur Sache des Sicherheitsteams sein, sondern geht jeden Mitarbeiter an", kommentiert Christopher Young, Senior Vice President Products bei RSA. "Die internen Risiken steigen rasant, ihr Einfluss auf die Wettbewerbsfähigkeit wächst. Die Verantwortlichen auf Geschäftsführungsebene müssen ihre Prioritäten daher neu justieren und Wege finden, ihr Unternehmen zuverlässig zu schützen – sowohl vor absichtlichen als auch vor fahrlässigen Regelverstößen. Zur Abwehr interner Gefahren kann nur eine ganzheitliche Strategie verhelfen."
Weitere Resultate der Studie:
- Falsche Prioritäten: Obwohl die meisten Sicherheitsvorfälle unabsichtlich passierten, halten die meisten Security-Verantwortlichen gezielte Mitarbeiter-Attacken (etwa nichtautorisierter Zugriff auf vertrauliche Daten oder Einschleusen von Schadsoftware) für die vordringlichere Herausforderung.
- Woher Gefahren drohen: Die größte interne Bedrohung ging im letzten Jahr von Vertragspartnern und temporären Mitarbeiten aus.
- Finanzieller Verlust: In der Outsourcing-Branche verursachten interne Security-Schwachstellen im letzten Jahr einen Schaden von durchschnittlich 800.000 US-Dollar.
- Mangelnde Kenntnis des eigenen Risikoprofils: Obwohl 93 Prozent der Befragten entscheidungsbefugte Verantwortliche waren, hatten fast 82 Prozent weder ein klares Bild von der internen Risikosituation, noch waren sie in der Lage, mögliche finanzielle Folgen zu beziffern.
Die komplette Studie sowie weiterführende Informationen zum Thema stehen unter: www.rsa.com/insider-risk zur Verfügung.09/2009, Roger Scheer
| | Roger Scheer ist Regional Sales Director, RSA, The Security.
|
Kommentare zu diesem Beitrag | | |
Weitere Beiträge zu diesem Thema | | |
|  | | Das Bundeskriminalamt (BKA) warnt zum wiederholtem Male vor steigender Computerkriminalität und sieht Kriminelle als steigende Bedrohung für Betreiber von Computer-Netzwerken ... | |  | | Warum Risikomanagment für Ihr Projekt unverzichtbar ist ... | |  | | Das am 1. September 2009 in Kraft getretene Bundesdatenschutzgesetz ahndet den Verlust von personenbezogenen Daten künftig deutlich strenger als zuvor ... | |  | | E-Mails sind aus dem heutigen Geschäftsleben nicht mehr wegzudenken. Sie gehören zu den Grundpfeilern der Kommunikation mit Kunden, Partnern und Dienstleistern, aber auch zwischen den Mitarbeitern. | |  | | Die IT-Sicherheit scheint ein Opfer der Wirtschaftskrise geworden zu sein. Dabei sind unternehmens- und risikogerecht implementierte Sicherheitskonzepte trotz sinkender Budgets umsetzbar. | |
Beiträge aus anderen Themenbereichen | | |
|  | | Im Zuge der Ausgliederung aus dem MAN-Konzern suchte die manroland AG ein CMS und einen erfahrenen Dienstleister für die Umsetzung ihrer neuen, internationalen Webpräsenz. edicos überzeugte mit tiefgehender CMS-Expertise... | |  | | Für viele Unternehmen ist eine BI-Lösung unverzichtbare Basis zentraler Geschäftsentscheidungen. Dabei kann BI vieles sein: von der einfachen Excel-Auswertung bis hin zur hochkomplexen IT-Lösung... | |  | | Aufgrund hoher Nettorenditen sind exzellente After-Sales-Services für den Maschinen- und Anlagenbau ein strategischer Erfolgsfaktor im globalen Wettbewerb... | |
| | | |
