Menschliches Fehlverhalten: Hauptursache für IT-Sicherheitsverletzungen

Human Error at Center of Most IT Security Breaches

DruckversionAls E-Mail versendenZum Magazin-Forum

Menschliches Fehlverhalten der eigenen IT-Mitarbeiter ist nach wie vor die Hauptursache für Verletzungen der IT-Sicherheit in Unternehmen - sogar mit stark steigender Tendenz. Bessere Schulung und Vorbereitung der verantwortlichen Mitarbeiter bewirkten jedoch, dass die Auswirkungen der Verletzungen auf den Geschäftsbetrieb begrenzt werden konnten. Dies ist das Ergebnis der zweiten internationalen Umfrage von CompTIA (Computing Technology Industry Association) zum Thema "IT-Sicherheit und Personal" unter 900 Unternehmen.

Trotz eines gestiegenen Bewusstseins für IT-Sicherheitsprobleme, verstärkter Beachtung von Sicherheits-praktiken und -verfahren und höherer Investitionen in Präventivmaßnahmen gaben 84 Prozent der fast 900 befragten Unternehmen an, dass menschliches Fehlverhalten zumindest teilweise für die jüngsten größeren Sicherheitsverletzungen verantwortlich war. Im Vorjahr wurde menschliches Fehlverhalten für nur 63 Prozent der Sicherheitsverletzungen verantwortlich gemacht.

"Diese Ergebnisse unterstreichen die Tatsache, dass in allen Unternehmen beim Thema Sicherheit dem menschlichen Faktor gegenüber der Technologie die höchste Priorität eingeräumt werden sollte", sagt Jürgen Nilgen, Regional Director für Deutschland, Österreich und die Schweiz von CompTIA. "Kenntnisse und Verhalten der Mitarbeiter sind entscheidend, um Netzwerke und IT-Infrastrukturen sicher zu machen. Auch wenn das Bewusstsein für die Bedrohung durch IT- Sicherheitsverletzungen erheblich gestiegen ist, zögern viele Unternehmen mit den entsprechenden Investitionen in Zeit und Geld, um diesen Bedrohungen angemessen zu begegnen."

Schwere Angriffe auf die IT sind keine Seltenheit

Fast sechs von zehn Unternehmen (58 Prozent) gaben an, in den vergangenen sechs Monaten mindestens einen schweren Angriff auf die IT-Sicherheit erlebt zu haben. Hiermit sind Vorfälle gemeint, die zum Verlust vertraulicher Informationen führen oder eine Unterbrechung des Geschäftsbetriebs bedingen. Dies ist eine deutliche Zunahme gegenüber dem Vorjahr, als nur 38 Prozent von einer entsprechenden IT- Sicherheits-verletzung berichteten.

Außerdem gaben die Unternehmen an, dass Schulungen und Zertifizierungen die Sicherheit deutlich verbesserten. Unternehmen, in denen mindestens ein Viertel der IT-Mitarbeiter in Sicherheitsfragen geschult wurde, waren weniger von einer Sicherheitsverletzung auf Abteilungsebene (46 Prozent) betroffen als solche, bei denen weniger als ein Viertel der IT-Mitarbeiter entsprechend geschult ist (66 Prozent).

Von den Unternehmen, die in Mitarbeiterschulungen zur IT-Sicherheit investiert haben, sind 80 Prozent der Meinung, dass sich ihre Sicherheit verbessert habe. 70 Prozent der Unternehmen, die in Zertifizierungen investiert haben, sind ebenfalls dieser Auffassung. Die positiven Auswirkungen von Schulungen und Zertifizierungen werden vor allem in einer besseren Identifizierung potentieller Risiken, einem größeren Problembewusstsein, verbesserten Sicherheitsmaßnahmen sowie der Fähigkeit gesehen, auf Bedrohungen schneller reagieren zu können.

Noch immer zu wenig schriftliche Richtlinien zur IT-Sicherheit

Nur eine knappe Mehrheit der Unternehmen (51 Prozent) verfügt über schriftliche IT-Richtlinien. Etwas über die Hälfte (57 Prozent) besitzt einen Disaster-Recovery-Plan. Relative weit verbreitet sind IT-Sicherheits-richtlinien in der Finanzdienstleistungsbranche (62 Prozent) und in der öffentlichen Verwaltung (58 Prozent). In Bildungseinrichtungen liegt die Zahl bei 41 Prozent. Die wenigsten Sicherheitsrichtlinien finden sich allerdings in IT-Unternehmen: Laut der Umfrage gibt es sie nur bei 35 Prozent von ihnen.

Die Wahrscheinlichkeit, IT-Sicherheitsrichtlinien vorzufinden, steigt außerdem mit der Größe des Unter-nehmens. Unternehmen mit mindestens 7.000 Mitarbeitern verfügen mit hoher Wahrscheinlichkeit über IT- Sicherheitsrichtlinien (75 Prozent), aber nur 34 Prozent der kleinen Unternehmen (bis zu 49 Mitarbeiter) verwenden IT- Sicherheitsrichtlinien.

Unternehmen mit schriftlichen Richtlinien überprüfen und aktualisieren diese inzwischen häufiger: 44 Prozent der Unternehmen gaben an, mindestens zweimal im Jahr eine Überprüfung durchzuführen, und 38 Prozent aktualisieren ihre Richtlinien mindestens zweimal pro Jahr. Im letzten Jahr lagen die entsprechenden Werte bei 37 Prozent bzw. 34 Prozent.

05/2004, CompTIA

CompTIA ist ein weltweit aktiver Non-Profit Verband der IT-Industrie.


Kommentare zu diesem Beitrag 


Schreiben Sie einen Kommentar zu diesem Beitrag

Newsletter abonnieren

Verpassen Sie nichts und bleiben Sie informiert mit unserem Newsletter.
Ihre E-Mail Adresse:  
RSS-Feed: Alle News aktuellUnsere News auf Ihrer Website

Weitere Beiträge zu diesem Thema

Security Awareness - Interview mit Dirk Fox, Secorvo GmbH
Fast 90% Marktdeckung der Virenschutz und Spamlösungen im IT-Sicherheitsumfeld. Hardware- und Softaretechnisch scheint man sicher zu sein. Doch wo blieben dabei die Mitarbeiter? Wie ist es um das Sicherheitsbewusstsein bestellt? Dirk Fox im Interview ...
Rückblick 3. Security Awareness Symposium, Karlsruhe
Warum kann Sicherheit nicht nach dem Prinzip „Risiken mit entsprechenden Maßnahmen bekämpfen“ abschließend gewährleistet werden? Sicherheit ist ein Prozess, die Gefahren und Risiken ändern ständig; entsprechend sind die Maßnahmen darauf auszurichten ...
Security Awareness im Unternehmen - Security Awareness Kampagnen
Zahlreiche Unternehmen haben Maßnahmen ergriffen, um ihre Mitarbeiter zu einem angemessenen Umgang mit den ihnen anvertrauten Informationen und der Informationstechnik anzuleiten und zu motivieren ...
Unwissenheit schützt vor Strafe nicht
WatchGuard gibt Tipps zu den aktuellen gesetzlichen Sicherheitsbestimmungen: Wer vertrauliche Kundendaten in Computernetzwerken speichert oder von dort in andere Netze überträgt, bewegt sich schon längst nicht mehr im rechtsfreien Raum...
Anleitung zur Sicherheit
"Sicherheit muss Chefsache sein." Die Losung ist nicht neu. Seit Jahren wird sie von Medien und Analysten bemüht. Aus ihr spricht die Überzeugung, dass IT-Security notwendigerweise fester Bestandteil der Unternehmensstrategie zu sein hat...

Beiträge aus anderen Themenbereichen

VOICE Days plus: Deutschlands Servicewelt im Fokus
Im Interview spricht der Schirmherr der Initiative Prof. Dieter Spath über "Das Konstruktionsbüro für Dienstleistungen" und vieles mehr. Am 12. Oktober eröffnet Prof. Dieter Spath den VOICE Days plus Kongress...
Lösungsmöglichkeiten zum Konflikt der E-Mail-Archivierung mit Fernmeldegeheimnis und Datenschutz
Die Gestattung der privaten Nutzung der betriebseigenen IT-Infrastruktur durch die Mitarbeiter bringt nicht zu unterschätzende rechtliche Komplikationen mit sich – gerade was auch die Archivierung von E-Mails anbelangt...
eCommerce & Datenschutz - Das sollten Sie wissen
Datenschutz spielt auch im eCommerce eine große Rolle. So müssen z.B. für den Betrieb eines Onlineshops die gesetzlichen Vorschriften zum Datenschutz eingehalten werden...

Paare
© 1999-2010 FEiG & PARTNER | Nutzungsbedingungen
Das Content Management PortalDas Dokumenten Management PortalDas IT-Security PortalDas Customer Relationship Management PortalDas E-Commerce PortalDas Enterprise Resource Planning PortalPortal für VoIP und mobile KommunikationDas Magazin für IT im KrankenhausDas Verzeichnis für IT-Profis
homeimpressumerklärung zum datenschutz - privacy policykontaktwerbung

know how
virus, malware & spamschutz
themen & trends
projekte
sicherheitskultur
roundtables
it-recht
compliance & governance
studien & markt
datenschutz
sicherheitstechnik
mobile sicherheit
sichere automation
risikomanagment
biometrie
messen & veranstaltungen
firewall & vpn
content & web security
archiv
suche

news
news aktuell
news archiv
suche
news für ihre website

veranstaltungen
übersicht

sicherheitswarnungen
sicherheitswarnungen
viren atlas
virusquartett

Schnellsuche