Menschliches Fehlverhalten: Hauptursache für IT-Sicherheitsverletzungen
Menschliches Fehlverhalten der eigenen IT-Mitarbeiter istnach wie vor die Hauptursache für Verletzungen der IT-Sicherheit inUnternehmen - sogar mit stark steigender Tendenz. Bessere Schulung undVorbereitung der verantwortlichen Mitarbeiter bewirkten jedoch, dassdie Auswirkungen der Verletzungen auf den Geschäftsbetrieb begrenztwerden konnten. Dies ist das Ergebnis der zweiten internationalenUmfrage von CompTIA (Computing Technology Industry Association) zumThema "IT-Sicherheit und Personal" unter 900 Unternehmen.
Trotz eines gestiegenen Bewusstseins für IT-Sicherheitsprobleme,verstärkter Beachtung von Sicherheits-praktiken und -verfahren undhöherer Investitionen in Präventivmaßnahmen gaben 84 Prozent der fast900 befragten Unternehmen an, dass menschliches Fehlverhaltenzumindest teilweise für die jüngsten größeren Sicherheitsverletzungenverantwortlich war. Im Vorjahr wurde menschliches Fehlverhalten fürnur 63 Prozent der Sicherheitsverletzungen verantwortlich gemacht.
"Diese Ergebnisse unterstreichen die Tatsache, dass in allenUnternehmen beim Thema Sicherheit dem menschlichen Faktor gegenüberder Technologie die höchste Priorität eingeräumt werden sollte", sagtJürgen Nilgen, Regional Director für Deutschland, Österreich und dieSchweiz von CompTIA. "Kenntnisse und Verhalten der Mitarbeiter sindentscheidend, um Netzwerke und IT-Infrastrukturen sicher zu machen.Auch wenn das Bewusstsein für die Bedrohung durch IT-Sicherheitsverletzungen erheblich gestiegen ist, zögern vieleUnternehmen mit den entsprechenden Investitionen in Zeit und Geld, umdiesen Bedrohungen angemessen zu begegnen."
Schwere Angriffe auf die IT sind keine Seltenheit
Fast sechs von zehn Unternehmen (58 Prozent) gaben an, in denvergangenen sechs Monaten mindestens einen schweren Angriff auf dieIT-Sicherheit erlebt zu haben. Hiermit sind Vorfälle gemeint, die zumVerlust vertraulicher Informationen führen oder eine Unterbrechung desGeschäftsbetriebs bedingen. Dies ist eine deutliche Zunahme gegenüberdem Vorjahr, als nur 38 Prozent von einer entsprechenden IT-Sicherheits-verletzung berichteten.
Außerdem gaben die Unternehmen an, dass Schulungen undZertifizierungen die Sicherheit deutlich verbesserten. Unternehmen, indenen mindestens ein Viertel der IT-Mitarbeiter in Sicherheitsfragengeschult wurde, waren weniger von einer Sicherheitsverletzung aufAbteilungsebene (46 Prozent) betroffen als solche, bei denen wenigerals ein Viertel der IT-Mitarbeiter entsprechend geschult ist (66Prozent).
Von den Unternehmen, die in Mitarbeiterschulungen zur IT-Sicherheitinvestiert haben, sind 80 Prozent der Meinung, dass sich ihreSicherheit verbessert habe. 70 Prozent der Unternehmen, die inZertifizierungen investiert haben, sind ebenfalls dieser Auffassung.Die positiven Auswirkungen von Schulungen und Zertifizierungen werdenvor allem in einer besseren Identifizierung potentieller Risiken,einem größeren Problembewusstsein, verbesserten Sicherheitsmaßnahmensowie der Fähigkeit gesehen, auf Bedrohungen schneller reagieren zukönnen.
Noch immer zu wenig schriftliche Richtlinien zur IT-Sicherheit
Nur eine knappe Mehrheit der Unternehmen (51 Prozent) verfügt überschriftliche IT-Richtlinien. Etwas über die Hälfte (57 Prozent)besitzt einen Disaster-Recovery-Plan. Relative weit verbreitet sindIT-Sicherheits-richtlinien in der Finanzdienstleistungsbranche (62Prozent) und in der öffentlichen Verwaltung (58 Prozent). InBildungseinrichtungen liegt die Zahl bei 41 Prozent. Die wenigstenSicherheitsrichtlinien finden sich allerdings in IT-Unternehmen: Lautder Umfrage gibt es sie nur bei 35 Prozent von ihnen.
Die Wahrscheinlichkeit, IT-Sicherheitsrichtlinien vorzufinden, steigtaußerdem mit der Größe des Unter-nehmens. Unternehmen mit mindestens7.000 Mitarbeitern verfügen mit hoher Wahrscheinlichkeit über IT-Sicherheitsrichtlinien (75 Prozent), aber nur 34 Prozent der kleinenUnternehmen (bis zu 49 Mitarbeiter) verwenden IT-Sicherheitsrichtlinien.
Unternehmen mit schriftlichen Richtlinien überprüfen und aktualisierendiese inzwischen häufiger: 44 Prozent der Unternehmen gaben an,mindestens zweimal im Jahr eine Überprüfung durchzuführen, und 38Prozent aktualisieren ihre Richtlinien mindestens zweimal pro Jahr. Imletzten Jahr lagen die entsprechenden Werte bei 37 Prozent bzw. 34Prozent.
© 2012 FEiG & PARTNER