Menschliches Fehlverhalten: Hauptursache für IT-Sicherheitsverletzungen

• Home
• Magazin
• Know How
• Sicherheitskultur

Menschliches Fehlverhalten der eigenen IT-Mitarbeiter ist nach wie vor die Hauptursache für Verletzungen der IT-Sicherheit in Unternehmen - sogar mit stark steigender Tendenz. Bessere Schulung und Vorbereitung der verantwortlichen Mitarbeiter bewirkten jedoch, dass die Auswirkungen der Verletzungen auf den Geschäftsbetrieb begrenzt werden konnten. Dies ist das Ergebnis der zweiten internationalen Umfrage von CompTIA (Computing Technology Industry Association) zum Thema "IT-Sicherheit und Personal" unter 900 Unternehmen.

Trotz eines gestiegenen Bewusstseins für IT-Sicherheitsprobleme, verstärkter Beachtung von Sicherheits-praktiken und -verfahren und höherer Investitionen in Präventivmaßnahmen gaben 84 Prozent der fast 900 befragten Unternehmen an, dass menschliches Fehlverhalten zumindest teilweise für die jüngsten größeren Sicherheitsverletzungen verantwortlich war. Im Vorjahr wurde menschliches Fehlverhalten für nur 63 Prozent der Sicherheitsverletzungen verantwortlich gemacht.

"Diese Ergebnisse unterstreichen die Tatsache, dass in allen Unternehmen beim Thema Sicherheit dem menschlichen Faktor gegenüber der Technologie die höchste Priorität eingeräumt werden sollte", sagt Jürgen Nilgen, Regional Director für Deutschland, Österreich und die Schweiz von CompTIA. "Kenntnisse und Verhalten der Mitarbeiter sind entscheidend, um Netzwerke und IT-Infrastrukturen sicher zu machen. Auch wenn das Bewusstsein für die Bedrohung durch IT- Sicherheitsverletzungen erheblich gestiegen ist, zögern viele Unternehmen mit den entsprechenden Investitionen in Zeit und Geld, um diesen Bedrohungen angemessen zu begegnen."

Schwere Angriffe auf die IT sind keine Seltenheit

Fast sechs von zehn Unternehmen (58 Prozent) gaben an, in den vergangenen sechs Monaten mindestens einen schweren Angriff auf die IT-Sicherheit erlebt zu haben. Hiermit sind Vorfälle gemeint, die zum Verlust vertraulicher Informationen führen oder eine Unterbrechung des Geschäftsbetriebs bedingen. Dies ist eine deutliche Zunahme gegenüber dem Vorjahr, als nur 38 Prozent von einer entsprechenden IT- Sicherheits-verletzung berichteten.

Außerdem gaben die Unternehmen an, dass Schulungen und Zertifizierungen die Sicherheit deutlich verbesserten. Unternehmen, in denen mindestens ein Viertel der IT-Mitarbeiter in Sicherheitsfragen geschult wurde, waren weniger von einer Sicherheitsverletzung auf Abteilungsebene (46 Prozent) betroffen als solche, bei denen weniger als ein Viertel der IT-Mitarbeiter entsprechend geschult ist (66 Prozent).

Von den Unternehmen, die in Mitarbeiterschulungen zur IT-Sicherheit investiert haben, sind 80 Prozent der Meinung, dass sich ihre Sicherheit verbessert habe. 70 Prozent der Unternehmen, die in Zertifizierungen investiert haben, sind ebenfalls dieser Auffassung. Die positiven Auswirkungen von Schulungen und Zertifizierungen werden vor allem in einer besseren Identifizierung potentieller Risiken, einem größeren Problembewusstsein, verbesserten Sicherheitsmaßnahmen sowie der Fähigkeit gesehen, auf Bedrohungen schneller reagieren zu können.

Noch immer zu wenig schriftliche Richtlinien zur IT-Sicherheit

Nur eine knappe Mehrheit der Unternehmen (51 Prozent) verfügt über schriftliche IT-Richtlinien. Etwas über die Hälfte (57 Prozent) besitzt einen Disaster-Recovery-Plan. Relative weit verbreitet sind IT-Sicherheits-richtlinien in der Finanzdienstleistungsbranche (62 Prozent) und in der öffentlichen Verwaltung (58 Prozent). In Bildungseinrichtungen liegt die Zahl bei 41 Prozent. Die wenigsten Sicherheitsrichtlinien finden sich allerdings in IT-Unternehmen: Laut der Umfrage gibt es sie nur bei 35 Prozent von ihnen.

Die Wahrscheinlichkeit, IT-Sicherheitsrichtlinien vorzufinden, steigt außerdem mit der Größe des Unter-nehmens. Unternehmen mit mindestens 7.000 Mitarbeitern verfügen mit hoher Wahrscheinlichkeit über IT- Sicherheitsrichtlinien (75 Prozent), aber nur 34 Prozent der kleinen Unternehmen (bis zu 49 Mitarbeiter) verwenden IT- Sicherheitsrichtlinien.

Unternehmen mit schriftlichen Richtlinien überprüfen und aktualisieren diese inzwischen häufiger: 44 Prozent der Unternehmen gaben an, mindestens zweimal im Jahr eine Überprüfung durchzuführen, und 38 Prozent aktualisieren ihre Richtlinien mindestens zweimal pro Jahr. Im letzten Jahr lagen die entsprechenden Werte bei 37 Prozent bzw. 34 Prozent.

Kommentare

Bitte beachten Sie unsere Informationen zum Datenschutz.