Die Mehrheit der Unternehmen bezeichnet ihren gegenwärtigen Schutz gegen interne Sicherheitsrisiken durch Mitarbeiter als unzureichend. Zwar hätten sich die durchschnittlichen Security-Verhältnisse nach einer Vergleichserhebung der mikado soft gmbh in den letzten vier Jahren deutlich verbessert, eine völlig zufriedenstellende Situation herrsche jedoch weiterhin nur in Ausnahmefällen. Zu den hauptsächlichen Gründen für die Nachlässigkeiten beim Schutz gegen den internen Datenmissbrauch gehörten fehlende finanzielle und personelle Ressourcen.

Der Untersuchung zufolge erachten es 42 Prozent der über 200 befragten Mittelstands- und Großunternehmen als „sehr schwierig“, die potenziellen Sicherheitsbedrohungen durch Mitarbeiter wirksam zu unterbinden. Ein weiteres Fünftel sieht hierbei etwas geringere, aber immer noch „schwierige“ Bedingungen. Gegenüber 2007 stelle dies jedoch eine deutliche Verbesserung dar, als noch 20 Prozent mehr Firmen den Aufbau eines wirksamen Schutzes gegen interne Datenspionage als schwer zu lösende Herausforderung darstellten.

Eine ähnliche Entwicklung sei beim konkreten Security-Status festzustellen. Auch wenn eine zufriedenstellende oder sogar optimale Situation lediglich in zwei von fünf Unternehmen vorherrsche, bedeute dies gegenüber 2007 fast eine Verdoppelung der Positivbewertungen von 23 auf 42 Prozent. Dies ändere aber nichts daran, dass aktuell die internen Sicherheitsbedingungen nach dem Urteil von 26 Prozent der befragten Firmen „sehr problematisch“ seien und sie bei zusätzlichen 35 Prozent nur teilweise den Anforderungen entsprächen.

„Das Thema IT-Sicherheit konzentrierte sich zu lange vornehmlich auf die möglichen Bedrohungen von außen“, versucht Wolfgang Dürr, Geschäftsführer der mikado soft gmbh, eine Erklärung für die immer noch weit verbreiteten Defizite beim Schutz gegen so genannte Innentäter zu geben. Schließlich sei das Thema Wirtschaftskriminalität keineswegs neu und würden die Unternehmen durch die Gefahr des Datendiebstahls erhebliche Risiken eingehen. „Die Notwendigkeiten sind zwar auf einer abstrakten Ebene erkannt worden, diese Einsicht ist jedoch häufig von einer großen Unverbindlichkeit geprägt und hat kein konsequentes Handeln zur Folge“, lautet seine Kritik.

Ein solches Handlungsdefizit gestehen viele Unternehmen durchaus auch ein, wenn immerhin 38 Prozent selbstkritisch von einem zu lässigen Umgang mit den Fragen der internen Sicherheitsverhältnisse sprechen und darin eine der Ursachen für den gegenwärtig unbefriedigenden Status sehen. Noch mehr schreiben jedoch den fehlenden Ressourcen (62 Prozent) durch andere Projektprioritäten die Schuld zu. Auch mit fehlenden Investitionsmitteln (57 Prozent) und einer unzureichenden Kenntnis angemessener Lösungen (40 Prozent) wird von fast jedem Zweiten begründet, dass noch kein ausreichender Schutz vor internem Datenmissbrauch durch Mitarbeiter bestehe. Interessant an dem Vergleich mit den Befragungsergebnissen aus 2007 sei vor allem, dass die Hinweise auf unzureichende Budgetbedingungen deutlich zugenommen hätten.

Gerade das Kostenargument möchte Dürr jedoch nicht unwidersprochen stehen lassen. „Mit der Einführung einer Network-Access-Control-Lösung (NAC) wird nicht nur das notwendige Sicherheitsniveau erreicht, sondern lässt sich auch als Zusatzeffekt ein wirksames Energiemanagement für alle Endgeräte im Netzwerk vornehmen, so dass ein ROI allein durch eine Energiekostenreduzierung fast immer bereits innerhalb eines Jahres erreicht werden kann“, betont er. (mikado soft/ph)