computerwoche.de

IT-Strategie

Insider-Risk-Management

Unbeabsichtigte Security-Verstöße werden unterschätzt

16.09.2009
Von 
Dr. Klaus Manhart hat an der LMU München Logik/Wissenschaftstheorie studiert. Seit 1999 ist er freier Fachautor für IT und Wissenschaft und seit 2005 Lehrbeauftragter an der Uni München für Computersimulation. Schwerpunkte im Bereich IT-Journalismus sind Internet, Business-Computing, Linux und Mobilanwendungen.
Alle Posts des Autors Email:
Versehentliche Verstöße gegen geltende Security-Richtlinien kommen häufiger vor und verursachen größere Schäden als vorsätzliches missbräuchliches Handeln eigener Mitarbeiter. Zu diesem Schluss kommt eine aktuelle IDC-Studie.
"IT-Security darf nicht nur Sache des Sicherheitsteams sein, sondern geht jeden Mitarbeiter an", sagt Christopher Young, Senior Vice President Products bei RSA. "Die internen Risiken steigen rasant, ihr Einfluss auf die Wettbewerbsfähigkeit wächst."
"IT-Security darf nicht nur Sache des Sicherheitsteams sein, sondern geht jeden Mitarbeiter an", sagt Christopher Young, Senior Vice President Products bei RSA. "Die internen Risiken steigen rasant, ihr Einfluss auf die Wettbewerbsfähigkeit wächst."

Bei der Studie Insider Risk Management: A Framework Approach to Internal Security stehen die Gefahren im Mittelpunkt, die von internen Anwendern mit Zugang zu kritischen IT-Systemen und vertraulichen Informationen ausgehen. Generell, so die vom Security-Unternehmen RSA gesponsorte Untersuchung, seien sich viele Firmen zwar bewusst, dass durch die internen Nutzer potenzielle Risiken entstünden. Doch stehen Security-Schwachstellen wie sorgloses Zugriffsverhalten oder regelwidriger Umgang mit sensiblen Daten oftmals im Hintergrund, da sie von äußeren Bedrohungen überschattet würden.

Tatsächlich sind sich die meisten der von IDC befragten Entscheidungsträger - CIOs und CEOs - über interne Gefahrenquellen nicht im Klaren. Sie können Ursachen von Workflow-Beeinträchtigungen deshalb auch nicht eindeutig zuordnen und finanzielle Schäden nicht quantifizieren.

Geringer Etat: Deutsche Unternehmen stellen für interne IT-Risiken besonders wenig Finanzmittel bereit (Quelle: IDC).
Geringer Etat: Deutsche Unternehmen stellen für interne IT-Risiken besonders wenig Finanzmittel bereit (Quelle: IDC).

52 Prozent der Befragten charakterisieren Sicherheitsverstöße, die von eigenen Mitarbeitern verschuldet wurden, als vorwiegend unbeabsichtigt. Nur 19 Prozent vermuten, dass die Mehrzahl der Fälle auf Vorsatz beruht. 26 Prozent meinen, Absicht und Fahrlässigkeit hielten sich die Waage. Die verbleibenden drei Prozent waren sich unsicher und machten keine Angaben. Bei der Frage nach der Einstufung ihrer Sicherheitsrisiken waren sich 82 Prozent der befragten CIOs und CEOs nicht sicher, ob Vorfälle im Zusammenhang mit Partnern, freien oder zeitweiligen Mitarbeitern überwiegend vorsätzlich oder fahrlässig entstehen.