Insider-Risk-Management

Unbeabsichtigte Security-Verstöße werden unterschätzt

16.09.2009 von Klaus Manhart
Versehentliche Verstöße gegen geltende Security-Richtlinien kommen häufiger vor und verursachen größere Schäden als vorsätzliches missbräuchliches Handeln eigener Mitarbeiter. Zu diesem Schluss kommt eine aktuelle IDC-Studie.
"IT-Security darf nicht nur Sache des Sicherheitsteams sein, sondern geht jeden Mitarbeiter an", sagt Christopher Young, Senior Vice President Products bei RSA. "Die internen Risiken steigen rasant, ihr Einfluss auf die Wettbewerbsfähigkeit wächst."

Bei der Studie Insider Risk Management: A Framework Approach to Internal Security stehen die Gefahren im Mittelpunkt, die von internen Anwendern mit Zugang zu kritischen IT-Systemen und vertraulichen Informationen ausgehen. Generell, so die vom Security-Unternehmen RSA gesponsorte Untersuchung, seien sich viele Firmen zwar bewusst, dass durch die internen Nutzer potenzielle Risiken entstünden. Doch stehen Security-Schwachstellen wie sorgloses Zugriffsverhalten oder regelwidriger Umgang mit sensiblen Daten oftmals im Hintergrund, da sie von äußeren Bedrohungen überschattet würden.

Tatsächlich sind sich die meisten der von IDC befragten Entscheidungsträger - CIOs und CEOs - über interne Gefahrenquellen nicht im Klaren. Sie können Ursachen von Workflow-Beeinträchtigungen deshalb auch nicht eindeutig zuordnen und finanzielle Schäden nicht quantifizieren.

Geringer Etat: Deutsche Unternehmen stellen für interne IT-Risiken besonders wenig Finanzmittel bereit (Quelle: IDC).

52 Prozent der Befragten charakterisieren Sicherheitsverstöße, die von eigenen Mitarbeitern verschuldet wurden, als vorwiegend unbeabsichtigt. Nur 19 Prozent vermuten, dass die Mehrzahl der Fälle auf Vorsatz beruht. 26 Prozent meinen, Absicht und Fahrlässigkeit hielten sich die Waage. Die verbleibenden drei Prozent waren sich unsicher und machten keine Angaben. Bei der Frage nach der Einstufung ihrer Sicherheitsrisiken waren sich 82 Prozent der befragten CIOs und CEOs nicht sicher, ob Vorfälle im Zusammenhang mit Partnern, freien oder zeitweiligen Mitarbeitern überwiegend vorsätzlich oder fahrlässig entstehen.

Ganzheitliches Insider Risk Management nötig

Aufschluss gibt das IDC-Whitepaper auch über Art und Anzahl intern verursachter Sicherheitsverstöße: 400 befragte Unternehmen beklagten im vergangenen Jahr zusammengerechnet 6.244 Fälle von unbeabsichtigtem Datenverlust. Sie verzeichneten 5.830 Malware- und Spyware-Attacken, die aus dem Inneren des eigenen Unternehmens heraus geführt wurden. An 5.794 riskanten Situationen waren zu weit gefasste Zugriffsprivilegien Schuld.

Insgesamt belief sich die Zahl intern verursachter Security-Vorkommnisse in den letzten zwölf Monaten auf 57.485. Als Konsequenz planen fast 40 Prozent der Befragten, im Lauf des nächsten Jahres Investitionen, um interne Risiken zu reduzieren. Gerade einmal sechs Prozent glauben, an dieser Stelle sparen zu können.

Die Studienergebnisse verdeutlichen zudem: Einzellösungen liefern keine adäquate Antwort auf interne Gefahren. Gefragt ist stattdessen ein durchgängiger Insider-Risk-Management-Ansatz. Nur so können Unternehmen ihr individuelles Risikoprofil besser verstehen und auf dieser Basis wirksame Schutz- und Steuerungsmechanismen implementieren. Die Studie können Sie kostenlos hier downloaden.