In jedem fünften Unternehmen gehen Daten von CEOs und Top-Managern verloren. Das zeigt eine Studie von Websense, die IT-Manager bedenklich stimmen kann.
Foto: fotolia.com/Gina Sanders
Datenverlust ist immer ärgerlich, klar. Besonders brisant wird es allerdings, wenn vertrauliche Informationen von CEOs oder anderen Top-Managern verloren gehen. Und das passiert gar nicht so selten: Im vergangenen Jahr in jedem fünften Unternehmen, wie aus einer aktuellen Studie des Security-Anbieters Websense unter 1000 IT-Managern hervorgeht. Brisant wird die Lage dann oft für den CIO, denn Pannen wie diese können einen IT-Chef durchaus den Job kosten. Derartigen Risiken spürt die Umfrage genauso nach wie dem Umstand, dass ohne CIOs offenbar nichts läuft in Sachen Sicherheit.
Offensichtlich hat es sich in vielen Firmen nicht bewährt, das Security-Management in andere Hände als die des CIOs zu legen. In jedem Fall ist der CIO der gefragteste Nothelfer, wenn wirklich schlimme Datenpannen passieren. Websense fragte, wer von bisher nicht involvierten Funktionsträgern nach solchen Fällen in Gespräche über Datensicherheit neu miteinbezogen wird. 43 Prozent der Befragten nannten den CIO.
Zwei Fünftel gaben „Managing Director“ an. Jeweils 35 Prozent der Befragten zogen den CEO oder den Compliance-Chef hinzu; jeweils 28 Prozent den Leiter der Rechtsabteilung oder den Aufsichtsrat. Weitere jeweils 12 Prozent banden außerdem die Finanz- und Vertriebschefs ein.
In 32 Prozent der befragten Firmen gingen in den vergangenen zwölf Monaten Mitarbeiterdaten verloren. 27 Prozent mussten erleben, dass Unternehmensdaten von ungeschützten Mobilgeräten verschwanden. Eine Vielzahl von Datenpannen passierte nicht ganz so häufig, aber doch in etwa in jedem fünften Unternehmen: der Verlust von Kundendaten oder wie erwähnt von Daten aus dem Top-Management beispielsweise.
Ebenso oft kam es zu Datendiebstahl durch Mitarbeiter, wurden interne oder externe Compliance-Sicherheitsprüfungen nicht bestanden oder wurden vertrauliche Daten in sozialen Netzwerken gepostet. 16 Prozent wurden Opfer von Advanced Persistent Threats.
25 Prozent reagierten auf Wikileaks
86 Prozent der befragten IT-Manager rechnen für sich mit dem Schlimmsten, falls schwerwiegende Pannen passieren. Foto: Websense
Die Websense-Studie zeigt ferner auf, dass sich offenbar etwa jedes vierte Unternehmen durch öffentlichkeitswirksame Diskussionen schrecken lässt und deshalb intern etwas verändert. 25 Prozent taten das wegen der Debatte um Wikileaks. Sogar 27 Prozent reagierten auf den Datenverlust bei Sony, fast jedes fünfte Unternehmen auf die vergleichbar prominenten Fälle RSA und Epsilon. Nur für 15 Prozent war hingegen die Malware ZeuS der Anstoß für Veränderungen.
47 Prozent der Firmen stoppten als Reaktion auf interne oder externe Pannen die Nutzung von Cloud-Applikationen oder verzögerten ihren geplanten Einstieg. 45 Prozent modifizierten ihre Security-Richtlinien. Ebenfalls jeweils zwei Fünftel erhöhten ihren Ausgaben für Datensicherheit, führten neue automatisierte Restriktionen für Mitarbeiter ein oder implementierten neue Lösungen. 28 Prozent begannen oder beschleunigten ein Projekt zur Prävention von Datenverlust.
In der Zusammenarbeit mit externen Zulieferern setzen inzwischen 37 Prozent einen vollständigen Sicherheitscheck voraus; 32 Prozent lassen sich schriftlich versichern, dass die Hausaufgaben gemacht sind. 15 Prozent sagen, solche Regelungen bestünden in ihrem Unternehmen zwar auch, aber Mitarbeiter setzten sich darüber hinweg. Weitere 9 Prozent würden sich derartige Maßnahmen wünschen, 4 Prozent lehnen sie ab.
Dabei sollten IT-Manager schon aus Sorge um die eigene Karriere darauf bedacht sein, Pannen unter allen Umständen zu vermeiden. 37 Prozent der Befragten rechnen durchaus mit einer Entlassung des zuständigen IT-Managers, wenn Daten von Topmanagern verloren gehen oder wenn kritische Unternehmensdaten auf ungeschützten mobilen Endgeräten transportiert werden.
Jeweils mehr als ein Drittel sieht den Job des CIOs unter Umständen als gefährdet an, wenn ein externes Audit verpatzt wird, Mitarbeiter ungestört auf Hochrisikoseiten im Internet unterwegs sein können oder wenn es wiederholt zu einem größeren Datenverlust kommt. Auch verschwundene Compliance-Daten und allzu Vertrauliches auf Social-Media-Seiten wird von ähnlich vielen als möglicher Entlassungsgrund gesehen.
Die Top Ten der Datenverluste 2011
Platz 10: Schlechtes Image ohne Bilder Eine Schauspielerin wollte mit dem MAC Disk Utility Programm Daten von einer externen USB-Festplatte löschen. Dabei wählte sie versehentlich die falsche Festplatte aus – und löschte ihr gesamtes Portfolio. Model-Mappe, aktuelle Aufnahmen: alles weg. Die Schauspielerin kam jedoch mit dem Schrecken davon, denn Kroll Ontrack konnte im Labor die Daten komplett wiederherstellen.
Platz 9: Virtuelle Systeme treffen die Realität Mehr Performance für das virtuelle Server-System, das war das Ziel eines IT-Administrators. Er teilte deshalb die Partitionen C und D des virtuellen Servers auf zwei unterschiedliche Systeme auf. Da ihm der Speicherplatz ausging, musste er jedoch in großer Eile die beiden Partitionen C und D auf dem gleichen System konsolidieren. Was er nicht wusste und in der Hektik auch nicht nachkontrollierte: Auf dem Zielsystem war diese Benennung bereits vergeben. So überschrieb er einen ganzen Satz wichtiger Daten.
Platz 8: Die Kraft der Magnete Ein Notebook wurde auf einem Tisch abgelegt – soweit nichts Besonderes, hätte der Tisch nicht in der Nähe einiger Seltenerd-Magneten gestanden. Die Magneten kamen in Kontakt mit dem Notebook. Als der Besitzer seinen Rechner anschalten wollte, bootete er nicht komplett und gab klickende Geräusche von sich. Im Labor stellte Kroll Ontrack fest, dass die Festplatten beschädigt waren. Mit Hilfe proprietärer Technologien konnten die Ingenieure den Schaden jedoch überwinden und die Daten retten.
Platz 7: Unglück zum Monatsende Wenn der Monatsabschluss fertig werden muss, schiebt in vielen Unternehmen die Buchhaltung Überstunden und hält sich dabei mit Kaffee wach. Dass das jedoch zum Problem für die Daten werden könnte, hätte bislang niemand gedacht. In einem Unternehmen saßen die Buchhalter wie üblich noch spät abends am Monatsabschluss. Als sie die Arbeit kurz für eine Kaffeepause unterbrachen, fiel der Strom aus, was auch den Finanz-Server betraf. Glücklicherweise waren die Computer der Finanzabteilung per UPS weiter mit Strom versorgt. Die Kaffeemaschine, die auf Hochbetrieb lief, verbrauchte jedoch so viel Strom von der UPS-Batterie, dass der Server zusammenbrach. Die Daten des Monatsabschlusses waren damit weg.
Platz 6: Deal unter Wasser gesetzt Zwei Geschäftsleute trafen sich auf ein Bier in einer Kneipe, um einen geplanten Abschluss zu besprechen. Als die Bedienung die Gläser brachte, kippte eines davon versehentlich um und setzte das Notebook mit den Business-Plänen unter Wasser. Ein Küchentuch war schnell zur Hand, aber zur Rettung des Notebooks und der wichtigen Daten war die Rettungstechnik von Kroll Ontrack nötig.
Platz 5: Rauchen kann tödlich sein - für Daten Ein neu eingestellter Wachmann tat seinen ersten Abenddienst in einem Lager für chemische Inhaltsstoffe. Sein Vorgesetzter hatte ihm zwar gesagt, dass Rauchen verboten sei, aber wer würde jetzt nach Arbeitsschluss schon mitbekommen, wenn er sich eine Zigarette gönnte? Kurz nach dem Anzünden der Zigarette ertönte der Feueralarm und das Sprinkler-System löste aus. Die gesamte elektronische Ausstattung des Lagers, darunter 44 Desktop-Computer und zwei Server, wurden unter Wasser gesetzt.
Platz 4: Nicht ganz sicher auf dem Safe Der IT-Mitarbeiter eines Unternehmens war spät dran für ein wichtiges Meeting. Statt ein Tape-Medium im wasserdichten Safe zu verstauen, legte er es deshalb oben auf dem Safe ab und wollte es nach dem Meeting aufräumen. Nach weniger als einer Stunde jedoch wurde die Stadt von einem Erdbeben erschüttert. Das Tape fiel auf den Boden und wurde unter eindringendem Schlamm, Wasser und Sand begraben. Das Band sah danach fast hoffnungslos aus, mit Hilfe einer speziellen Tape-Recovery-Technologie konnten die Daten jedoch zu 100 Prozent gerettet werden. Der Inhalt stand dem Unternehmen innerhalb kurzer Zeit wieder zur Verfügung.
Platz 3: Zeitgeschichte, live dokumentiert Mitten in den Unruhen dieses Frühjahrs in London dokumentierte ein freier Fotograf die Vorkommnisse mit seiner Kamera. Als die Menge auf ihn aufmerksam wurde und sah, dass er sie filmte, zerstörten sie die Kamera, damit es kein Beweismaterial gab. Nachdem die Kamera ihren Weg zu Kroll Ontrack gefunden hatte, konnten die Daten zu 100 Prozent gerettet werden. Das Filmmaterial wurde direkt der Polizei ausgehändigt.
Platz 2: Auf den Hund gekommen Dass ein Backup wichtig ist, davon überzeugte ein Mann seine Freundin, die ihre gesamte Foto-Bibliothek bislang nur auf dem Notebook gespeichert hatte. Sie kopierte deshalb tausende Fotos aus ihrem Fotostudio auf eine externe Festplatte. Unglücklicherweise war diese Festplatte nach kurzer Zeit die einzige Kopie der Foto-Bibliothek. Nun kam ein weiterer unglücklicher Zufall ins Spiel: Das Paar bekam Besuch von einer Freundin und ging zur Tür, um sie in Empfang zu nehmen. Der Hund der Familie, erfreut über den Besuch, stürzte ebenfalls zur Tür. Da er jedoch unter dem Tisch gelegen hatte, auf dem die Festplatte lag, fiel diese vom Tisch. Die einzige Kopie der wertvollen Daten war damit ebenfalls beschädigt.
13 Prozent frustrierte Einzelkämpfer
29 Prozent der Befragten gehen davon aus, vor moderner Malware absolut geschützt zu sein. 54 Prozent halten zwar ihre Schutzmechanismus für so gut wie möglich, gehen aber davon aus, dass trotzdem etwas schief laufen kann. 13 Prozent sind frustriert darüber, im Unternehmen keine Unterstützung für bessere Security-Lösungen zu finden.
Die Studie „Security Pros and Cons“ ist bei Websense erhältlich.
Dieser Artikel basiert auf einem Beitrag unserer Schwesterpublikation CIO. (ph)