Was sollten die Unternehmen tun?
Aber was kann die Geschäftsführung tun, um ihr Unternehmen auf den Übergang in eine offenere Technikumgebung vorzubereiten? Antworten auf diese Fragen suchten die Teilnehmer eines von Trend Micro veranstalteten Roundtable mit deutschen Großunternehmen. Offizielle Richtlinien und Flyer sowie regelmäßige und vorgeschriebene Mitarbeitertrainings seien am hilfreichsten, darüber waren sich die Diskutanten einig.
"Die Maßnahmen werden leider von den Führungsebenen häufig nicht mitgetragen", gab Wolfgang Franklin, Vorstandsvorsitzender des Cioforum in Deutschland, Österreich & Schweiz, zu bedenken. Die Ergebnisse der Studie bestätigen das offenbar: Nur 50 Prozent der befragten Führungskräfte in Deutschland finden Mitarbeiterschulungen für die Abwehr von Datensicherheitsverletzungen besonders hilfreich; ganze 39 Prozent halten offizielle Richtlinien, die den Einsatz von Kontaktnetzwerken und ähnlichen Anwendungen regeln, für wirksam.
Zwar wird der sichere Umgang mit dem Computer häufig geschult, doch gerade einmal 21Prozent der europäischen Unternehmen bieten Mitarbeiter-Trainings zur Verwendung privater Kommunikationsgeräte (Laptops etc.) am Arbeitsplatz an. Hinsichtlich der Kontaktnetzwerke schrumpft der Anteil sogar auf 17 Prozent.
Als ein ungelöstes Problem erweist sich auch die Zuständigkeit für eine Einführung von mehr Technologiefreiheit bei gleichzeitigem Schutz vor Missbrauch und Sicherheitsverletzungen. IT-Abteilungen stehen ohnehin schon vor viele neue Herausforderungen und sollten ja theoretisch auch dadurch entlastet werden, dass Mitarbeiter oder ihre Geschäftseinheiten selbst über neue Anwendungen und Websites entscheiden.
Raimund Genes, Chief Technology Officer von Trend Micro, empfiehlt deshalb: "Unternehmen dürfen die IT-Abteilung mit der Aufgabe der Demokratisierung nicht allein lassen. Für die Mitarbeiter ist grundsätzlich die Personalabteilung zuständig, und die sollte auch die Awareness-Maßnahmen nach Kräften unterstützen."
Das IT-Team wird künftig mehr Zeit dafür aufwenden müssen, Sicherheitslösungen für neue Geräte und Software zu finden. Es muss sich auf die Verwaltung von Firewalls und andere Aspekte der physischen Netzwerksicherheit sowie die Nachverfolgung neuer externer Bedrohungen konzentrieren. Die Zuständigkeit für Sicherheit teilweise zu dezentralisieren erscheint deshalb als eine plausible Möglichkeit.