Studie zur IT-Sicherheit

Überraschend: IT-Abteilung ist größtes Sicherheitsrisiko
Kommentare

Zu äußerst schmachvollen Ergebnissen für die IT-Community ist jetzt eine Untersuchung zur internen Unternehmenssicherheit gekommen: Anscheinend sind es gerade die Mitarbeiter mit der größten IT-Erfahrung, die sich im Security-Bereich am unverantwortlichsten verhalten.

Für den diesjährigen Insider Risk Report hat der Anbieter von Cloud-Services Intermedia.net, Inc. über 2.000 Angestellte in den USA und in Großbritannien interviewen lassen, um herauszubekommen, wo die größten Sicherheitssünder in Unternehmen zu finden sind. Was man dabei entdeckt hat, widerspricht auf frappante Weise den Erwartungen, die man bezüglich einer solchen Studie und ihrer Resultate hätte.

Schindluder in der IT-Abteilung

Herausgestellt hat sich nämlich, dass gerade die Angestellten aus den IT-Abteilungen die schlimmsten Finger in Sachen Enterprise Security sind. Während durchschnittlich 13 Prozent der Mitarbeiter sich nach Ende des Arbeitsverhältnisses ins System des alten Arbeitgebers einloggen, unter anderem um Daten zu kopieren oder löschen, bekannten sich mehr als doppelt so viele ITler dazu. Zwei Drittel der IT-Professionals teilen ihre Logins mit anderen, im Durchschnitt machen das nur 46 Prozent der Befragten. Und mit 40 Prozent sind überdurchschnittlich viele Mitarbeiter der IT-Abteilungen der Ansicht, dass sie Applikationen auch ohne vorhergehende Konsultation mit der IT installieren dürfen. Das sind 13 Prozentpunkte mehr als der Durchschnitt. Umgerechnet auf die Branchen zeigen die Zahlen ein ähnlich desaströses Verhältnis: Auch hier tut sich die gesamte Informationstechnologiebranche mit einer zweifelhaften Einstellung zur Unternehmenssicherheit hervor. Eine vielleicht gar nicht so schlechte Deutung der irritierenden Zahlenlage liefert der CTO von Intermedia Jonathon Levine:

You’ve heard the saying, ‘100% of men say they’re better than the average driver.’ It’s the same thing. ‘100% of IT people say they’re better than average at security.’ You’ll also hear people say things like, ‘Why put on a seatbelt? I’ve been driving a long time without one and I’m still not dead.’ It’s the same mentality.

Nachlässige Millennials

Desweiteren zeigt die Studie, dass vor allem mit zunehmendem Alter ein größeres Bewusstsein für die Gefahren von Sicherheitslücken vorliegt, während die sogenannten Millennials (darunter wird jeder im Alter von 18 bis 34 Jahren gezählt) eher schlechter abschneiden. Dass sie eher dazu neigen, Firmendaten in der privaten Cloud zu speichern oder diese für ihren persönlichen Vorteil zu entwenden und Apps ohne Absprache mit der IT zu installieren, wird hauptsächlich mit ihren Status als Digital Natives begründet: Teilweise wüssten sie sogar besser was sie tun, teilweise sei ihr Blick auf Technologie jedoch von Naivität geprägt. Dazu gesagt werden sollte allerdings, dass gerade die ersten beiden Punkte nur von 28 bzw. 23 Prozent der Befragten mit ja beantwortet wurden, die Werte also nicht dramatisch vom generellen Durchschnitt abweichen.

Beschäftigungsdauer und Training

Darüber hinaus haben die Forscher eine Korrelation zwischen Dauer der Beschäftigung und einem eher nachlässigen Umgang in puncto Sicherheit ausgemacht. Länger angestellte Mitarbeiter tendieren – sei es aus Routine, sei es wegen ihrer sichereren Stellung im Unternehmen – demnach dazu, sich einem oder mehreren der oben aufgeführten Vergehen schuldig zu machen. Die Größe eines Unternehmens spielt bei all dem unmittelbar keine Rolle, es könnte aber eine Beziehung hinsichtlich der Finanzierung von Security-Trainings und -Tools geben. Dort schneiden kleinere Firmen schlechter ab, was vielleicht mit mangelnden finanziellen Ressourcen zusammenhängen könnte.

Ursachenforschung

Doch was mit diesen Ergebnissen anfangen, wie auf die Situation reagieren? Obwohl es unerlässlich ist, Sicherheitstechnologien weiter voranzutreiben, um menschliches Versagen soweit wie möglich auszuschließen, müssen doch Wege gefunden werden, das Bewusstsein gerade bei den Angestellten in der IT zu heben. Besseres Training sowie einfachere Tools und Protokolle sind das Eine, aber man sollte ebenfalls objektive Faktoren in den Blick nehmen, die sich im subjektiven Verhalten niederschlagen. Fordern vielleicht unglückliche Arbeitsabläufe und hoher Produktivitätsdruck das Umgehen von Sicherheitsbestimmung heraus? So oder so, es scheint einiges an Nachholbedarf zu geben.

Aufmacherbild: it business man in network server room have problems and looking for disaster situation solution via Shutterstock / Urheberrecht: dotshock

Unsere Redaktion empfiehlt:

Relevante Beiträge

Meinungen zu diesem Beitrag

X
- Gib Deinen Standort ein -
- or -