12. August 2015 | von Alle Beiträge anzeigen von
Dirk Schmidt
| Thema: IT-SecurityAlle Beiträge zu diesem Thema anzeigen | 1.212 Besucher

Datensicherheit am Arbeitsplatz: Der (Risiko-) Faktor Mensch

Bereits an anderer Stelle wurde hier im Blog über die Gefahren, Maßnahmen und vor allem Kosten im Zusammenhang mit dem Thema IT-Sicherheit berichtet. Im Mittelpunkt dieses Beitrags soll heute der (Risiko-?) Faktor Mensch stehen. Viele Unternehmen in Deutschland unterschätzen die Rolle ihrer Mitarbeiter beim Einführen und Umsetzen einer tragfähigen IT-Security-Strategie. Zu diesem Ergebnis kommt auch das Marktforschungsunternehmen techconsult im Rahmen seines Studienprojekts Security Bilanz Deutschland. Der Schwerpunkt der Studie, zu der mehr als 500 Unternehmen mit 20 bis 1.999 Mitarbeitern befragt wurden, lag auf der Frage, wie mittelständische Unternehmen die aktuelle Bedrohung im Bereich IT-Sicherheit wahrnehmen und wie sie die damit verbundenen Sicherheitsmaßnahmen umsetzen.

„IT- und Informationssicherheit lässt sich nicht zentral anordnen, sondern ist vielmehr ein Prozess, in den jeder Mitarbeiter eingebunden werden muss“, erklärt Daniel Pippert, Research Analyst bei techconsult, bei der Bekanntgabe der aktuellen Ergebnisse dieses Jahres. Denn gerade die Mitarbeiter mit PC-Arbeitsplatz und Internet-Zugang seien nahezu täglich der Gefahr von Schadsoftware oder Phishing-Attacken ausgesetzt. Neue Arbeitsformen wie „Bring your own Device“ (BYOD), also die Nutzung privater Endgeräte für berufliche Zwecke, oder die Arbeit im „home office“ führen zu weiteren Bedrohungsszenarien. Die technischen Möglichkeiten für die IT-Abteilung des Unternehmens, dafür die geeigneten Sicherheitsmaßnahmen zu ergreifen, seien dabei zwangsläufig begrenzt.

Daniel Pippert erläutert: „Somit übernehmen auch die Mitarbeiter selbst eine zentrale Rolle für die IT- und Informationssicherheit des Unternehmens. Umso wichtiger ist es, dass die Mitarbeiter sich ihrer Verantwortung bewusst sind und Klarheit darüber herrscht, welche Daten des Unternehmens in welcher Form genutzt werden dürfen.“ Und genau deshalb muss es laut techconsult-Analyst Pippert zentrale Aufgabe des IT-Verantwortlichen sein, sinnvolle Regelungen für alle sicherheitsrelevanten Bereiche zu entwickeln und diese Regelungen dann auch an die betroffenen Mitarbeiter zu kommunizieren.

Große Defizite bei der Kommunikation

Doch genau bei der Mitarbeiterkommunikation, so die Ergebnisse der Security Bilanz Deutschland, bestehen im deutschen Mittelstand noch deutliche Defizite. Laut Studie informieren nur knapp 40 Prozent der befragten Unternehmen ihre Mitarbeiter in Form von Schulungen und Aufklärungskampagnen über die für sie wichtigen IT-Sicherheitsthemen. Bereiche mit hoher IT-Security-Relevanz wie die Nutzung privater Endgeräte oder sozialer Netzwerke am Arbeitsplatz sind bei sechs von zehn Unternehmen nicht geregelt. Die wichtigsten Ergebnisse verdeutlicht die nachfolgende Infografik.

techconsult_IT_Security_Mitarbeiter

Quelle:http://www.techconsult.de

Warnung des techconsult-Analysten Pippert: „Hier besteht dringender Nachholbedarf, vor allem vor dem Hintergrund der Bedeutung, welche die Mitarbeiter für die IT-Security-Strategie im Alltag innehaben.“

Wie wichtig die Aufklärung und Sensibilisierung der Mitarbeiter ist, wird gerade beim Thema Social Engineering deutlich. Auch die besten Sicherheitssysteme können umgangen werden, wenn ein Mitarbeiter bewusst oder unbewusst zum Komplizen eines Hackers oder Datendiebs wird. Bereits im letzten Jahr haben wir diesem Thema deshalb eine eigene Beitragsserie gewidmet.

Gefahrenstellen minimieren – Services auslagern

Weshalb versäumen es aber so viele IT-Abteilungen die Kollegen in den Fachabteilungen in adäquater Art und Weise über IT-Sicherheitsfragen zu informieren und in den entsprechenden Themenbereichen zu schulen? In der Regel hat die IT-Abteilung alle Hände voll zu tun, die tatsächlichen Bedrohungen und Angriffe abzuwehren. Wie akut und hartnäckig diese Bedrohungen und Angriffe mittlerweile sind, beweist unter anderem gerade erst die aktuelle Berichterstattung über den Cyber-Angriff auf den deutschen Bundestag und die Phishing-Attacke auf einen Rechner im Bundeskanzleramt.

Wie der Bitkom in einer Umfrage herausfand, wurde „gut die Hälfte (51 Prozent) aller Unternehmen in Deutschland in den vergangenen zwei Jahren Opfer von digitaler Wirtschaftsspionage, Sabotage oder Datendiebstahl.“ Häufigstes Angriffsziel (34 %): die IT-Systeme und die Kommunikationsinfrastruktur der Unternehmen.

Gerade mittelständische Unternehmen mit in der Regel begrenzten IT-Ressourcen stehen damit vor einer Mammutaufgabe, die in Zukunft sicher nicht kleiner werden wird.

Um diese Aufgabe zu meistern und auch den zukünftigen Herausforderungen begegnen zu können, kann es für mittelständische Unternehmen eine erfolgsversprechende Lösung sein, sich einen externen Partner in Form eines Managed Security Service Providers an die Seite zu holen. An diesen Dienstleister können dann Teilbereiche ausgelagert werden. Darüberhinaus profitiert das Unternehmen von dessen Projekterfahrungen beim Konzipieren und Umsetzen von IT-Security-Strategien.

Damit bekommt die IT Abteilung mehr Zeit und Möglichkeiten sich mit dem (Risiko-?) Faktor Mensch zu beschäftigen.Und auch dabei kann ein MSSP beim Entwickeln und Umsetzen der entsprechenden Regelwerke für die Mitarbeiter des Unternehmens sowie bei der Schulung und Weiterbildung der Mitarbeiter in relevanten Fragen für die IT – Sicherheit unterstützen.

Bildquelle/Copyright: © Kirill Kedrinski — fotolia.com

Ihre Meinung zählt

Newsletter abonnieren