Payments System Hacking. Online Credit Cards Payment Security Concept. Hacker in Black Gloves Hacking the System.
17. Februar 2016 | von Alle Beiträge anzeigen von
Thomas Beckert
| Thema: IT-SecurityAlle Beiträge zu diesem Thema anzeigen | 774 Besucher

IT-Security 2016: Die größten Gefahren drohen intern

Bereits zu Jahresbeginn haben wir das Thema IT-Sicherheit und die aktuellen Bedrohungen in einem Blogbeitrag thematisiert, uns dabei aber insbesondere mit dem Themenbereich Cloud Computing und IT-Sicherheit beschäftigt. Aus aktuellem Anlass, der Veröffentlichung des zweiten Studienberichts der techconsult Security Bilanz Deutschland 2015, möchten wir das Thema nochmals aufgreifen und uns dabei mit den unternehmensinternen Maßnahmen  zur IT-Sicherheit beschäftigen.

Denn glaubt man den Ergebnissen der Security Bilanz Deutschland 2015, dann ist in vielen deutschen Unternehmen die „organisatorische, rechtliche und strategische Umsetzung von IT- und Informationssicherheit häufig mangelhaft.“

Der Faktor Mensch – das große IT-Sicherheitsrisiko

Gerade bei der Mitarbeitersensibilisierung sehen die techconsult-Analysten große Defizite. Immerhin kann ein Fehlverhalten der eigenen Mitarbeiter im Bereich der Informationssicherheit  weitreichende Folgen für das Unternehmen, z.B. in den Bereichen Datenschutz und Datensicherheit, haben. Aus diesem Grund ist es unerlässlich, dass Mitarbeiter regelmäßig der zur Informationssicherheit informiert und für die Bedeutung des Themas sensibilisiert werden. Ein wichtiger Bereich in diesem Zusammenhang ist die unter dem Schlagwort „Schatten IT“ bekannt gewordene Nutzung von IT-Tools (Endgeräte, Apps, soziale Meiden), die nicht in das Sicherheitskonzept des Unternehmens integriert sind und unter Umständen dazu führen, dass Datenschutzvorschriften und Compliance-Vorgaben verletzt werden. Außerdem werden damit unter Umständen Unternehmensdaten dem Zugriffsbereich des Unternehmens entzogen,  indem sie zum Beispiel auf externen Plattformen gespeichert werden.

Laut Security Bilanz haben knapp zwei Drittel der befragten Unternehmen Probleme, „mitarbeiterzentrierte Maßnahmen“ umzusetzen.

Darüber hinaus werden bei rund zwei Dritteln der Studienteilnehmer auch rein organisatorische Maßnahmen zur Informationssicherheit wie die Umsetzung standardisierter Verfahren, der Einsatz von Richtlinien oder die Simulation von Ernstfallszenarien vernachlässigt.

Rechtliche Absicherung mangelhaft

Ein weiterer Aspekt, der von der Security Bilanz Deutschland 2015 bemängelt wird, sind die rechtlichen Maßnahmen, die von Unternehmen im Bereich der Informationssicherheit ergriffen werden, um sich für den Ernstfall abzusichern. Dies beginnt bereits beim Abschließen von Geheimhaltungsvereinbarungen mit den eigenen Mitarbeitern. Versäumen es die Unternehmen darüber hinaus, vorab bereits Zuständigkeiten und Fragen zur Haftung zu klären, haben sie im Ernstfall kaum noch Möglichkeiten, die rechtlichen Folgen zu mindern.

security_2016

Quelle & Copyright: http://www.techconsult.de/

Kurzfristige Sichtweise verhindert nachhaltige IT- und Informationssicherheit

Aber auch im Bereich der strategischen Ausrichtung der Informationssicherheit klafft laut Security Bilanz Deutschland 2015 bei der Mehrheit der Unternehmen eine Umsetzungslücke. So haben zum Beispiel nur weniger als ein Drittel der Unternehmen Prozesse festgelegt, die der regelmäßigen Überprüfung der eingesetzten technischen, organisatorischen und rechtlichen Maßnahmen dienen. Fazit von techconsult: „Für strategische Maßnahmen besteht angesichts der hohen Defizite dringender Handlungsbedarf, will man den langfristigen Erfolg der IT- und Informationssicherheit im Unternehmen nicht gefährden, denn sie sind der Ausgangspunkt einer systematischen Planung, Umsetzung und Überprüfung aller mit IT- und Informationssicherheit zusammenhängenden Maßnahmen.“

Managed Services als Ausweg aus dem IT-Security Dilemma?

Wie die Security Bilanz Deutschland 2015 zeigt, schienen viele Unternehmen bereits damit Probleme zu haben, sich intern ausreichend mit dem Thema IT- Sicherheit auseinander setzen zu können und die entsprechenden Maßnahmen zu ergreifen, um diesen Bereich optimal abzudecken. Berücksichtigt man dann noch die Zunahme von externen Bedrohungen, durch Hacker, Viren oder Malware, dann stellt sich generell die Frage, ob und wie ein Unternehmen heute alle Anforderungen  der Informationssicherheit überhaupt noch erfüllen kann. Eine Möglichkeit kann der Einsatz von Managed Services sein, bei denen das Unternehmen die professionelle Unterstützung durch einen externen Dienstleister in Anspruch nimmt. Dieser übernimmt dann auch bei der IT-Sicherheit wichtige Aufgaben und hilft dabei, dass sowohl die externen als auch die internen Bedrohungen auf ein Minimum reduziert werden können.

Bildquelle/Copyright: © Tomasz Zajda — fotolia.com

Ihre Meinung zählt

Newsletter abonnieren