IT-Sicherheit: Die Chefs sind ein Sicherheitsrisiko


    Tags: , ,

    Oft genug werden Administratoren dafür verantwortlich gemacht, wenn IT-Sicherheitslücken auftreten oder gar Unternehmens­daten durch Cyber-Attacken oder die Fahrlässigkeit von Mitarbeitern verlorengehen. Doch ausgerechnet Führungskräfte und Vorstandsmitglieder sind es, die ihr Unternehmen bewusst Cyber-Bedrohungen aussetzen. Das ergab eine Studie von Palo Alto Networks.

    Studie von Palo Alto Networks: Führungskräfte gehen fahrlässig mit IT-Sicherheitsvorgaben um.Befragt wurden Führungskräfte in Europa. Von diesen räumten 27 Prozent ein, dass sie potenzielle Risiken für ihr Unternehmen in Bezug auf die IT-Sicherheit in Kauf nehmen. Rund 14 Prozent der Manager europäischer Firmen tun dies, obwohl ihnen klar ist, dass ein solches Vorgehen höchst problematisch ist.

    Besonders peinlich: An die 21 Prozent der Mitarbeiter von Unternehmen aus der Finanzbranche nehmen es mit Cyber-Security nicht so genau. Und dies, obwohl speziell in diesem Bereich eigentlich besonders hohe Compliance-Anforderungen bestehen. Man denke beispielsweise an den Payment Card Industry Data Security Standard (PCI DSS).

    Deutsche Führungskräfte besonders fahrlässig

    Im Vergleich zu ihren europäischen Kollegen legen deutsche Führungskräfte eine noch geringere Einsicht an den Tag. Laut Palo Alto Networks umgehen 38 Prozent von ihnen bewusst IT-Sicherheitsrichtlinien. Das bedeutet in der Praxis, dass die IT-Abteilung noch so effiziente Security-Maßnahmen implementieren kann, ohne den gewünschten positiven Effekt zu erzielen. Denn wenn Anwender nicht mitspielen, vor allem Führungskräfte mit einer gewissen Vorbildfunktion, laufen Sicherungsmaßnahmen ins Leere.

    Als Grund für den laxen Umgang mit Sicherheitsrichtlinien wird indirekt der Arbeitsdruck angeführt: Mithilfe "illegaler" Tools und IT-Dienste ließen sich Aufgaben schneller und besser erfüllen als mit deren Pendants, die das Unternehmen bereitstellt.

    Lästige Sicherheitsvorgaben

    Auch wenn das in der Mitteilung von Palo Alto nicht explizit erwähnt wird, dürften damit beispielsweise Cloud-Services gemeint sein. Dazu zählen Online-Storage-Dienste wie Dropbox sowie CRM-Lösungen wie Salesforce.com. Sie lassen sich auch ohne explizite Hilfe der IT-Abteilung buchen und nutzen. Hinzu kommen private Endgeräte wie Smartphones, über die Mitarbeiter einen Teil der geschäftlichen Kommunikation abwickeln.

    Zudem beklagten sich 17 Prozent der Befragten über zu restriktive IT-Sicherheitsvorgaben. Das kann beispielsweise der Zwang zum regelmäßigen Wechsel von Passwörtern sein, aber auch die Vorgabe, dass Verbindungen zum Firmennetzwerk nur über gesicherte Virtual-Private-Network-Verbindungen (VPN) möglich sind. Je nach Endgerät und VPN-Client-Software kann dies zusätzliche Arbeitsschritte erfordern, die von den Usern als hinderlich eingestuft werden.

    Abhilfe durch Aufklärung

    Damit IT-Security-Vorgaben nicht unterlaufen werden, sind laut Palo Alto zum einen technische Hilfsmittel hilfreich, etwa der Einsatz von Next-Generation-Firewalls und Management-Werkzeugen, welche die Einhaltung von IT-Sicherheitsvorgaben überwachen. Zudem sollte eine Cyber-Sicherheitsstrategie implementiert werden, die für jede Stufe eines Angriffszyklus Gegenmaßnahmen vorsieht.

    Letztlich helfen solche Maßnahmen jedoch nur bedingt, wenn sie von den Mitarbeitern "ausgehebelt" werden. Daher spielt die Aufklärung von Usern über die Risiken von Cyber-Angriffen und die Rolle, die IT-Nutzer bei deren Abwehr spielen, eine zentrale Rolle. Denn Strafen wie eine Abmahnung oder gar Entlassung bei Verstößen gegen IT-Sicherheitsrichtlinien greifen offenbar nur bedingt: An die 21 Prozent der Beschäftigten wissen, dass sie mit Sanktionen zu rechnen haben, wenn sie Datenlecks verschulden. Dennoch gehen dieses Risiko ein.

    Keine Kommentare