Konzentration auf Bedrohungen von außen
Informationsrisiko: Es muss nicht immer nur "Heartbleed" sein
Es reicht bereits, wenn ein Mitarbeiter einen USB-Stick mit wertvollen Kundendaten verliert und diese in die falschen Hände geraten
(30.06.14) - In der vernetzten Welt sind Informationen oftmals das einzige, was einem Unternehmen einen Wettbewerbsvorteil gegenüber der Konkurrenz garantiert. Dennoch konzentrieren sich viele mittelständische Unternehmen bei der Bewertung der größten Informationsrisiken zu sehr auf Bedrohungen von außen, wie zum Beispiel Angriffe durch Cyberkriminelle. Und seit Bekanntwerden der NSA-Spionageaktivitäten wächst die Angst vor staatlich gestützter Cyberspionage. Technische Maßnahmen wie IT-Sicherheitssoftware, Firewalls und Verschlüsselungstechniken sind angesichts des weltweiten Anstiegs von Cyberkriminalität ein logischer Schritt. Mit einer umfassenden IT-Sicherheitsstrategie ist es aber nicht getan. Es reicht bereits, wenn ein Mitarbeiter einen USB-Stick mit wertvollen Kundendaten verliert und diese in die falschen Hände geraten.
Europa: IT zuerst - USA: Mitarbeiter zuerst
Anstatt mit einer Informationsrisiko-Strategie einem derartigen internen Anwendungsfehler oder groben Fahrlässigkeit entgegenzuwirken, reagieren laut einer jährlich durchgeführten Studie von Iron Mountain und PwC zum Informationsrisiko-Index mehr als die Hälfte (59 Prozent) der europäischen Unternehmen mit der Installation zusätzlicher IT-Lösungen. Schulungsmaßnahmen, um Mitarbeiter zu sensibilisieren, greifen erst an zweiter Stelle. Interessanterweise reagieren US-amerikanische Firmen, die einen Datenverlust erlitten haben, genau umgekehrt: Hier schult man Mitarbeiter zuerst und widmet sich dann einer technischen Lösung. Generell scheint die Herangehensweise an Datenpannen eine Frage der Unternehmenskultur zu sein. Laut der Studie von Iron Mountain und PwC zufolge, teilen nur ein Prozent der europäischen Befragten die Ansicht, dass das Thema Informationssicherheit alle Mitarbeiter etwas angehe. Und nur 13 Prozent meinen, dies sei ein Vorstandsthema.
Kronjuwel Kundendaten
Zu den Informationen mit der höchsten Schutzstufe zählen die Kundeninformationen. Diese müssen bei einer Datenpanne nicht unbedingt digital vorliegen. Wie ein Fall aus dem letzten Jahr zeigt, können Kundendaten als Ausdrucke in einem Papiercontainer landen, womit Bankverbindungen, Adressdaten sowie weitere persönliche Details für jedermann einsehbar sind. In vielen Fällen liegt der wunde Punkt nicht mal zwischen dem betroffenen Unternehmen und dem Endkunden selbst. Häufig werden hochsensible Kundendaten wie Verträge, Ergebnisse von Bonitätsprüfungen, Schufa-Auskünfte, Kostenkalkulationen und Projektpläne an Dritte weitergegeben - etwa Dienstleister, Händler oder Subunternehmer. Dies gestaltet die Haftungsfrage bei einer Datenpanne sehr schwierig. Laut Natalya Kaspersky, CEO von InfoWatch, kommt noch hinzu, dass gerade jene Unternehmen, die nicht aus dem IT-Umfeld kommen, ihre Daten oft blind externen IT-Firmen anvertrauen, ohne nachzuvollziehen, wo und wie diese Daten gespeichert werden. (Iron Mountain: ra)
Iron Mountain: Kontakt und Steckbrief
Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.