Datenverlust: Unabhängige Studie beleuchtet den weltweiten Umgang mit sensitiven Daten

Zehn zentrale Datenverlust-Risiken ausgemacht - Datenschutz erfordert Teamwork in Unternehmen

(06.10.08) - Cisco veröffentlicht erste Ergebnisse einer globalen Sicherheits-Studie, die eines der größten Risiken für Unternehmen beleuchtet - den Verlust sensibler Daten. Die vom unabhängigen amerikanischen Marktforschungsinstitut InsightExpress durchgeführte Studie basiert auf der Befragung von mehr als 2.000 Angestellten und IT-Experten in zehn Ländern, darunter auch Deutschland. Die Ergebnisse zeigen, wie das Verhalten der Mitarbeiter und die damit verbundenen Risiken zwischen den einzelnen Ländern und Kulturen weltweit variieren. Mit diesen Erkenntnissen können Unternehmen ihr Risikomanagement speziell darauf ausrichten, Datenverluste lokal zu verhindern ohne dabei den Blick für globale Risken zu verlieren.

Cisco hat die Studie in Auftrag gegeben, um die Bedeutung von Datenverlust durch Sicherheits-lecks zu untersuchen, die sich für Unternehmen durch den raschen Wandel in Lebensstil und Arbeitsumgebungen von Mitarbeitern ergeben. Die Entwicklung geht weg von zentralen Büroräumen hin zu verteilten Geschäftsmodellen wie Home Offices und mobilen Mitarbeitern. Die Grenzen zwischen Arbeits- und Privatleben verwischen dabei zusehends. Beschleunigt wird dieser Trend großteils durch die Verbreitung von multifunktionellen Geräten und Applikationen wie Handys, Laptops, Web 2.0, Video und andere Social Media-Anwendungen, die sowohl privat als auch geschäftlich genutzt werden.

Diese veränderten Arbeitsumgebungen bilden den Hintergrund der Studie, die 1.000 Mitarbeiter sowie 1.000 IT-Experten aus unterschiedlichen Branchen und Unternehmensgrößen in zehn Ländern - Deutschland, USA, Großbritannien, Frankreich, Italien, Japan, China, Indien, Australien und Brasilien - befragt. Ausgewählt wurden speziell diese Länder, weil sie ein breites Spektrum an gesellschaftlichen und geschäftlichen Kulturen, etablierten und entstehenden netzabhängigen Wirtschaften sowie unterschiedliche Grade der Internetnutzung repräsentieren.

Zu den wichtigsten zehn Datenverlust-Risiken zählen:

1. Geänderte Sicherheitseinstellungen auf Computern: Einer von fünf Mitarbeitern ändert Sicherheitseinstellungen an seinen Arbeitsgeräten, um die IT-Policy zu umgehen und auf unerlaubte Webseiten zuzugreifen. Am häufigsten war dies in Schwellenländern wie China und Indien zu beobachten. Als Gründe dafür gaben mehr als die Hälfte der Befragten an, dass sie einfach die Seite öffnen wollten, ein Drittel meinte, dass es niemanden etwas anginge, welche Seiten sie besuchten.

2. Benutzung von unerlaubten Anwendungen: Sieben von zehn IT-Experten gaben an, dass die Hälfte aller Datenverluste ihres Unternehmens letztlich auf den Zugriff von Mitarbeitern auf unerlaubte Applikationen und Webseiten (z.B. unerlaubte Social Media, Musik-Downloadsoftware, Online Shopping) zurückzuführen ist. Diese Meinung war vor allem in den USA (74 Prozent) und Indien (79 Prozent) verbreitet.

3. Unerlaubter Zugriff auf Netzwerke und Einrichtungen: In den letzten Jahren hatten zwei von fünf IT-Administratoren mit Mitarbeitern zu tun, die unerlaubt auf Teile des Netzwerks oder Einrichtungen zugriffen. Vor allem in China war dies weit verbreitet, dort gaben zwei von drei Verantwortlichen dieses Problem an. Von den Experten, die diese unberechtigten Zugriffe global meldeten, berichteten zwei Drittel von Zwischenfällen im letzten Jahr. 14 Prozent stoßen monatlich auf solche Schwierigkeiten.

4. Weitergeben von vertraulichen Unternehmensinformationen: Dass Geschäftsgeheimnisse nicht immer geheim sind, bestätigt einer von vier befragten Mitarbeitern (24 Prozent), der sensible Informationen mündlich an Freunde, Familie oder andere Außenstehende weitergibt. Als häufigste Gründe wurden angegeben: «Ich brauchte eine Meinung von jemand anderem», «ich musste mal Dampf ablassen» und «ich habe daran nichts Falsches gesehen.»

5. Weitergabe unternehmenseigener IT: Vertrauliche Daten sind nicht immer in den Händen der richtigen Leute. Das bestätigt fast die Hälfte (44 Prozent) der Befragten, die Arbeitsgeräte wie PCs oder USB-Sticks ohne Aufsicht mit Außenstehenden teilen oder sie weitergeben.

6. Verschmelzen von geschäftlichem und privatem Gebrauch von Kommunikationsmitteln: Etwa zwei von drei Mitarbeitern geben zu, ihre Arbeitscomputer auch privat zu nutzen. Die persönlichen Aktivitäten reichen von Musik-Downloads, Shopping, Onlinebanking bis hin zum Bloggen und Chatten. Die Hälfte aller Angestellten nutzen private E-Mail-Accounts, doch nur 40 Prozent gaben an, dass dies von der IT-Abteilung genehmigt ist.

7. Ungeschützte Arbeitsgeräte: Einer von drei Mitarbeitern sperrt seinen Computer nicht oder loggt sich nicht aus, wenn er seinen Arbeitsplatz verlässt. Diese Personen lassen auch Laptops mitunter über Nacht auf Ihrem Schreibtisch - teilweise ohne sich auszuloggen - und erhöhen somit das Risiko, dass Diebe an geschäftliche und private Daten kommen.

8. Aufheben von Logins und Passwörtern: Einer von fünf Befragten speichert Logins und Passwörter auf seinem Computer oder schreibt sie auf und lässt sie am Schreibtisch oder am PC kleben. In einigen Ländern wie China gaben 28 Prozent der Mitarbeiter an, Passwörter zu ihren Bank-Accounts auf Ihren Arbeits-PCs zu speichern. Zusammen mit der Tatsache, dass einige Angestellte ihre Computer unbeaufsichtigt lassen, erhöht das Risiko, dass Identitäten und Passwörter ausspioniert werden.

9. Verlust von tragbaren Speichermedien: 22 Prozent des befragten Personals nehmen Unternehmensdaten auf tragbaren Speichergeräten aus dem Büro mit. Vor allem in China ist dies gang und gebe (41 Prozent). Dieses Vorgehen erhöht das Risiko, dass die Geräte verloren oder gestohlen werden.

10. Zulassen von unberechtigtem Betreten: Etwa einer von fünf deutschen Mitarbeitern erlaubt es Firmenfremden, sich unbeaufsichtigt in Büroräumen aufzuhalten - der Durchschnitt der gesamten Studie lag bei 13 Prozent. Und 18 Prozent haben es zugelassen, dass unbekannte Personen von anderen Mitarbeitern die Unternehmensräume betreten.

Reiner Baumann, Regionaldirektor Zentral- und Osteuropa der Cisco-Geschäftseinheit IronPort und Experte für Data Loss Prevention (DLP), sagte: "Die Ergebnisse der Studie helfen den Verantwortlichen in Unternehmen, regional die richtigen DLP-Maßnahmen zu treffen und Pläne für ein globales Risikomanagement aufzusetzen."

Er empfiehlt folgende Punkte, um Datenverluste zu vermeiden:

· Daten kennen und gut verwalten: Wissen Sie wie und wo Informationen gespeichert sind, für wen sie zugänglich sind und wer sie wie nutzt?

· Unternehmensdaten wie die eigenen behandeln und schützen: Machen Sie Ihren Mitarbeitern klar, dass Datenschutz mit dem Gewinn oder Verlust von Geld zu vergleichen ist.

· Standards für sicheres Vorgehen setzen: Bestimmen Sie globale Policy-Themen und führen Sie lokale, auf die jeweiligen kulturellen Gegebenheiten und Bedrohungslagen zugeschnittene Schulungen durch.

· Eine Kultur des Vertrauens fördern: Mitarbeiter müssen ermutigt werden, Sicherheitsverstöße zu melden, damit die IT-Verantwortlichen schneller reagieren können.

· Aufmerksamkeit, Aufklärung und Trainings für Sicherheitsbelange schaffen: Denken Sie global, aber setzen Sie auf lokale, den jeweiligen landestypischen Anforderungen angepasste Maßnahmen.

(Cisco: IronPort: ra)