Rubrik: Markt/Studien

Der Mitarbeiter im Unternehmen: Das größte Sicherheitsrisiko

Mangelndes Risikobewusstsein in der Chefetage eine der größten Hürden

(17.11.08) - Die eigenen Mitarbeiter werden ein immer größeres Sicherheitsrisiko für die IT in deutschen Unternehmen. 45 Prozent der Sicherheitsverstöße 2008 sind auf menschliches Versehen zurückzuführen. Damit hat sich die Zahl unbeabsichtigter Störungen durch eigenes Personal gegenüber dem Vorjahr mehr als verdoppelt (21 Prozent). Kurzfristige Besserung ist nicht in Sicht. Denn gleichzeitig scheitern neue IT-Sicherheitsmaßnahmen immer häufiger am fehlenden Risikobewusstsein der Mitarbeiter. Jedes dritte Projekt zur Verbesserung der IT-Sicherheit wird wegen mangelnden Verständnisses der Belegschaft abgesagt.

Zu diesem Ergebnis kommt die Studie "IT-Security 2008" der InformationWeek, die zusammen mit Steria Mummert Consulting ausgewertet wurde. Die IT-Sicherheit in Deutschland verschlechterte sich 2008 deutlich gegenüber dem Vorjahr. Während gut 20 Prozent der Unternehmen mehr Verstöße verzeichneten, lag der Anteil der Rückgänge nur bei zehn Prozent. Dabei nahmen die Vorfälle in allen drei Top-Risikobereichen des vergangenen Jahres bedeutend zu. Angriffe durch Viren, Würmer und Spam stiegen um knapp fünf Prozentpunkte, der Missbrauch von E-Mail-Adressen um elf Prozentpunkte und unbeabsichtigte Fehlkonfigurationen um 24 Prozentpunkte.

Sorge bereitet ein Blick auf die wichtigsten Gründe, die einer Verbesserung der IT-Sicherheit im Wege stehen. Wie bereits im Vorjahr ist mangelndes Risikobewusstsein in der Chefetage eine der größten Hürden auf dem Weg zu Sicherheitsinvestitionen. Knapp 30 Prozent der geplanten Projekte blieben dadurch auf der Strecke. Gleichzeitig vergrößerte sich der negative Einfluss, den fehlendes Verständnis der Mitarbeiter auf IT-Sicherheitsvorhaben hat. Jedes dritte Projekt scheiterte 2008 am mangelnden Risikoverständnis der Mitarbeiter. Das bedeutet ein Anstieg um knapp sechs Prozentpunkte im Vergleich zum Vorjahr.

Die Sorglosigkeit der Belegschaft setzt die IT-Sicherheit damit von zwei Seiten unter Druck. Einerseits steigt die Zahl der Sicherheitsverstöße in der praktischen Arbeit durch fehlendes Risikobewusstsein stetig an und andererseits bildet dieselbe Haltung inzwischen den Haupt-hinderungsgrund für Maßnahmen zur Verbesserung des Sicherheitsniveaus.

Art der Sicherheitsverstöße/Angriffsmethoden, von denen deutsche Unternehmen betroffen sind

Computerviren/Würmer/Trojanische Pferde/Spam                        63,4 Prozent

Unbeabsichtigte Fehlkonfiguration/menschliches Versehen          44,9 Prozent

Missbrauch von E-Mail-Adressen                                               35,9 Prozent

Phishing                                                                                  20,2 Prozent

Externe Denial-of-Service-Attacken                                            15,4 Prozent

Versenden/Kopieren vertraulicher Daten                         13,8 Prozent

Missbrauch gültiger Benutzerkonten                                          10,5 Prozent

Webscripting-Sprachen manipuliert                                            6,2 Prozent

Basis: 421 Antworten (Mehrfachantworten möglich)

Hintergrundinformationen

An der Studie "IT-Security 2008" nahmen in der Zeit von Mai bis Juli 2008 468 IT-Manager und IT-Sicherheitsverantwortliche aus Deutschland teil. Die Befragung wurde in Form elektronischer Interviews von der Fachzeitschrift InformationWeek durchgeführt und mit Unterstützung von Steria Mummert Consulting ausgewertet. (Steria Mummert: ra)