Schutz von Daten auf mobilen Rechnern:
Studie: Manager torpedieren IT-Sicherheitsmaßnahmen
Von wegen Vorbildfunktion: Laut einer Untersuchung des Ponemon-Instituts und von Absolute Software deaktivieren viele Führungskräfte die Verschlüsselungsfunktion ihrer mobilen Rechner. Damit präsentieren sie Notebook-Dieben Unternehmensdaten auf dem Silbertablett.
Da gibt sich die IT-Abteilung alle erdenklich Mühe, Unternehmensdaten vor Hackern zu schützen. Und dann stellt sich heraus, dass die Gefahr im Inneren lauert, und zwar an zentraler Stelle.
Notebooks gehören zur Standardausrüstung von leitenden Mitarbeitern von Firmen. Doch viele hebeln die integrierte Verschlüsselungslösung aus, etwa weil sie den Rechner zu langsam macht oder aus Bequemlichkeit.
Wie eine Studie des Ponemon-Instituts [1] und von Absolute Software [2] ergab, stellt ausgerechnet das Verhalten von Mitarbeitern in führenden Positionen ein beträchtliches Sicherheitsrisiko für Unternehmensdaten dar. Das gilt speziell für Informationen, die auf Notebooks oder anderen mobilen Geräten lagern.
Laut der Studie legen viele Manager einen erstaunlichen Eifer an den Tag, wenn es um das Deaktivieren der Verschlüsselungssoftware geht, die auf ihren mobilen Rechnern installiert ist. Den Vogel in dieser Hinsicht schießen Führungskräfte in den USA ab: An die 60 Prozent deinstallieren entsprechende Lösungen oder legen sie auf andere Weise lahm.
Ganz anders sieht es in Deutschland und Schweden aus: Nur 15 Prozent der befragten deutschen Manager räumten ein, dass sie vorhandene Verschlüsselungsmechanismen deaktiviert haben. Gar nur 13 Prozent sind es in Schweden.
Jedes verloren gegangene Notebook kostet 49.000 Dollar
Allerdings sind auch Schweden und Deutsche nicht ohne Fehl und Tadel. Denn wie die Untersuchung ergab, führte in 49 der schwedischen und 46 Prozent der deutschen Firmen ein verlorener oder gestohlener Laptop zu einem Datenverlust. Das lässt sich nur damit erklären, dass die User nicht alle Unternehmensinformationen auf den Systemen verschlüsselten.
Zum Vergleich: In den USA wurden 72 Prozent der Unternehmen Opfer von Datenverstößen als Folge des Verlusts mobiler Rechner, in Kanada 50 Prozent.
Deutsche Führungskräfte sind im Vergleich zu ihren Kollegen in den USA wahre Waisenknaben, was das Deaktivieren von Sicherheits-Tools auf Notebooks betrifft.
Laut Ponemon kostet der Verlust eines Notebooks ein Unternehmen in den USA rund 49.230 Dollar. Darin enthalten sind die Kosten für die Wiederbeschaffung des Geräts und der Software, aber auch die Aufwendungen, die durch den Verlust von Daten entstehen.
Hier reicht die Palette vom Neuerfassen oder dem Kauf von Informationen Daten über das Informieren von betroffenen Kunden bis hin zum Verlust von Geschäft, weil Kunden das Vertrauen zu einem Unternehmen verloren haben.
Hälfte der Firmen vermisste bereits einmal Notebooks
Rund 55 Prozent der befragten deutschen IT-Verantwortlichen gaben an, dass in ihrem Unternehmen bereits einmal ein mobiler Rechner verloren oder gestohlen worden sei. Und 46 Prozent berichteten, dass dies zu einem Datenverlust geführt habe.
In nur 75 Prozent der Fälle konnte das Unternehmen belegen, dass die Daten auf dem Gerät verschlüsselt waren. Die wiederum ist aus Compliance-Gründen wichtig.
Geraten durch den Verlust eines Rechners beispielsweise Kundendaten in fremde Hände, ist eine Firma laut Bundesdatenschutzgesetz dazu verpflichtet, dies den Betroffenen mitzuteilen – ein massiver Image-Schaden.
Passwort auf Post-it
Die Studie ergab zudem, dass nicht nur das Aushebeln der Verschlüsselungsfunktion von mobilen Rechnern ein Sicherheitsrisiko darstellt.
So notiert sich ein Drittel der US-Manager das Passwort für ihren Mobilrechner beziehungsweise die Verschlüsselungssoftware auf einem Notizzettel – den sie dann häufig in der Notebook-Tasche deponieren. Von den deutschen User tat dies kein einziger; zumindest gab es keiner zu.
Weitere Tipps für sicheres Mobile Computing
Die Datenverschlüsselung auf einem Notebook ist ein wesentlicher Baustein eines Sicherheitskonzepts. Doch damit lässt nicht alles »erschlagen«. Weitere sinnvolle Maßnahmen sind:
Der Einsatz von komplexen Passwörtern, bestehend aus Buchstaben, Zahlen und Sonderzeichen. Dabei möglichst keine Daten wie den eigenen Namen oder das Geburtsdatum verwenden.
Rechner ausschalten: Wenn ein System nicht benutzt wird, dieses ausschalten.
Ungesicherte Funknetze meiden: Wenn möglich, keine WLANs ohne Verschlüsselung verwenden. Für den Zugang zu Firmennetzen ist der Einsatz von VPNs und entsprechender Client-Software auf Notebooks unerlässlich.
Sicherer Aufbewahrungsort: Den Rechner nicht im Auto, Hotelzimmer oder anderen ungesicherten Orten liegen lassen. Besser ist es, ihn im Hotelsafe zu deponieren, wenn man das Hotel verlässt. Ist man mit dem Auto unterwegs, den Rechner zumindest im Kofferraum deponieren und nicht offen im Fond liegen lassen.
Patches und Software-Updates regelmäßig einspielen: Ein Einfallstor für Malware und Spionage-Software sind Systeme mit veraltetem Betriebssystem und ungepatchten Anwendungen. Daher in regelmäßigen Abständen Updates durchführen, auch der Security-Software.
Verschlüsselung ist kein Allheilmittel
»Wie die Studie zeigt, verlassen sich Geschäftsführer zu stark auf Verschlüsselung, um vertrauliche Informationen zu schützen und zu sichern«, kommentiert Dr. Larry Ponemon, Leiter des Ponemon Instituts. »Während Laptop-Verschlüsselung ein unerlässliches Sicherheitstool darstellt, kann ein allzu nachlässiges Nutzerverhalten wie die Deaktivierung von Sicherheitsmechanismen, die Herausgabe von Passwörtern oder die Nutzung unsicherer mobiler Netzwerkzugänge den Wirkungsgrad dieser Mechanismen stark einschränken.«
Trotz Datenverschlüsselung gehen beim Verlust eines mobilen Rechners auch unternehmenskritische Informationen verloren. Vermutlich deshalb, weil die User nicht alle Daten verschlüsseln.
Und John Livingston, CEO von Absolute Software, ergänzt: »Die Untersuchung verdeutlicht, dass IT- und Compliance-Abteilungen nach wie vor nicht über ausreichende Mittel verfügen, um Sicherheitsrichtlinien durchzusetzen. Dies betrifft speziell solche, die sich mit dem Schutz sensibler Unternehmensdaten befassen.«
Maßnahmen wie der Einsatz von Verschlüsselungstechnologien würden durch unangemessenes Nutzerverhalten ausgebremst. Livingston weiter: »Unternehmen müssen abwägen, in welchem Maße ihre eigenen Mitarbeiter ein Risikopotenzial für geschäftsgefährdende Datenverstöße darstellen. Jede IT-Sicherheitsstrategie sollte diesen menschlichen Risikofaktor berücksichtigen und zum Ziel haben, ihn zu minimieren.«
Die Studie steht auf Deutsch zum Download bereit unter: www.absolute.com/human-factor [3].
[1] http://www.ponemon.org/
[2] http://www.absolute.com/de_DE/
[3] http://www.absolute.com/human-factor
- 1. Seite: Studie: Manager torpedieren IT-Sicherheitsmaßnahmen
- 2. Seite: Weitere Tipps für sicheres Mobile Computing
» Tipp der Redaktion
Das sind die deutschen Top IT-Managerinnen 2010
IT-Riesen wie Microsoft, IBM oder Dell haben längst erkannt, dass Frauen in Führungspositionen gehören. Nachdem wir Ihnen in den vergangenen Woche die weltweit mächstigesten IT-Damen vorgestellt haben, folgen jetzt die deutschen Top IT-Managerinnen 2010 - mit einigen Neuzugängen und Managerinnen die schon seit Jahren ihre »Frau« in der IT stehen.
50 Jahre IFA
2010 feiert Berlin die 50. IFA. Seit dem Startschuss zur ersten IFA sind aber fast doppelt so viele Jahre vergangen. Die ersten »Große Deutsche Funk-Ausstellung« hatte bereits 242 Aussteller und 180.000 Besucher auf einer Fläche von 7.000 Quadratmetern. Seither war die IFA Schauplatz für zahlreiche Premieren und Neuvorstellungen, etwa den Startschuss für das Farbfernsehen 1967.
» Top-Stories der Woche
50 Jahre IFA
2010 feiert Berlin die 50. IFA. Seit dem Startschuss zur ersten IFA sind aber fast doppelt so viele Jahre vergangen. Die ersten »Große Deutsche Funk-Ausstellung« hatte bereits 242 Aussteller und 180.000 Besucher auf einer Fläche von 7.000 Quadratmetern. Seither war die IFA Schauplatz für zahlreiche Premieren und Neuvorstellungen, etwa den Startschuss für das Farbfernsehen 1967.
Was der 1&1-Werbestar wirklich will
Ist er ein Schauspieler, oder ist er »echt«? Seit diesem Frühjahr wirbt Marcell D’Avis als »Leiter Kundenzufriedenheit« in TV-Spots für den Internetprovider 1&1. CRN hat D’Avis getroffen.
Weitere Artikel
» Meistgelesene News
Das sind die deutschen Top IT-Managerinnen 2010
IT-Riesen wie Microsoft, IBM oder Dell haben längst erkannt, dass Frauen in Führungspositionen gehören. Nachdem wir Ihnen in den vergangenen Woche die weltweit mächstigesten IT-Damen vorgestellt haben, folgen jetzt die deutschen Top IT-Managerinnen 2010 - mit einigen Neuzugängen und Managerinnen die schon seit Jahren ihre »Frau« in der IT stehen.
Nokia N8 mit Symbian 3
Mit seinem neuen Touchscreen-Smartphone N8 will Nokia endlich Apples iPhone und der wachsenden Andoid-Konkurrenz wieder ernsthaft Paroli bieten. Eine besonders wichtige Rolle kommt daher dem neuen Symbian 3 zu, das die Bedienung per Touchscreen weit besser unterstützt als die Vorgängerversionen.
» Preisvergleich Top 5
- Hier finden Sie Software zum Thema Software
Melden Sie sich an, um einen Leserkommentar schreiben zu können.