Datenverluste verhindern:
Cisco-Studie: Die zehn größten Risiken für Datenbestände im Unternehmen

von Bernd Reder (bernd.reder@networkcomputing.de)

Share
01.10.2008

Der Netzwerkhersteller Cisco Systems hat mehr als 2000 IT-Anwender und -Verantwortliche in Unternehmen dazu befragt, wie sie es mit dem Schutz firmeninterner Daten halten. Das wenig erfreuliche Resultat: Viele User pflegen einen eher lockeren Umgang mit sensiblen Informationen.

(Fortsetzung des Artikels von Seite 1)

Mittlerweile vergeht kaum ein Tag, an dem nicht ein massiver Verstoß gegen Datenschutzregeln publik wird. Der jüngste Fall: In Großbritannien wurden Ende September USB-Sticks mit persönlichen Informationen über 50.000 ehemalige und noch aktive Soldaten aus einem Luftwaffenstützpunkt gestohlen.

Ein Sicherheitsrisiko: Viele Nutzer loggen sich nicht aus, wenn sienach Arbeitsende ihren Arbeitsplatz(rechner) verlassen.

Ein weiteres Beispiel aus Norwegen: Dort verschickte die Steuerbehörde Mitte September an Zeitungen und Rundfunksender CDs, auf der die geheimen Personennummern von vier Millionen Bürgern enthalten waren. Mithilfe dieser Nummer können Cyber-Kriminelle an persönliche Informationen der Betroffenen herankommen.

Cisco Systems [1] hat eine Studie zum Thema Umgang mit sensiblen Daten in Unternehmen durchführen lassen. Befragt wurden jeweils 1000 IT-Verantwortliche und Anwender in zehn Ländern, darunter Australien, den USA, China, Deutschland, Frankreich, Großbritannien und Indien. Dabei kristallisierten sich zehn Punkte heraus, die zu Datenlecks führen können:

1. Sicherheitseinstellungen von Rechnern ändern: An die 20 Prozent der befragten Anwender änderten sicherheitsrelevante Konfigurationseinstellungen auf ihren Systemen. Der Grund: Sie wollten auf Web-Seiten zugreifen, die der IT-Verwalter aus Sicherheitsgründen gesperrt hatte. Dieses Verhalten legten vor allem Nutzer aus Indien und China an den Tag.

2. Nicht frei gegebene Anwendungen einsetzen: An die 70 Prozent der IT-Profis und User verwenden Software oder Web-Anwendungen, die nicht freigegeben wurden. Dazu gehören File-Sharing-Programme, Software für das Herunterladen von Musik oder Videos, Instant-Messaging-Anwendungen oder Social-Networking-Sites.

Die Hälfte der Datenverluste in Unternehmen sind auf den Einsatz solcher Anwendungen zurückzuführen, etwa weil sich der Nutzer mit Malware infizierte Daten »einfängt«.

3. Nicht autorisierter Zugang zu Netzen oder Systemen: Laut der Studie registrierten 20 Prozent der IT-Verwalter Versuche von Anwendern, auf Netzwerksegmente oder Rechner zuzugreifen, ohne dazu berechtigt zu sein. Dieses »Inhouse-Hacking« ist eine der größten Gefahrenquellen für Unternehmen.

4. Austausch von Informationen mit Externen: Ein weiteres Informationsloch ist der nicht autorisierte Austausch von firmeninternen Daten mit Freunden, Verwandten oder sogar Fremden. Immerhin 24 Prozent der Befragten tun das, und so gut wie alle halten das Weitergeben solcher Informationen für legitim.

5. IT-Systeme gemeinsam nutzen: An die 44 Prozent der Befragten geben Rechner, etwa Firmen-Notebooks, an Kollegen oder Firmenangehörige weiter. Die Daten auf den Systemen können so leicht in falsche Hände geraten oder kompromittiert werden.

6. IT-Systeme für private Zwecke nutzen: Zwei Drittel der IT-User setzen ihre Arbeitsplatzrechner auch dazu ein, um private E-Mails senden und zu empfangen, online einzukaufen oder an Chats teilzunehmen. Aber nur 40 Prozent der befragten Firmen gestatten dies.

Ein mögliches Sicherheitsrisiko ist der Besuch von Web-Seiten mit zweifelhaften Inhalten. Teilweise hinterlegen Hacker solches Sites mit Malware.

Ein Hinweis: Wann privates Surfen und E-Mailen auf Arbeitsplatz in Deutschland zulässig ist, beschreibt dieser Beitrag [2] auf Network Computing Online.

7. Systeme nicht richtig schützen: Geradezu ein Klassiker sind Rechner, die für jedermann zugänglich sind. Sei es, dass überhaupt kein Passwort-Schutz installiert ist, sei es, dass die Systeme und die Daten darauf nicht geschützt sind, wenn der Nutzer in der Mittagspause oder einem Meeting ist.

Immerhin ein Drittel der Befragten lässt Notebooks ungesichert auf dem Schreibtisch stehen oder verzichtet darauf, sich nach Arbeitsende auszuloggen.

8. Nachlässiger Umgang mit Passwörter und Log-in-Daten: Wer kennt sie nicht, die Klebezettel mit Log-in-Informationen, die am Bildschirm oder unter der Tastatur angebracht sind? Immerhin 20 Prozent der IT-Nutzer »verwalten« ihre Account-Daten auf diese Weise.

In China speichern zudem 28 Prozent der User sensible Informationen wie Bankdaten auf ihren Arbeitsplatzrechner – und das unverschlüsselt.

9. Verlust mobiler Speicher: Weltweit transportieren 22 Prozent der Beschäftigten Firmendaten auf USB-Sticks oder anderen mobilen Speichern nach Hause oder nehmen sie auf eine Dienstreise mit. Geht ein Stick verloren oder wird er gestohlen, können somit diese Daten in falsche Hände geraten, es sei denn, der Anwender schützt sie mithilfe einer starken Verschlüsselung. Aber das tun die wenigsten.

USB-Sticks werden gerne für den Transport von Firmendaten eingesetzt.

10. Fremde Personen im Firmengebäude: Unzureichende Sicherheitskontrollen am Eingang zu Firmengebäuden oder Abteilungen sind ein weiteres Risiko.

Besonders vertrauensselig sind offenkundig Mitarbeiter deutscher Firmen: 22 Prozent von ihnen sehen kein Problem darin, wenn Besucher oder gar Fremde ohne Aufsicht in einem Gebäude herummarschieren.

Fazit: Technik alleine reicht nicht aus

Das Fazit von Cisco: IT-Sicherheit lässt sich nicht alleine mithilfe von Technologie verbessern. Mindestens ebenso wichtig ist es, Mitarbeiter auf die Risiken hinzuweisen und entsprechend zu schulen.

Sie müssten vor allem mit den möglichen Folgen ihres Verhaltens vertraut gemacht werden – für das Unternehmen und für sie persönlich.

[1] http://www.cisco.de/
[2] ratgeber-wann-privates-surfen-und-e-mailen-am-arbeitsplatz-erlaubt-ist/

Verwandte Artikel