IT-Security & Mitarbeiter

Der Mensch und seine Firma

Nahezu 11% der Anwender sind ungeschützt im Internet unterwegs, so das Ergebnis der internationalen G Data Security-Studie 2011. Zudem sehen vier von zehn Anwendern kostenfreie Virenschutzlösungen und kostenpflichtige Security-Pakete auf dem gleichen Niveau in puncto Leistungsfähigkeit und Umfang an Security-Technologien.

»Cyber-Kriminelle haben so leichtes Spiel, wenn sie Internetnutzer angreifen«, sagt Ralf Benzmüller, Leiter der G Data SecurityLabs: »Wer keine leistungsfähige Sicherheitslösung einsetzt, um sich gegen Schadprogramme und Cyber-Attacken zu schützen, riskiert, ein Opfer von Online-Kriminellen zu werden. Eine umfassende Security-Software sollte über Technologien verfügen, die in Echtzeit unbekannte Schädlinge abwehren. Optimalen Schutz bieten Sicherheitspakete, die eine integrierte Firewall, ein Anti-Spam-Modul und einen Web-Filter beinhalten. Hierdurch sind alle Sicherheitskomponenten aufeinander abgestimmt, eng miteinander verzahnt und bieten so den bestmöglichen Schutz vor jeglichen Angriffsszenarien.«

Nachholbedarf. Kein Wunder also, dass viele IT-Verantwortliche die Risiken der sogenannten »Consumerization« fürchten und private Endgeräte lieber vom Unternehmensnetz fernhalten. Analysten wie IDC beobachten zwar, dass immer häufiger private Geräte im Arbeitsalltag verwendet werden. Gleichzeitig halten Technologien wie Social Media oder Cloud Computing Einzug. Verbunden ist das mit neuen Herausforderungen an das IT-Management, um Gerätewildwuchs und Sicherheitslücken vorzubeugen.

Dass CIOs Ängste bezüglich der Consumerization hegen, hat Vanson Bourne im Auftrag des Software-Anbieters Compuware herausgefunden. 77% der 520 weltweit Befragten erwarten deutlich höhere Geschäftsrisiken durch die Konsumerisierung. Hierzulande sagten das rund 60%.
74% aller Befragten sind überzeugt, dass der Trend unrealistische Erwartungen an die IT erzeugt. Die Anforderungen der Nutzer an die IT, so die Studienautoren, steigen und es bleibe abzuwarten, wie tolerant die Firmen künftig gegenüber dem Trend seien.
Als eine der großen Unsicherheiten erleben die CIOs die Möglichkeit des Supports. 64% der Befragten sagten, dass die Unterstützung für den mobilen Web-Zugriff und die Anwendungs-Performance fast unmöglich seien, weil sie sich auf das Funktionieren externer Mobilfunknetze verlassen müssen. Gleichzeitig werden in 64% der Firmen Mobility-Projekte vorangetrieben, ohne dass die IT-Abteilung vollständig involviert ist. Ebenso Nachholbedarf herrscht beim Support von SaaS-Anwendungen oder der Social-Media-Nutzung. 73% aller Befragten sagten, dass kein Support angeboten werde, weil keine Service Level Agreements dafür existieren.

Auch das eigene Application Performance Management (APM) beurteilte die Mehrheit der CIOs als unzureichend auf die mit der Konsumerisierung verbundenen Trends zugeschnitten. 73% aller CIOs bezeugen ihrem APM einen mangelnden Reifegrad.

Um besser auf die Bedürfnisse der Nutzer eingehen zu können, mehr Überblick über genutzte Geräte zu haben, die Kontrolle über diese zu verbessern oder Hilfestellung geben zu können, sei ein dedizierter Einblick in die Endanwender-Erfahrung nötig. 86% der CIOs weltweit sagen, dass dies hilfreich ist, um den Reifegrad der IT-Landschaft zu verbessern.

Kritisches Personal. Dass selbst das IT-Personal ein Sicherheitsrisiko darstellt, ergab eine vom Ponemon Institute im Auftrag von HP durchgeführte Umfrage unter mehr als 5.500 IT- und Sicherheitsverantwortlichen in 13 Ländern. Demnach ist die Datensicherheit zunehmend durch mangelnde Kontrolle privilegierter Nutzer bedroht – wie etwa Datenbankadministratoren, Netzwerkingenieure und IT-Security-Personal.

52% der Befragten geben an, es sei zumindest wahrscheinlich, dass ihre Zugriffsrechte auf vertrauliche Informationen über die Anforderungen ihrer Position hinausgehen. Mehr als 60% berichten, dass privilegierte Nutzer sensible Daten aus Neugier einsehen und nicht, weil es der Job erfordert. Zu den am meisten gefährdeten Anwendungen zählen mobile und abteilungsspezifische Applikationen sowie Social-Media-Anwendungen.

Viele der Befragten sagen, in ihrer Firma gäbe es Richtlinien für Anwender mit besonderen Zugriffsrechten auf spezielle IT-Systeme. Doch fast 40% sind sich unsicher, ob eine unternehmensweite Übersicht über solche Zugriffsrechte existiert und ob privilegierte Nutzer die vorgegebenen Compliance-Richtlinien auch tatsächlich befolgen.

»Risiken, die viele Unternehmen nicht aufmerksam betrachten«, Tom Reilly, General Manager HP Enterprise Security Products.

Die befragten Organisationen gehen unterschiedlich mit dieser Herausforderung um. 27% verlassen sich auf technische Lösungen für die Identitäts- und Zugriffskontrolle, um Missbrauch von Zugriffsrechten zu erkennen – beispielsweise die Weitergabe der privilegierten Zugriffsrechte von Systemadministratoren oder auf Root-Ebene an Dritte. 24% setzen demgegenüber auf eine Kombination aus Technologie und Prozessen. 15% räumen ein, dass Zugriffsrechte bei ihnen nicht hinreichend kontrolliert würden, während 11% sich dazu sogar gänzlich außerstande sehen.

»Die Studie fasst jene Risiken ins Auge, die viele Unternehmen nicht mit der gleichen Aufmerksamkeit betrachten wie kritische Security Patches, Perimeter-Schutz oder andere klassische Sicherheitsthemen. Gleichwohl handelt es sich hier um empfindliche Angriffspunkte auf sensible Informationen«, resümiert Tom Reilly, General Manager Enterprise Security Products bei HP. Die »Security Intelligence Platform« von HP soll dazu umfassende Analyse- und Kontrollmöglichkeiten für das effektive Management privilegierter Nutzer geben.

Motivation. Eine eigene Therapie für das Dilemma »Mensch & IT-Security« hat die ITSV GmbH gefunden, die IT-Tochter der österreichischen Sozialversicherung. Im Rahmen eines unternehmensinternen Ideenwettbewerbs hat die Geschäftsleitung der ITSV ihre Mitarbeiter motiviert, sich mit dem Thema »Informationssicherheit« einmal auf eine andere Art auseinanderzusetzen.

»Trockene, aber wichtige Themen veranschaulichen und sich kreativ damit befassen«, Erwin Fleischhacker und Hubert Wackerle, Geschäftsführer der ITSV.

Zu einem bestimmten Thema aus der ITSV-Informationssicherheitsrichtlinie sollten die Mitarbeiter einen kurzen Videoclip drehen, der den ausgewählten Bereich visuell darstellt. Der Kreativität waren dabei keine Grenzen gesetzt.
Da sicherheitsrelevante Themen greifbar gemacht werden sollen, wurde der Wettbewerb »ITSV sucht das InformationsSicherheit (ISi) Superteam« ausgeschrieben. Ziel der Initiative war es, das Sicherheitsbewusstsein der Mitarbeiter zu schärfen. Auf der anderen Seite stellt diese Maßnahme eine weitere spezielle Form der internen Unternehmenskommunikation dar.

Über 50 Mitarbeiter aus sämtlichen Bereichen der ITSV schlossen sich in ihrer Freizeit zu acht Teams zusammen, um ein bestimmtes Sicherheitsthema visuell zu gestalten. Sowohl Handy- als auch Videokameras waren zugelassen. Bei der Bewertung war nicht die technische Ausführung, sondern die Originalität, Kreativität und die Nachhaltigkeit ausschlaggebend.

Darüber hinaus gab es Extrapunkte, wenn sich die Teams aus verschiedenen Standorten zusammensetzten und bereichsübergreifend zusammenarbeiteten. Ergebnis: »Für die ITSV ist diese Zugangsweise eine innovative Form der Mitarbeiterkommunikation, um eher trockene, aber wichtige Themen zu veranschaulichen und sich kreativ mit ihnen zu befassen«, freuten sich Hubert Wackerle und Erwin Fleischhacker, Geschäftsführer der ITSV, über die Ergebnisse.

No Comments Yet.

Leave a Comment

You must be logged in to post a comment.