So bezeichneten 86% der Befragten menschliches Versagen als häufigste Ursache für Sicherheitslücken in Informationssystemen. Das Ergebnis zeigt, dass die Mitarbeiter zwar auf der einen Seite das wertvollste Gut eines Unternehmens sind, gleichzeitig aber auch ihr schwächstes Glied. Dies ist besonders im heutigen Wirtschaftsklima von Bedeutung, in dem schwindende Arbeitsplatzsicherheit und wachsender Stress bei Mitarbeitern mitunter zu unüblichem Verhalten führt.
Zunehmend als Problem wahrgenommen
Zwar ist die Zahl der internen und externen Sicherheitsverstösse im Finanzsektor in den vergangenen zwölf Monaten weltweit zurückgegangen, dennoch nehmen Unternehmen Fehlleistungen von Angestellten zunehmend als Problem wahr. Mehr als ein Drittel (36%) der Befragten gab an, interne Verfehlungen als das grössere Risiko zu betrachten, für lediglich 13% geben Angriffe von aussen mehr Anlass zur Sorge. Sechs von zehn Umfrageteilnehmer erklärten sich zudem als ?nicht sehr? oder nur ?mässig? zuversichtlich, ihre Organisation gegen interne Cyberattacken schützen zu können.
Zusätzliche Anforderungen durch Social Networks oder USB-Sticks
Die wachsende Beliebtheit von sozialen Netzwerken wie Facebook oder mySpace und die zunehmende Verbreitung von USB-Sticks, MP3-Playern und PDAs stellen zusätzliche Anforderungen an die interne und externe Sicherheit. Interessanterweise schränkt inzwischen mehr als die Hälfte der befragten Finanzunternehmen den Zugang zu sozialen Netzwerken (53%) und zum Instant Messaging (58%) ein, doch 90% erlauben ihren Angestellten den Gebrauch von mobilen Geräten, die es Ha-ckern potenziell ermöglichen, auf Identitäten zuzugreifen und an vertrauliche Informationen heranzukommen.
Phishing und Pharming als grösste Gefahrenquellen
Die Befragten nennen dabei am häufigsten Phishing und Pharming als grösste Gefahrenquellen, 22% der Befragten geben an, schon davon betroffen gewesen zu sein. Damit sind dies die beiden am meisten verbreiteten externen Angriffsmechanismen.
«Die Finanzinstitute kämpfen beim Schutz der Vermögenswerte und Daten ihrer Kunden an zwei Fronten: Zum einen ist die Online-Kriminalität immer besser organisiert und eine wachsende Bedrohung, zum anderen sind viele Mitarbeiter aufgrund der schwierigen Wirtschaftslage und dem drohenden Verlust ihres Arbeitsplatzes verunsichert. Auch die Zahl der entlassenen und entsprechend aufgebrachten früheren Angestellten nimmt zu. Im gegenwärtigen Wirtschaftsklima ist es daher unerlässlich, dass Unternehmen den Schutz ihrer Daten mit höchster Wachsamkeit betreiben und Kontrollen und Massnahmen einführen, um die möglichen Folgen menschlicher Fehlleistungen gering zu halten», erklärt Anthony Walsh, Leiter Security & Privacy Services bei Deloitte Schweiz.
«Die Finanzinstitute müssen zudem die neuen Anforderungen an den Schutz und die Geheimhaltung ihrer Kundendaten meistern. Die Abschirmung und vertrauliche Behandlung von Daten ist längst zu einer der wichtigsten Sicherheitsfragen geworden», so Walsh.
Zunehmender Kostendruck als weiterer Risikofaktor
Ein weiterer Risikofaktor für die Informationssicherheit ist der zunehmende Kostendruck, dem die Finanzinstitute ausgesetzt sind. Zwar geben 60% der Befragten an, sie hätten ihre Ausgaben für die Datensicherheit aufgestockt, doch die Erhöhungen halten nicht Schritt mit den heutigen Anforderungen und Bedürfnissen. Mehr als die Hälfte (56%) nennen Budgetbeschränkungen und Geldmangel als wichtigste Hindernisse für die Gewährleistung der Datensicherheit. Weiter räumt eine wachsende Zahl von Befragten (15% im Vergleich zu 13% im Vorjahr) ein, dass ihre Unternehmen mit den Aufwendungen für die Informationssicherheit in Rückstand geraten.
«Die Folgen der Finanzkrise werden immer einschneidender, und die Unternehmen könnten sich darum veranlasst sehen, ihre IT-Budgets zu kürzen und die Ausgaben für Sicherheitsprojekte herunterzufahren. Dabei ist es heute so schwierig wie nie zuvor, die Sicherheitsrisiken in den Griff zu bekommen, und die Auswirkungen eines Versagens können um ein Vielfaches gravierender ausfallen», meint Anthony Walsh.
Weitere Ergebnisse der Umfrage:
? Die drei Top-Prioritäten der Finanzunternehmen im Bereich der Informationssicherheit lauten: 1. Einhaltung der Sicherheitsvorschriften, 2. Datenschutz und Informationslecks, 3. Zugriffs- und Identitätsmanagement
? Im vergangenen Jahr verzeichneten die Finanzinstitute weniger Verletzungen der Datensicherheit, sowohl von aussen (47% gegenüber 65% im Jahr 2007) als auch in ihren eigenen Reihen (27% gegenüber 30% im Vorjahr)
? Die Hauptbeweggründe für ihren Bemühungen um den Schutz der Kundendaten sind für die Finanzinstitute die gesetzlichen Datenschutzbestimmungen (79%), gefolgt von Reputations- und Markenüberlegungen (70%)
(Deloitte/mc/pg)
Methodik
Die Umfrage wurde durch die Global Financial Services Industry Group (GFSI) von DTT mittels persönlicher Interviews und Online-Fragebögen durchgeführt. Befragt wurden Führungskräfte im Bereich Informationstechnologie (Chief Security Officer, Chief Information Officer, Sicherheitsmanagementteam usw.) bei Banken, Versicherungsgesellschaften, Wertschriften- und Vermögensverwaltungsfirmen. Die Fragen konzentrierten sich auf Gebiete wie Governance, Investitionen in die Sicher-heit, Risiken, Einsatz von Sicherheitstechnologien, Prozessqualität und Datenschutz. Die Befragten repräsentieren öffentliche und private Unternehmen aus 32 Ländern und fünf Grossregionen: Europa, Naher Osten und Afrika (EMEA), Japan, Asien-Pazifik (APAC), Nordamerika (NA) sowie Lateinamerika und Karibik (LACRO). Wegen der unterschiedlichen Ausrichtung der befragten Unternehmen und des qualitativen Formats der Studie sind möglicherweise nicht alle Ergebnisse zu 100% repräsentativ für die jeweilige Region.