IT-Sicherheit: Unbeabsichtigte Security-Verstösse sind grössere Bedrohung als gezielte Insider-Attacken
Im Widerspruch zu dieser Einsicht hat die Abwehr bewusster Insider-Angriffe für die Mehrheit aller Sicherheitsverantwortlichen jedoch zurzeit noch höhere Priorität als systematische Vorkehrungen gegen unbeabsichtigte Security-Vorfälle.
Interne Bedrohungen werden von äusseren überschattet
Das IDC-Whitepaper trägt den Titel «Insider Risk Management: A Framework Approach to Internal Security». Im Mittelpunkt stehen Gefahren, die von internen Anwendern mit Zugang zu kritischen IT-Systemen und vertraulichen Informationen ausgehen. Generell, so die Studie, seien sich viele Unternehmen zwar bewusst, dass durch die internen Nutzer potenzielle Risiken entstünden. Doch stehen Security-Schwachstellen wie sorgloses Zugriffsverhalten oder regelwidriger Umgang mit sensiblen Daten oftmals im Hintergrund, da sie von äusseren Bedrohungen überschattet würden.
Interne Sicherheitsverstösse: Kein klares Bild
Die meisten der von IDC befragten Entscheidungsträger (CXOs) sind sich über tatsächliche interne Gefahrenquellen nicht im Klaren. Sie können Ursachen von Workflow-Beeinträchtigungen deshalb auch nicht eindeutig zuordnen und finanzielle Schäden nicht quantifizieren. 52 Prozent der Befragten charakterisieren Sicherheitsverstösse, die von eigenen Mitarbeitern verschuldet wurden, als vorwiegend unbeabsichtigt. Nur 19 Prozent vermuten, dass die Mehrzahl der Fälle auf Vorsatz beruht. 26 Prozent meinen, Absicht und Fahrlässigkeit hielten sich die Waage. Die verbleibenden drei Prozent waren sich unsicher und machten keine Angaben. Bei der Frage nach der Einstufung ihrer Sicherheitsrisiken waren sich 82 Prozent der befragten CIOs und CEOs nicht sicher, ob Vorfälle im Zusammenhang mit Partnern, freien oder zeitweiligen Mitarbeitern überwiegend vorsätzlich oder fahrlässig entstehen.
«Arbeitgeber gehen generell von einem Vertrauensverhältnis zu ihren Mitarbeitern aus. Sie halten die Belegschaft für ihre wertvollste Unternehmensressource», sagt Chris Christiansen, Program Vice President, Security Products bei IDC. «Gleichwohl werden Infrastrukturen immer komplexer, das Personal ist meist weiträumig, zunehmend global verteilt. Hinzu kommen immer mehr externe Berater und andere Outsourcing-Partner. Vor diesem Hintergrund wird der Umgang mit internen Risiken zur grössten Security-Herausforderung für Unternehmen, ganz gleich, ob Absicht dahinter steckt oder nicht.»
Ganzheitliches Insider Risk Management schafft Abhilfe
Aufschluss gibt das IDC-Whitepaper auch über Art und Anzahl intern verursachter Sicherheitsverstösse: 400 befragte Unternehmen beklagten im vergangenen Jahr zusammengerechnet 6?244 Fälle von unbeabsichtigtem Datenverlust. Sie verzeichneten 5?830 Malware- und Spyware-Attacken, die aus dem Inneren des eigenen Unternehmens heraus geführt wurden. An 5’794 riskanten Situationen waren zu weit gefasste Zugriffsprivilegien Schuld. Insgesamt belief sich die Zahl intern verursachter Security-Vorkommnisse in den letzten zwölf Monaten auf 57?485. Als Konsequenz planen fast 40 Prozent der Befragten, im Lauf des nächsten Jahres Investitionen, um interne Risiken zu reduzieren. Gerade einmal sechs Prozent glauben, an dieser Stelle sparen zu können. Die Studienergebnisse verdeutlichen zudem: Einzellösungen liefern keine adäquate Antwort auf interne Gefahren. Gefragt ist stattdessen ein durchgängiger Insider-Risk-Management-Ansatz. Nur so können Unternehmen ihr individuelles Risikoprofil besser verstehen und auf dieser Basis wirksame Schutz- und Steuerungsmechanismen implementieren.
«IT-Security darf nicht nur Sache des Sicherheitsteams sein, sondern geht jeden Mitarbeiter an», kommentiert Christopher Young, Senior Vice President Products bei RSA. «Die internen Risiken steigen rasant, ihr Einfluss auf die Wettbewerbsfähigkeit wächst. Die Verantwortlichen auf Geschäftsführungsebene müssen ihre Prioritäten daher neu justieren und Wege finden, ihr Unternehmen zuverlässig zu schützen ? sowohl vor absichtlichen als auch vor fahrlässigen Regelverstössen. Zur Abwehr interner Gefahren kann nur eine ganzheitliche Strategie verhelfen.»
Weitere Resultate der Studie
Falsche Prioritäten: Obwohl die meisten Sicherheitsvorfälle unabsichtlich passierten, halten die meisten Security-Verantwortlichen gezielte Mitarbeiter-Attacken (etwa nichtautorisierter Zugriff auf vertrauliche Daten oder Einschleusen von Schadsoftware) für die vordringlichere Herausforderung.
Woher Gefahren drohen: Die grösste interne Bedrohung ging im letzten Jahr von Vertragspartnern und temporären Mitarbeiten aus.
Finanzieller Verlust: In der Outsourcing-Branche verursachten interne Security-Schwachstellen im letzten Jahr einen Schaden von durchschnittlich 800?000 US-Dollar.
Mangelnde Kenntnis des eigenen Risikoprofils: Obwohl 93 Prozent der Befragten entscheidungsbefugte Verantwortliche waren, hatten fast 82 Prozent weder ein klares Bild von der internen Risikosituation, noch waren sie in der Lage, mögliche finanzielle Folgen zu beziffern. (RSA/mc/pg)
Kurzprofil RSA:
RSA, The Security Division of EMC, ist ein führender Anbieter von Sicherheitslösungen, um Geschäftsprozesse zu beschleunigen und zu optimieren. RSA unterstützt weltweit operierende Unternehmen bei der Bewältigung ihrer anspruchsvollen und sensiblen Sicherheitsanforderungen. Der Sicherheitsansatz von RSA ist hier fokussiert auf die Informationen, um ihren Schutz und die Vertraulichkeit über die gesamte Lebensdauer zu gewährleisten ? unabhängig davon, wohin sie bewegt werden, wem sie zugänglich gemacht werden oder wie sie verwendet werden. RSA bietet führende Lösungen in den Bereichen Identitätssicherung und Zugriffskontrolle, Kryptographie und Schlüssel-Management, Compliance- und Security-Information-Management sowie Fraud Protection. Diese Lösungen schaffen Vertrauen bei Millionen Nutzern von digitalen Identitäten, bei ihren Transaktionen, die sie täglich ausführen, und bei den Daten, die erzeugt werden.