IT: Eigene Belegschaft ist das größte Sicherheitsrisiko
Die eigenen Mitarbeiter stellen für Unternehmen das größte IT-Sicherheitsrisiko dar. Einer aktuellen Studie zufolge gibt es zwar in den meisten Firmen Regelungen zum Umgang mit E-Mail und Internet am Arbeitsplatz - wegen mangelnder Kontrollen kommt es trotzdem oft zu Datenlecks.
Angestellte können einem Unternehmen ganz schön zu schaffen machen: Sie lassen Laptops und Smartphones im Café liegen, sie adressieren Faxe und SMS falsch, verlieren Briefsendungen und Terminkalender mit sensiblen Firmendaten. Trotzdem ist nicht nur die Unachtsamkeit der Mitarbeiter Ursache für viele Sicherheitslücken - oft ist Vorsatz im Spiel.
„Die größte Gefahr geht für viele Firmen von den eigenen Mitarbeitern aus“, sagt Christian Schaaf, Chef der Münchner Corporate Trust Business Risk & Crisis Management GmbH.
In der Kriminalstatistik von 2009 finden sich nahezu 75.000 Fälle von Industriespionage oder Computerkriminalität. Die schiere Fülle der Fälle zeigt: In den Chefetagen hapert es immer noch am Bewusstsein für die zunehmenden Risiken von Datendiebstahl und Computermissbrauch. Und: Die Gefahr, Opfer zu werden, ist für viele Firmen real.
Studie zeigt: Unternehmen nicht konsequent genug
Einer aktuellen Studie des Datenrettungsspezialisten Kroll Ontrack in Kooperation mit der Anwaltskanzlei CMS Hasche Sigle zufolge, regeln 87 Prozent der Unternehmen den Umgang mit Internet und E-Mail am Arbeitsplatz. Dabei dulden es die meisten Unternehmen, wenn ihre Mitarbeiter das Internet auch zu privaten Zwecken nutzen. Wenn die Angestellten jedoch übermäßig viel privat surfen oder gar Informationen nach außen tragen, reichen Datenschutzbestimmungen allein nicht mehr aus.
Allerdings kontrollieren mehr als 75 Prozent aller von der Studie erfassten Unternehmen nicht ausreichend, ob geltende Sicherheitsbestimmungen auch eingehalten werden. Diese Nachlässigkeit kann die umfangreichsten Datenschutzbemühungen zunichtemachen.
Die für die Studie befragten Unternehmen rechnen offenbar gar nicht mit dem Fehlverhalten ihrer Mitarbeiter. Eine "Whistleblowing-Hotline" etwa, über die Fehlverhalten anonym gemeldet werden kann, gibt es nur in 37 Prozent der Firmen. Einen Notfallplan oder Eskalationsrichtlinien bei Verdacht auf illegale Handlungen haben weniger als die Hälfte der Unternehmen.
Compliance-Programme noch zu selten
"Compliance Programme" können diese Probleme beheben. Compliance beschreibt in der Unternehmensführung die gesetzlichen und vertraglichen Regelungen im Bereich der IT-Landschaft. Mit Compliance Programmen soll die Einhaltung dieser Regeln sichergestellt werden. Die Programme sollten auch Konsequenzen benennen, die sich für die Mitarbeiter aus Verstößen gegen die Regeln ergeben können.
Im Rahmen der Studie zeigte sich bei der Befragung von 118 Personalmanagern aus deutschen Unternehmen jedoch, dass Compliance-Programme nur in rund der Hälfte der Unternehmen existieren. pte/SZ
