21. Jan. 2019
Das Schwarzer-Peter-Spiel mit Daten
Das Unternehmen Code42 befragte unlängst über 1030 Sicherheits- und IT-Manager sowie 600 weitere CEOs und Geschäftsführer bezüglich ihrer Haltung zu den Themen Datenverlust und -wiederherstellung. Die Ergebnisse dieser Befragung offenbarten einige alarmierende interne Probleme, welche die Fähigkeit von Organisationen, ihre sensiblen Daten wirksam zu schützen, aufs Spiel setzen.
74 Prozent der Geschäftsführer betrachten Daten und Ideen zum Beispiel als ihr wertvollstes Wirtschaftsgut. 93 Prozent der leitenden Angestellten allerdings speichern ihre Arbeit auf einem Laptop oder einem anderen persönlichen Gerät außerhalb der offiziellen firmeneigenen Speichergeräte und sind sich dabei des Risikos, das sie damit eingehen, vollumfänglich bewusst. 59 Prozent der CEOs laden darüber hinaus ungeprüfte Software herunter, einfach weil sie diese auch privat benutzen oder schlicht, weil sie ihnen ihr Arbeitsleben erleichtert.
Eine Reihe von Faktoren befeuert dieses riskante Verhalten noch. Einer davon ist das unangebrachte Gefühl in Bezug auf die Eigentumsverhältnisse. Die Hälfte der CEOs in der Umfrage von Code42 ging davon aus, dass die Arbeit und die Ideen, die sie in ihrem Job erbracht hatten, ihnen gehörten. Diejenigen, die diese Ansicht äußerten, erklärten, dass sie ihren Arbeitsergebnissen gegenüber sehr protektionistisch eingestellt seien, da sie schließlich große Mühen aufgewandt hätten, um sie zu erschaffen. Dieses Gefühl des persönlichen Verfügungsanspruchs über Daten ist so mächtig, dass 72 Prozent der CEOs und 49 Prozent der Geschäftsführer geistiges Eigentum (IP) einfach mit sich nehmen, wenn sie den Arbeitgeber wechseln.
Der Mangel an unmittelbarer Verantwortung für Benutzeraktionen ist ein weiterer Faktor. Auf die Frage nach der zuständigen Gruppe für die Datensicherheit im Unternehmen zeigt die Mehrheit der IT-Verantwortlichen, Führungskräfte und CEOs auf die Abteilungen für Informationstechnologie und Sicherheit. Lediglich acht Prozent der IT- und Security-Verantwortlichen glauben, dass Angestellte – diejenigen also, die tatsächlich den Löwenanteil der schutzwürdigen Daten im Unternehmen erzeugen und darauf zugreifen – auch für die Datensicherheit verantwortlich sind.
Dieser “Disconnect” sei beunruhigend, so Code42 – vor allem im Hinblick auf die hohe Anzahl von Sicherheitsverletzungen in Bezug auf Daten, die durch unbeabsichtigtes und riskantes Verhalten von Mitarbeitern in diesen Tagen immer wieder vorkommen. Schwindelerregende 93 Prozent der Vorfälle, die Verizon im Jahr 2017 aufdeckte, standen in Zusammenhang mit Anwendern, die auf gefährliche Attachments oder Links klickten oder auf Phishing oder andere Maschen in Zusammenhang mit sozialem Engagement herein fielen.
Den Security- und IT-Verantwortlichen sei jedoch sehr wohl bewusst, was vorgeht — 78 Prozent der Chief Information Security Officers betrachten Mitarbeiter, die sich nicht an die Firmen-Policies und Praktiken gebunden fühlen, als ihr größtes Sicherheitsrisiko. Und doch erscheinen die Sicherheitsabteilungen sehr oft unfähig, die Situation zu entschärfen, da sie nur sehr begrenzt Einblick in die jeweiligen Vorgänge haben.
Bei einem hohen Prozentsatz von Unternehmen existieren wertvolle Datenbestände lediglich auf Endpunkten wie Desktop-Rechnern, Laptops und mobilen Geräten, über die die IT-Abteilung nur wenig Kontrolle hat. Ein beunruhigend hoher Anteil von 20 Prozent der Sicherheits- und IT-Verantwortlichen gaben in der Umfrage von Code42 an, dass ihre Organisationen nicht über den vollen Einblick in die Unternehmensdaten bei Bewegungen innerhalb der Firma und außerhalb der traditionellen Sicherheitsparameter verfügten.
Höchste Zeit zum Umdenken
Die Ergebnisse der Umfrage belegen, wie wichtig es für viele Unternehmen sei, für eine bessere Daten-Visibilität und Recovery-Funktionen zu sorgen. 45 Prozent der IT- und Sicherheitsverantwortlichen glauben, dass sie sehr viel schneller in der Lage wären, Datenbedrohungen zu entdecken und zu minimieren, wenn sie nur die Möglichkeit hätten, die Datenbewegungen innerhalb des Unternehmens und auf Endpoint-Geräten zu überwachen. Beinahe die gleiche Anzahl – nämlich 43 Prozent – geht davon aus, dass sie Datenbedrohungen besser identifizieren und priorisieren könnten, wenn sie über die entsprechende Visibilität verfügen würden.
Sicherheitsstrategien, die lediglich auf Prävention beruhen, und da sind ältere Data-Loss-Prevention-(DLP)-Lösungen eingeschlossen, sind also demzufolge längst nicht mehr ausreichend. Sechs von zehn CISOs geben an, dass ihre Organisationen in den letzten 18 Monaten von einer Datenschutzverletzung betroffen waren und 64 Prozent erwarten, dass genau das innerhalb der nächsten zwölf Monate passiert.
Die Sorgen über die Folgen von Datenverstößen sind ebenso groß wie die Erwartungen, dass ein solcher eintritt. 22 Prozent der IT- und Sicherheitsverantwortlichen glauben, dass der Totalverlust der auf Endpunkt-Geräten gespeicherten Unternehmensdaten den Geschäftsbetrieb lahmlegen würde.
Es ist wenig überraschend, dass solche Befürchtungen das Interesse der Unternehmen in beträchtlichem Maße auf die Themen Post-Breach Response (Reaktion nach einem Verstoß) und Wiederherstellungs-Funktionen lenkt. Acht von zehn CEOs glauben, dass ihre Unternehmen ihre Fähigkeiten zur Datenwiederherstellung nach Verstößen in den nächsten zwölf Monaten verbessern müssen; 42 Prozent gehen davon aus, dass die Fähigkeit zur schnellen Wiederherstellung nach Datenverletzungen von geschäftskritischer Bedeutung ist.
Das generelle Fazit der Umfrage von Code42 lautet, dass die Unternehmen damit anfangen müssen, ihre aktuellen Ansätze zur Datensicherheit zu überdenken. Ein erster Schritt bestehe darin, zu untersuchen, wie es um die Effizienz der herkömmlichen Data-Loss-Prevention-(DLP)-Software bestellt ist. Denn die heutigen Unternehmen, die die neuesten Produkte und Dienstleistungen entwickeln, seien auf einen möglichst schnellen, ungehinderten Datenaustausch angewiesen. Hier besteht das Risiko, dass gerade die klassischen DLP-Lösungen den Zugriff auf die Daten und damit wichtige Prozesse oftmals unnötigerweise blockieren. Um dennoch ein hohes Maß an Sicherheit und ebenso an Transparenz gewährleisten zu können, ist es in vielen Fällen sinnvoller, sich auf die Aspekte Visibilität und rasche Wiederherstellung zu konzentrieren und so dafür zu sorgen, dass das leider unvermeidliche, risikobehaftete Verhalten der eigenen Mitarbeiter nicht zu geschäftsschädigenden Datenverletzungen führt.
