Mitarbeiter, die grenzenlos naiv – oder auch mal verärgert über den Stress mit dem Chef – in sozialen Netzwerken ihren Freunden Firmeninternas erzählen, können zu einem erheblichen Risiko für das betroffene Unternehmen werden. Davor warnt aktuelle Ausgabe der Studie Global Information Security Survey der Prüfungs- und Beratungsgesellschaft Ernst & Young. Dabei sind soziale Netzwerke nicht die einzigen neuen Sicherheitslecks aus dem Internet. Ähnlich große, wenn auch technisch etwas anders gelagerte Risiken stellen Web-2.0-Anwendungen sowie mobile Endgeräte und Cloud-Computing dar.
Aber: Nicht einmal jedes dritte der für die Studie befragten Unternehmen verfügt über Programme, mit denen Risiken aus dem Einsatz solcher neuen Technologien gemanagt werden können. Und trotz der rasanten Entwicklung neuer Technologien erachtet lediglich eines von zehn Unternehmen die ständige Analyse neuer IT-Trends als sehr wichtige Aufgabe der Informationssicherheit.
Der technologische Fortschritt und neue Web-Angebote ermöglichen den Mitarbeitern ein immer mobileres Arbeiten und scheinbar endlose Möglichkeiten der Kontaktaufnahme und Interaktion mit Kollegen, Kunden und Mandanten. „Gerade für junge Mitarbeiter ist der Umgang mit sozialen Netzwerken, Blogs und Wikis eine Selbstverständlichkeit – sie wollen auch im Arbeitsalltag nicht darauf verzichten“, warnt Olaf Riedel, Partner bei Ernst & Young, fest. Aber gerade diese Web-Angebote seien zu Einfallstoren für Schadsoftware geworden. Immer öfter werde auch versucht, auf diesem Weg an sensible Daten aus Unternehmen zu kommen, so der Experte.
Einige Großunternehmen sperren ihren Mitarbeitern den Zugang zu Facebook und anderen populären Online-Diensten wie dem Kurznachrichtendienst Twitter und dem Videoportal YouTube. Aber Riedel warnt: „Eine Sperrung von Webseiten löst das Problem nicht wirklich und birgt zudem die Gefahr, dass die Mitarbeiter sich bevormundet fühlen“. So bestehe die Gefahr eines Missbrauchs auch, wenn Mitarbeiter ihre Dienstlaptops unterwegs oder zu Hause nutzten und von dort aus die entsprechenden Webseiten besuchten.
Auch die weit verbreitete Nutzung mobiler Endgeräte wie Smartphones oder Tablet-PCs, die es dem Einzelnen ermöglichen, jederzeit und von überall auf Geschäftsinformationen zuzugreifen und diese anderen zugänglich zu machen, seien zu einem erheblichen Sicherheitsrisiko geworden, warnt Riedel.
Die Hälfte der befragten Manager gab an, dass die erhöhte Mitarbeitermobilität eine beträchtliche Herausforderung für die Informationssicherheit des eigenen Unternehmens darstelle. Und fast zwei Drittel (64 %) der Befragten betrachten es als große Herausforderung, für ein gutes Sicherheitsbewusstsein der Mitarbeiter zu sorgen.
„Entscheidend ist, dass regelmäßige effektive Schulungen zur Schärfung des Sicherheitsbewusstseins durchgeführt werden“, rät Sicherheitsexperte Riedel, denn der Mensch sei der größte Risikofaktor.
Jedes zweite Unternehmen (51 %) setzt laut Studie bereits heute Content Monitoring und Filtering Tools ein, um Internetzugriffe, Chaträume, Instant Messaging, E-Mails plus deren Anhänge oder Windows-Anwendungen auf ihr Schienenpotenzial hin zu überprüfen und gegebenenfalls Gegenmaßnahmen zu ergreifen. 45 % der Unternehmen haben die Nutzung von Instant Messaging oder eMail von sensiblen Daten stark eingeschränkt oder sogar verboten.
Aber das ist längst nicht alles, womit die Unternehmen auf die neuen IT-Risiken reagieren: Knapp die Hälfte (46 %) der befragten Unternehmen will die jährlichen Investitionen in die Informationssicherheit insgesamt erhöhen. Und ebenfalls jedes zweite Unternehmen – sieben Prozentpunkte mehr als im vergangenen Jahr – will innerhalb des nächsten Jahres verstärkt in die Vorbeugung gegen Datenlecks und Datenverluste investieren. Um sich gegen potenzielle neue Risiken zu wappnen, nehmen 39 % der Unternehmen Änderungen an ihren Richtlinien vor, 29 % führen Verschlüsselungstechniken ein und 28 % setzen auf striktere Identitäts- und Zugriffskontrollen.
Cloud-Computing-Leistungen werden immer häufiger in Anspruch genommen: So greifen derzeit bereits 23 % der Unternehmen auf Cloud-Computing zurück, und weitere 15 % planen dies innerhalb der kommenden 12 Monate. Auf die Frage, ob eine externe Zertifizierung von Cloud-Computing-Providern zu mehr Vertrauen führen würde, antworteten 85 % der Befragten mit „Ja“. Davon gaben 43 % an, dass die Zertifizierung auf der Grundlage eines vereinbarten Standards erfolgen sollte, und 22 % forderten eine Akkreditierung der Zertifizierungsanbieter.
Die (englischsprachige) Studie steht als kostenloser Download im Internet zur Verfügung. (Ernst & Young / ml)