Zu wenig Kontrollen

Woran Endgeräte-Verschlüsselung scheitert

Ohne Training und Kontrollen nützt die beste Technologie nichts. Das gilt für Richtlinien gleichermaßen. So reichen Verschlüsselungstools alleine nicht aus. Eine Aberdeen-Studie zeigt, dass das Vermeiden von Datenverlust vom Management der Lösungen und Kontrollen abhängt.

Mit dem Kauf neuester Lösungen ist es nicht getan beim Verschlüsseln von Daten und Endgeräten. Denn die Technik ist nur ein Faktor im Zusammenspiel von Policies, Verantwortlichkeiten und dem Verhalten der Anwender. Das ist das Thema der Studie "Encryption without tears" des US-Marktforschers Aberdeen.

Für die Studie hat Aberdeen Angaben von Entscheidern aus rund 130 Unternehmen ausgewertet. Sie decken verschiedene Branchen ab.

Erfolgreiche Unternehmen erleiden fast keine Datenverluste

Die Analysten folgen bei ihren Studien stets demselben Schema: Sie teilen die Unternehmen in drei verschiedene Kategorien ein. Die besonders Erfolgreichen dürfen sich "Best in Class" (Bic) nennen. Sie stellen 20 Prozent des Feldes. Die mit den schlechtesten Ergebnissen gelten als "Laggard" (deutsch: Trödler). Sie machen 30 Prozent aus. Der Rest bildet das Mittelfeld ("Average").

In diesem Report heißt das: Unter den Bics erklären 94 Prozent, innerhalb der vergangenen zwölf Monate keinen Fall von Datenverlust erlitten zu haben. Von den Mittelfeld-Firmen sagen das nur 50 Prozent und von den Trödlern lediglich zehn Prozent.

Wie unterschiedlich Datenschutz auf Endgeräten umgesetzt wird, zeigt die Aberdeen-Umfrage.
Wie unterschiedlich Datenschutz auf Endgeräten umgesetzt wird, zeigt die Aberdeen-Umfrage.
Foto: Aberdeen

Außerdem geben 89 Prozent der Bics an, keinen einzigen unerlaubten Zugriff auf Firmendaten erlebt zu haben (Mittelfeld: 42 Prozent, Trödler: 15 Prozent). 83 Prozent der besonders erfolgreichen Firmen nehmen für sich in Anspruch, bei Audits keine Beanstandungen in Sachen Datenschutz verzeichnet zu haben (Average: 36 Prozent, Nachzügler: zwei Prozent).

Die Antwort auf das "Warum" scheint in erster Linie im Management von Verschlüsselungslösungen zu liegen. So führen nach eigenen Angaben 83 Prozent der mustergültigen Firmen regelmäßig Risk Assessments durch. Unter den Befragten im Mittelfeld sind es mit 68 Prozent deutlich weniger. Bei den Trödlern sind es 64 Prozent.

Mangel an Kontrollen

Darüber hinaus genießen Kontrollen rund um das Thema Risk und Compliance in 57 Prozent der Vorzeige-Firmen Priorität. Das gilt jedoch nur für 50 Prozent der Mittelfeld-Befragten und 43 Prozent der Nachzügler.

Ein weiterer Punkt sind durchgängige Policies. Diese existieren in den Bic-Firmen wie folgt: 56 Prozent haben Policies für das Netzwerk aufgestellt, 53 Prozent für die Back-end-Systeme und 49 Prozent für die Endgeräte. Die anderen Befragten liegen - teilweise deutlich - darunter.

Was die menschliche Seite betrifft, so zeigen sich auch hier Unterschiede. In 67 Prozent der "Best in Class"-Unternehmen gibt es einen Einzelnen oder ein Team mit dezidierter Verantwortung für Datenschutz (Mittelfeld: 58 Prozent, Laggards: 45 Prozent). Außerdem legen die Bics mit 56 Prozent überdurchschnittlich viel Wert auf das Endanwender-Training in Sicherheits-/Datenschutzfragen und dokumentieren ihre Initiativen auch.

Aberdeen wollte außerdem wissen, warum sich Unternehmen für Verschlüsselung entscheiden. Als wichtigster Treiber - unabhängig von Bic- oder anderen Kategorien - gilt der Schutz der eigenen Marke. Die Firma soll zum Beispiel vor negativen Schlagzeilen bewahrt werden. 56 Prozent der Befragten nennen diesen Punkt.

Compliance und Sorgen wegen Mobile IT

Es folgen gesetzliche Vorgaben (52 Prozent) sowie Branchen-Standards und Best Practices (51 Prozent) und interne Policies (49 Prozent). Für 39 Prozent spielt der Wunsch eine Rolle, Kundenzufriedenheit und -vertrauen zu steigern. 35 Prozent wollen mit Verschlüsselungs-Technologien die Risiken von mobiler IT eindämmen.

Auf die Frage, woran Investitionen in Verschlüsselung scheitern, erklären 38 Prozent der Studienteilnehmer schlicht, das Business habe andere Prioritäten. 35 Prozent befürchten Schwierigkeiten bei der Integration der Technologien in bestehende Systeme und Prozesse. (mje)

Dieser Artikel basiert auf einem Beitrag unserer Schwesterpublikation CIO.de.