So vermeiden Sie Informationsrisiken im Unternehmen

Das allgemeine Bedrohungspotenzial wächst von Jahr zu Jahr. Kommt noch menschliches Versagen hinzu, stellt dies in einer Welt, in der Informationen rasend schnell verbreitet und die zu verarbeitenden Daten immer komplexer werden, eine ernst zu nehmende Gefahr für Firmen dar. Ein Unternehmen, das seine Informationen nicht ausreichend schützt, kann den Ruf seiner Marke dauerhaft aufs Spiel setzen. Auch aus rein rechtlichen Gesichtspunkten besteht hier oft noch Unklarheit.

Darüber hinaus haben Unternehmen immer öfter damit zu kämpfen, ihre Archiv-Altlasten angesichts der rasch anwachsenden Datenmengen in den Griff zu bekommen. Das Informationsrisiko steigt dabei exponentiell. Ein Bericht von PwC und Iron Mountain zeigt erhebliche Unterschiede in der Art, wie jüngere und ältere Unternehmen Informationsrisiken wahrnehmen und damit umgehen. Dabei gewährt jede Seite der anderen jeweils interessante Einblicke.

Notfallpläne und Strategien für den Fall des Falles

Knapp die Hälfte (49 Prozent) der jüngeren Firmen in Europa - also jene, die zwischen zwei und fünf Jahren im Geschäft sind - geben freiwillig zu, dass sie im operativen Geschäft viel besser sind als in der strategischen Planung. Dagegen wissen Firmen, die seit einem Jahrzehnt oder länger bestehen, eher, dass es nicht nur darauf ankommt, wie man etwas tut, sondern auch, warum. Mehr als die Hälfte dieser Unternehmen (56 Prozent) besitzt eine Informationsrisiko-Strategie, die auch regelmäßig kontrolliert wird, verglichen mit nur 14 Prozent der jüngeren Firmen.

Mitarbeiter und sensible Daten

Jüngere Unternehmen vertrauen ihren Mitarbeitern weitaus mehr, wenn es um ihre Daten geht. Nur 18 Prozent der europäischen Unternehmen denken, dass ihre Mitarbeiter eine Gefahr für die Informationssicherheit darstellen, und nur die Hälfte von ihnen besitzt einen Verhaltenskodex für ihre Belegschaft. Im Gegensatz dazu stehen 42 Prozent der älteren Firmen, die Mitarbeiter als eine Gefahr für ihre Informationen betrachten, wobei jedoch zwei Drittel von ihnen einen Verhaltenskodex für ihre Angestellten besitzen. Wenn eine gewisse Vorsicht also zu einem umsichtigeren Verhalten oder zu unternehmensinternen Vorgaben oder Trainingsprogrammen führt, dann sollte man dieses vorsichtige Verhalten auch fördern.

Auf Sicherheitsrisiken vorbereitet sein

In älteren Unternehmen ist die Wahrscheinlichkeit für das Vorhandensein eines unternehmensinternen Wiederherstellungsplans dreimal wahrscheinlicher (66 Prozent) als bei jüngeren Firmen (27 Prozent). Ohne einen solchen Plan könnte ein Unternehmen einer Datenpanne oder anderen Formen von Informationsverlusten ausgesetzt sein, von denen es sich nie wieder erholt.

Monitoring der Sicherheitsmaßnahmen

Die Studie zeigt auf, dass bei älteren Firmen eine rund zweimal höhere Wahrscheinlichkeit für ein Monitoring besteht, das die Effektivität der eingeführten Maßnahmen überprüft. Dies bedeutet im Umkehrschluss, dass jüngere Firmen durch ein fehlendes Monitoring Ressourcen verschwenden oder lediglich Alibimaßnahmen ergreifen, die keine oder nur eine geringe Auswirkung auf die Risikoreduzierung haben.

Informationsrisiken sollten zum Vorstandsthema werden

Die Hälfte der jungen Unternehmen gibt an, dass ihr Vorstand dem Thema Informationssicherheit keine hohe Priorität beimisst, wogegen die Vorstände in erfahreneren Unternehmen dem Thema Informationsrisiken weitaus mehr Beachtung schenken. Damit also das Thema Informationsrisiko ernst genommen wird, muss es Unterstützung durch die Geschäftsführung erhalten.

Alle sollen sich mit Informationsrisiken auseinandersetzen

Obwohl sie ihren Mitarbeitern mehr vertrauen, geben 52 Prozent der jüngeren Unternehmen an, dass die Belegschaft dem Thema Datenschutz keine hohe Beachtung schenkt. Diese Firmen sind, so wie es scheint, eher geneigt, Menschen zu vertrauen, die sich über die Sicherheit der Unternehmensinformationen nicht so große Gedanken machen. Zwei Drittel der befragten reiferen Unternehmen geben an, dass Mitarbeiter über das Thema Informationssicherheit besorgt sind. Dies sind interessante Punkte, die sowohl alte als auch junge Unternehmen beachten sollten:

Informationen in hybrider Form sind heutzutage nicht mehr wegzudenken

Jüngere Unternehmen fühlen sich eher wohl, ihre strukturierten und unstrukturierten Informationen in digitaler und in physischer Form über mehrere Standorte hinweg zu verwalten (55 Prozent jüngerer Firmen, verglichen mit 38 Prozent älterer Firmen). Daten, die in mehreren Formaten an mehreren Orten vorliegen, stellen heutzutage die Realität dar. Es wird keinen Weg zurück geben, diese Entwicklung macht vor keinem Unternehmen halt.

Die 10 größten Security-Risiken in der Cloud
Lesen Sie, welche Security-Risiken der Einsatz einer Public oder Hybrid Cloud birgt und was Sie dagegen tun können.

Verletzung der Vertraulichkeit und Integrität der Daten:
Eine Lokalisierung der Daten ist in einer Public oder Hybrid Cloud für den Dateneigentümer nicht mehr einfach möglich. Daher ist der Schutz der Daten auf der Infrastruktur-, Plattform und Applikationsebene häufig nicht mehr mit üblichen Mitteln zu gewährleisten.

Löschung von Daten:
Daten müssen in vielen Fällen (etwa aufgrund gesetzlicher Bestimmungen) gelöscht werden. Auch hier besteht das Risiko einer nur unzureichenden oder unvollständigen Löschung auf allen Plattformen und Datenbanken der Cloud, da die Lokalisierung der Daten nur schwer möglich ist.

Ungenügende Mandantentrennung:
Bei nicht ausreichend abgesicherter Mandantentrennung besteht die Gefahr, dass Dritte unautorisiert Daten einsehen oder manipulieren können.

Verletzung der Compliance:
Da Daten in einer Public Cloud prinzipiell in allen Ländern der Welt in deren spezifischen Rechtsordnungen verarbeitet werden können, ist die Erfüllung aller gesetzlicher Anforderungen eine wesentliche Aufgabe bei der Nutzung von Public Cloud Leistungen.

Verletzung von Datenschutzgesetzen:
Es ist nicht von vornherein klar, in welchen Ländern, Rechenzentren, auf welchen Servern und mit welcher Software die Daten gespeichert und verarbeitet werden.

Insolvenz des Providers:
Die Insolvenz eines Providers bedeutet meist nicht die Insolvenz aller Rechenzentren, die der Provider verwendet hat. Rechenzentren werden zudem bei Insolvenz mit großer Wahrscheinlichkeit an andere Provider verkauft werden.

Problematik der Subunternehmer:
Ein weiteres Problem stellt die Auftragsweitergabe an Subunternehmer dar. Der Provider wird häufig Subunternehmer für gewisse Leistungen verpflichten. In einer Public Cloud bleibt auch diese Komplexität dem Benutzer häufig verborgen (und soll ja nach der Philosophie des Cloud Computing verborgen bleiben).

Beschlagnahmung von Hardware:
Eine Beschlagnahme von Hardware kann in allen Ländern erfolgen, in denen der Provider Computing-Ressourcen nutzt. Meist werden sich Daten des Auftraggebers auf beschlagnahmten Servern befinden.

Handel mit Ressourcen wird denkbar:
Denkbar ist auch, dass Provider einen Handel mit ihren Ressourcen untereinander aufbauen und damit eine "Ressourcenbörse" realisieren wie sie in obiger Abbildung angedeutet ist. Auf dieser Börse werden Ressourcen zu einem bestimmten Preis angeboten.

Erpressungsversuche:
Die Gefahr von Erpressungsversuchen steigt, da der Personenkreis mit Administrationsaufgaben für Ressourcen der Public Cloud unüberschaubar groß ist. Das eingesetzte Personal verfügt im Allgemeinen über unterschiedliches Ausbildungsniveau und Sicherheitsbewusstsein.

Social Media in Unternehmen beachten

Die Grenzen zwischen der persönlichen und der geschäftlichen Verwendung von Sozialen Medien werden immer durchlässiger und stellen für unachtsame Unternehmen einen potenziellen datenschutzrechtlichen Albtraum dar. Die generelle Unübersichtlichkeit und Unsicherheit über den Umgang mit Sozialen Medien spiegelt sich auch in den sehr verschiedenen Herangehensweisen und Einstellungen wider, die in der Studie herausgestellt wurden. So fand die Untersuchung zum Beispiel heraus, dass mehr als die Hälfte (59 Prozent) der jüngeren Unternehmen die Verwendung von Sozialen Medien durch ihre Mitarbeiter überwachen. Im Vergleich dazu tun dies nur 36 Prozent der älteren Firmen. Jüngere Unternehmen schenken Facebook eine wesentlich höhere Aufmerksamkeit (73 Prozent), wogegen bei älteren Firmen die Wahrscheinlichkeit doppelt so hoch ist, dass die Aktivitäten auf LinkedIn überwacht werden (67 Prozent). Interessanterweise kehrt sich dieses Verhaltensmuster bei Bewerbungsverfahren um: Ein Drittel der älteren Unternehmen (31 Prozent) überprüft seine Kandidaten anhand von Facebook, bei jüngeren Firmen tun dies nur 10 Prozent. 82 Prozent der jüngeren Firmen überprüfen ihre Kandidaten anhand ihrer Einträge auf LinkedIn, verglichen mit nur 46 Prozent bei den älteren Unternehmen. Inwiefern von einer dieser Vorgehensweisen wertvolle Einsichten gewonnen werden konnten, bleibt allerdings unklar.

Datenpannen beschädigen Ruf der Marke

Alle Unternehmen sind sich einig, dass die Auswirkungen einer Datenpanne sowohl die Kundentreue (58 Prozent für alte und junge Firmen) als auch den Ruf der Marke (52 Prozent für alte und junge Firmen) betreffen, jedoch ist bei älteren Unternehmen die Wahrscheinlichkeit doppelt so hoch, dass man sich um finanzielle und rechtliche Konsequenzen sorgt.

Risiken richtig abschätzen

Nur drei Prozent der jüngeren Unternehmen, verglichen mit 28 Prozent der älteren Firmen, würden ausdrücklich der Aussage zustimmen, dass Kostenreduktion wichtiger ist als die Minimierung von Risiken. Vielleicht liegt dies daran, dass zwei Drittel der älteren Unternehmen glauben, das Risiko von Datenpannen sei niedrig. Im Vergleich dazu glauben dies ein Drittel der jüngeren Firmen. Dies mag damit zusammenhängen, dass sie sich auch von den fortwährend steigenden Risiken durch Datenpannen und dem unablässigen Tempowechsel überfordert fühlen. (hal)

Mythos 6
Die IT sollte die Anwender dazu ermutigen, zufällig generierte Passwörter zu benutzen und diese alle 30 Tage zu ändern.

Mythos 12
Mit einer Firewall ist ein Netzwerk geschützt.

Mythos 11
Endpoint-Security-Software ist Commodity geworden.

Mythos 10
Der Transfer von sensiblen Daten via SSL ist sicher.

Mythos 9
Neue Software ist nicht sicherer als alte.

Mythos 8
Wir sind kein Angriffsziel.

Mythos 7
Jeder Computervirus macht sich für den Anwender irgendwie bemerkbar.

Mythos 5
Client-seitige Virtualisierung kann die Sicherheitsprobleme der IT-Consumerization lösen.

Mythos 4
Auf die Intelligenz der Masse ist Verlass.

Mythos 3
Der Passwort-Ablaufzyklus (typischerweise 90 Tage) schützt die IT-Systeme.

Mythos 2
Das DDoS-Problem ist mit Bandbreite zu lösen.

Mythos 1
Mehr Sicherheit ist immer besser.