Der Sicherheitsanbieter RSA hat den Marktforscher IDC beauftragt, eine Studie zum Thema "interne IT-Sicherheit" durchzuführen. Das Ergebnis lautet kurz: Unter dem Strich treten versehentliche Verstöße gegen geltende Security-Richtlinien offenbar deutlich häufiger auf als vorsätzliche Übertritte. Auch der Schaden ist im ersten Falle deutlich größer.
Die Studie ergab aber auch, dass die Prioritäten der Firmen aber genau andersrum liegen: IT-Entscheider bevorzugen nach wie vor Maßnahmen, die sich gegen die Abwehr bewusster Insider-Angriffe richten und kümmern sich weniger um Vorkehrungen gegen unbeabsichtigtes Fehlverhalten.
Die Unternehmen taten sich bei der Befragung vor allem bei der Zuordnung schwer: Die Mehrheit der befragten IT-Entscheider war sich über die tatsächlichen internen Gefahrenquellen nicht im Klaren. Auch taten sie sich offenbar schwer, konkrete Quantifizierungen der entstandenen Schäden anzugeben.
Die Tendenzen lauten wie folgt: 52 Prozent der Befragten charakterisierten die bei ihnen vorgefallenen Sicherheitsverstöße als vorwiegend unbeabsichtigt. Nur 19 Prozent gaben an, dass die Mehrzahl der Fälle wohl auf Vorsatz beruhe. Der Rest meinte, Absicht und Fahrlässigkeit hielten sich die Waage. Drei Prozent machten keine Angaben.
Die von den Firmen genannten Sicherheitsverstöße kumulieren sich wie folgt auf: 400 Unternehmen meldeten im vergangenen Jahr zusammengerechnet gut 6.200 Fälle von unbeabsichtigtem Datenverlust. Sie verzeichneten rund 5.800 Malware- und Spyware-Attacken, die aus dem Inneren des eigenen Unternehmens heraus geführt wurden.
Insgesamt belief sich die Zahl intern verursachter Security-Vorkommnisse in den letzten zwölf Monaten auf rund 57.000.
Knapp 40 Prozent der Befragten gaben an, für das kommende Jahr Investitionen in Sachen innerer IT-Sicherheit durchführen zu wollen. Laut der Studie halten die meisten Security-Verantwortlichen gezielte Mitarbeiter-Attacken - etwa unautorisierter Zugriff auf vertrauliche Daten oder Einschleusen von Schadsoftware - für die vordringlichere Herausforderung - und nicht die Unachtsamkeit der Mitarbeiter, obwohl das zumindest laut Studie eher der Grund für die Vorkommnisse war. (ARO)
IT-Security sollte automatischer sein
Der deutsche IT-Security-Markt