Firmennachricht • 16.05.2012

IT-Sicherheit: Sensibilisierung der Mitarbeiter oft vernachlässigt

NEG-Studie zur IT- und Informationssicherheit zeigt potenzielle Gefahren und gibt Handlungsempfehlungen.

Die Mitarbeiter eines Unternehmens können wesentlich zu einer erfolgreichen IT-Sicherheit beitragen: Nur wer sich möglicher Gefahren bewusst ist und entsprechende IT-Sicherheitsstrategien des Unternehmens kennt, kann mögliche Risiken vermeiden. Die Sensibilisierung der Mitarbeiter wird aber oft vernachlässigt, wie die Studie “Netz- und Informationssicherheit in Unternehmen 2011” des Netzwerk Elektronischer Geschäftsverkehr (NEG) zeigt. Die Ergebnisse der Studie stehen kostenfrei unter www.kmu-sicherheit.de zum Herunterladen bereit.

Trotz zunehmender Integration von E-Business-Anwendungen in die Geschäftsprozesse von kleinen und mittleren Unternehmen mangelt es oft an einer Sensibilisierung der Mitarbeiter für entsprechende IT-Risiken. Zudem zeigt sich, dass eine Kluft zwischen der erkannten Bedeutung von IT-Sicherheit und konkreten Handlungen besteht.

Wahrgenommenes und tatsächliches Level von IT-Sicherheit nicht immer identisch
Sicherheit besitzt für Unternehmen einen hohen Stellenwert. Bei differenzierter Betrachtung stellt sich jedoch heraus, dass bei einer Abwägung zwischen Handhabung und Sicherheitsniveau viele Unternehmen die Sicherheitsaspekte vernachlässigen: 65 Prozent der befragten Unternehmen messen dem Thema Sicherheit eine große bis sehr große Bedeutung bei. Aber nur noch 43 Prozent geben an, dieses bei einer Abwägung auch zu priorisieren. Dies mag zunächst in der Praxis einer leichteren Handhabbarkeit und operativen Vorteilen geschuldet sein, dennoch können sich dadurch aber erhebliche Sicherheitsrisiken ergeben. Das wahrgenommene Sicherheitslevel ist auf diese Weise häufig höher als die tatsächlich realisierten Sicherheitsvorkehrungen.

Personen mit Unternehmensbezug als Risikofaktoren
20 Prozent der Unternehmen sehen aktuelle Mitarbeiter als die Personengruppe an, die das höchste Sicherheitsrisiko für das Unternehmen darstellt: Dazu führen unüberlegte Aktivitäten wie etwa ungeprüftes Herunterladen von Dateien oder Anklicken unseriöser Links in Sozialen Netzwerken oder Foren sowie leichtfertiger Umgang mit Passwörtern und Zugangsdaten. Immerhin 11 Prozent der Unternehmen sehen hingegen das größte Gefährdungspotenzial in ehemaligen Mitarbeitern. Hier können sich Unternehmen leicht schützen, indem sie Passwörter ändern oder Zugangsdaten ehemaliger Mitarbeiter umgehend bei Ausscheiden aus dem Unternehmen sperren. Weitere Handlungsempfehlungen zum Faktor Mensch für die IT-Sicherheit finden Sie unter www.kmu-sicherheit.de.

„Um die möglichen Gefahren, die vom Risikofaktor Mensch ausgehen, zu minimieren, ist eine regelmäßige Schulung und Bewusstseinsschärfung der Mitarbeiter hinsichtlich des Themas IT-Sicherheit zwingend geboten. Gerade hier kann mit geringem Aufwand eine erhebliche Steigerung der IT-Sicherheit erzielt werden“, sagt Aline Eckstein, Bereichsleiterin beim durchführenden E Commerce Center Handel in Köln.

Verbesserungen bei externen Zugangskontrollen
Mit Blick auf die Studienergebnisse aus den Jahren 2008 bis 2010 zeichnet sich bei der Zutrittsregelung externer Personen zu Räumen mit IT-Infrastruktur eine positive Entwicklung ab: Nur noch 16 Prozent der befragten Unternehmen gewähren Externen einen unbeaufsichtigten Zutritt, während es in den Vorjahren stets deutlich über 20 Prozent waren. 43 Prozent verweigern den Zutritt zu den sensiblen Bereichen komplett.

Die Mitarbeiter eines Unternehmens können wesentlich zu einer erfolgreichen IT-Sicherheit beitragen: Nur wer sich möglicher Gefahren bewusst ist und entsprechende IT-Sicherheitsstrategien des Unternehmens kennt, kann mögliche Risiken vermeiden. Die Sensibilisierung der Mitarbeiter wird aber oft vernachlässigt, wie die Studie “Netz- und Informationssicherheit in Unternehmen 2011” des Netzwerk Elektronischer Geschäftsverkehr (NEG) zeigt. Die Ergebnisse der Studie stehen kostenfrei unter www.kmu-sicherheit.de zum Herunterladen bereit.

Themenkanäle: Sicherheitsmanagement, IT-Sicherheit, Datenbanksicherheit