Interne IT-Bedrohungen in Europa 2006

Einführung

Daten zur Anzahl von Datenlecks in Europa haben in der Vergangenheit nicht immer der Realität entsprochen. Die EU1 sieht – im Gegensatz zu den USA – keine obligatorische Benachrichtigung von Opfern in Fällen von Datenschutzverletzungen vor und die meisten Unternehmen gaben die Einführung von Benachrichtigungsprozessen nicht die oberste Priorität.

Die vorliegende Studie ist die erste europaweite Untersuchung zum Thema interne Bedrohungen und basiert auf einer Umfrage, die unter IT-Experten aus dem mittleren und gehobenen Management von 410 Firmen durchgeführt wurde. Auf das Thema „interne Sicherheit“ angesprochen, äußerten Europas IT-Profis Sorgen, die sie mit ihren Kollegen sowohl in den USA als auch in Russland teilen; der Diebstahl durch Firmeninsider nimmt dabei eine Schlüsselposition ein.

Hauptschlussfolgerungen

  • Europas IT-Profis sind der Meinung, dass Datendiebstahl die primäre Bedrohung (78 Prozent) für die Datensicherheit darstellt – bedeutender als Viren oder Hacker-Attacken
  • Die primären Kanäle für Datenabfluss stellen in Europa tragbare Speichermedien, E-Mail und das Internet, wie Web-Mail und Foren, dar
  • Lediglich 11 Prozent der Befragten waren überzeugt, dass die Informationssicherheit ihrer Firma im letzten Jahr nicht verletzt wurde. Dies ist auch die Zahl der Firmen, die punktuell Lösungen zum Datenschutz einsetzen. 42 Prozent nannten ein bis fünf Verletzungen, 37 Prozent konnten nicht mit Sicherheit sagen, dass keine Verletzung stattgefunden hat
  • Der Mangel an industriellen Standards wird als primäres Hindernis für die Realisierung komplexer Anti-Data-Leakage-Lösungen angesehen (42 Prozent)

Methodik

Die Umfrage wurde im Zeitraum vom 2. Januar bis 2. März 2007 von InfoWatch durchgeführt und beinhaltet detaillierte Antworten auf Fragen, die 410 Firmen gestellt wurden.

Antworten wurden zusammengetragen von:

  • Persönlichen und telefonischen Interviews mit repräsentativen IT-Profis von Firmen
  • Seminaren und Konferenzen,die von InfoWatch und seinen Partnern organisiert wurden
  • Besuchern europäischer IT-Messen, auf denen InfoWatch ausgestellt hat
  • E-Mail-Korrespondenz mit repräsentativen IT-Profis von Firmen

Anmerkung: Die Gesamtprozentzahlen übersteigen aufgrund von Multiple-Choice- Fragen bei manchen Antworten 100 Prozent.

Profil der Befragten

Wie in allen InfoWatch- Umfragen und -Analysen handelt es sich bei den Befragten um Manager oder leitende Angestellt, die auf den Bereich IT-Sicherheit spezialisiert sind. Die Befragten selbst, deren Zuständigkeit und die Firmenbranche wurden so ausgewählt, dass eine möglichst große Bandbreite europäischer Industrie repräsentiert wird.

Die Mehrheit (67 Prozent) der Firmen (Abb. 1) beschäftigt 500-5000 Angestellte und 78 Prozent setzen 100-5000 Workstations ein.


Anzahl der Angestellten

Anzahl der Workstations

Übersicht über die Unternehmensbranchen der Befragten: (Abb. 3).


Unternehmensbranchen

Alle Befragten sind unmittelbar an IT- und Sicherheitsentscheidungen beteiligt, wobei das höhere Managment stärker vertreten war (67 Prozent der Gesamtsumme).


Positionen der Befragten

Die Anzahl der IT-Spezialisten, die in großen und mittelständischen Unternehmen für die Datensicherheit verantwortlich sind, zeigt, dass das Problem der internen Sicherheit zunehmend ernster genommen wird. Kleinere Unternehmen sind jedoch weiterhin ohne IT-Sicherheitsspezialisten und beschäftigen in manchen Fällen nicht einmal einen internen IT-Spezialisten.

IT-Bedrohungen in Europa

Als größte IT-Bedrohungen (Abb. 5) werden ganz klar Datendiebstahl (78 Prozent) und Fahrlässigkeit der Angestellten (65 Prozent) angesehen. Diese Tatsache ist signifikant, da in vielen Fällen beide Vorkommnisse miteinander verquickt sind denkt man nur an den Diebstahl eines Laptops mit unverschlüsselten Daten aus dem Auto eines Angestellten.

Viren lassen sich mit 49 Prozent als “Grundrauschen“ charakterisieren , da sie typischerweise nicht auf ein bestimmtes Unternehmen abzielen (ausgenommen die immer häufiger werdende Business Malware). Hacker werden daneben mit 41 Prozent als die größte externe Bedrohung angesehen.


Größte IT-Bedrohungen
Anmerkung: Die Befragten durften bis zu drei Optionen auswählen

Unterteilt man diesen Block in in die zwei grundlegenden Kategorien interne und externe Bedrohungen erhält man folgendes Diagramm:


Externe vs interne Bedrohungen
  • Externe Bedrohungen:
    • Viren
    • Hacker
    • Spam
  • Interne Bedrohungen:
    • Datendiebstahl
    • Sabotage
    • Fahrlässigkeit
    • Betrug

Interessant ist es zu sehen, dass interne Bedrohungen stärker wahrgenommen werden, als die Gefahr, die von Hackern, Viren und Spam ausgeht.

Interne Bedrohungen

Wie bereits erwähnt, sind die meisten Befragten der Meinung, dass die Hauptbedrohung der internen Datensicherheit von den Mitarbeitern des Unternehmens ausgehen. Im Folgenden werden die internen Bedrohungen aufgeschlüsselt:


Hauptbedrohungen der internen Datensicherheit
Anmerkung: Die Befragten durften bis zu drei Optionen auswählen

Viele interne Bedrohungen sind miteinander verbunden. Betrug erfordert zum Beispiel die Verfälschung sensibler Daten – typischerweise Finanzberichte – und Sabotage ergibt sich unweigerlich aus Datenverlust. Dass jedoch überwiegend der Verlust vertraulicher Daten Angst bei europäischen IT-Managern hervorruft, zeigt deutlich den Mangel an voll integrierten Lösungen, die dieses Problem angehen.

Sicherheitslücken vertraulicher Daten

Angesichts der Tatsache, dass eine Sicherheitslücke vertraulicher Daten in den Händen von Insidern die größte Bedrohung für Datensicherheit ist, baten wir unsere Umfrageteilnehmer die schwersten Konsequenzen solcher Lücken für ihre Firma zu benennen.


Primäre Datenlückenprobleme
Anmerkung: Die Befragten durften bis zu drei Optionen auswählen

Gängigste Kanäle für Datenabfluss

Tragbare Speichermedien wie USB-Sticks und Laptops werden als primäre Verlust-Kanäle angesehen. Auf dem Internet basierende Kanäle, wie E-Mail, IM, Web-Mail und Foren stellen jedoch eine nicht minder große Gefahr dar und sind in ihrer Gesamtheit betrachtet zudem die größten Datenverlustkanäle.


Die gefährlichsten Datenverlustkanäle, die von Insidern genutzt werden
Anmerkung: Die Befragten durften bis zu drei Optionen auswählen

Die folgende Frage bezieht sich auf die Anzahl der Sicherheitslücken für vertrauliche Daten im vergangenen Jahr (Abb. 10).

Lediglich 11 Prozent der Befragten konnten mit Sicherheit angeben, dass keinerlei Versuche bezüglich Datendiebstahl stattgefunden haben. Interessant in diesem Zusammenhang ist Abb. 13, in der zu erfahren ist, dass 16 Prozent der Befragten gegenwärtig Anti-Datenleck-Lösungen installiert haben. Währenddessen beklagen 42 Prozent der Befragten zwischen einer und fünf undichten Stellen.


Sicherheitslücken bei Unternehmen in den letzten 12 Monaten

Gesetzliche Regelungen

Die nächste Frage befasst sich mit der Überlegung, ob Organisationen in der EU vom Gesetz dazu verpflichtet werden sollten, potenziell geschädigte Personen im Falle der Kompromittierung persönlicher Daten zu benachrichtigen (Abb. 11).


Notwendigkeit einer EU-Gesetzgebung, die Benachrichtigungen bei Datenschutzverletzungen verlangt

Fast 70 Prozent befürworten eine gesetzliche Regelung, und über 50 Prozent der IT-Profis meinen, dass die EU per Gesetz von Organisationen verlangen sollte, persönlichen Daten vor Insidern zu schützen.


Notwendigkeit einer EU-Gesetzgebung zum Schutz persönlicher Daten vor insidern

Möglichkeiten der Abwehr

Die nächste Frage befasst sich mit Daten-Schutzsystemen. Antivirus-Lösungen, Firewalls und Zugangskontrollen an Workstations waren bei allen befragten Unternehmen Standard.. Die zunehmende Nutzung von Virtual Private Networks (VPN) war dabei von besonderem Interesse.


Datensicherheits-Technologien in Unternehmen
Anmerkung: Die Befragten durften unbegrenzt viele Optionen wählen

Aus dem Diagramm ist ersichtlich, dass lediglich 16 Prozent der Befragten vollständige Anti-Data-Leakage-Systeme einsetzen. Was aber hindert Firmen daran, solche Datenschutzsysteme zu nutzen (Abb. 14)?


Gründe, die Organisationen davon abhalten, Anti-Datenleck-Technologien einzusetzen
Anmerkung: Die Befragten durften unbegrenzt viele Optionen wählen

„Mangel an Standards“ führt die Gruppe mit 42 Prozent an, gefolgt von der Annahme, es existierten keine technischen Lösungen (12 Prozent). Ein weiteres weit verbreitetes Problem scheint der Mangel an ausgebildeten Spezialisten zu sein (29 Prozent). Tatsache ist, dass Anti-Datenleck–Technologien existieren, sie jedoch noch eine relativ neue Erscheinung sind, für die noch allgemeine Standards entwickelt werden müssen. Viele europäische IT-Manager warten aus diesem Grund ab, bis der Markt wächst und standardisierte Protokolle angeboten werden.

Dennoch demonstrieren Europas IT-Spezialisten eine recht ausgeglichene Meinung bezüglich der einzuschlagenden Wege, um Datenverlust durch Insider zu bekämpfen (Abb. 15). Sie erkennen, dass technologische Lösungen zwar Teil der Antwort sind, ohne maßgeschneiderte organisatorische Prozesse, Policies, Schulungen und andere Standards jedoch nicht zum Tragen kommen.


Die effektivsten Methoden zur Verhinderung von Datenverlust
Anmerkung: Die Befragten durften bis zu drei Optionen auswählen

Was bringt die Zukunft?

Auf die Frage, ob in den nächsten drei Jahren der Einsatz einer umfassenden Lösung zur Verhinderung von Datenabfluss geplant sei, beantwortete ein Drittel der Befragten positiv (Abb. 16):


Pläne zum Einsatz von Anti-Datenleck-Technologien in den nächsten drei Jahren

Aus den Antworten geht darüber hinaus hervor, dass die Befragten sich darüber einig sind, dass das Internet eine Schlüsselrolle beim Datenabfluss spielt: Ganze 42% beabsichtigen technische Lösungen auf diesem Gebiet einzusetzen.

Schlussfolgerungen

Am Ende jedes Interviews baten wir den Befragten, uns seine Ansicht über einen ausgewählten Aspekt der Umfrage mitzuteilen. Die Mehrheit der IT-Experten formulierten erneut ihre Besorgnis hinsichtlich des Fehlens eines einheitlichen internen Sicherheitsansatzes. Sie sind der Meinung, dass die Wahl einer geeigneten Lösung erschwert wird, da zwar alle Anbieter von Sicherheitslösungen die Vorteile ihrer Produkte betonen, die nicht existenten Standards einen Vergleich mit der Konkurrenz jedoch kaum zulassen.

Ein weiteres Problem stellt die Budgetplanung dar. Ein Befragter formulierte es wie folgt: „Wir wissen, wie man mit Viren umgeht. Man installiert ein Antivirus-Paket an den Gateways und auf den Workstations und kann sich ausrechnen, wie viel die Lizenzen mit der Zeit kosten werden. Aber der Schutz vor Insidern ist anders. Jeder Lösungsanbieter hat seine eigene Auffassung, wie ein internes Sicherheitssystem aufzubauen ist, und selbst unter Kollegen ergeben sich Meinungsverschiedenheiten.“

Trotz dieser Hürden waren die Befragten der Ansicht, dass sich bereits ein Konsens bildet. Hauptgrund scheint die Tatsache zu sein, dass Unternehmen ihre Kommunikationskanäle ständig erweitern: E-Mail, Internet, Instant-Messaging-Services, Drucker, diverse WLAN, neue Netzwerkprotokolle , Software etc.pp. In solch einer expandierenden Kommunikationsumgebung ist es nur logisch, dass interne Sicherheitssysteme übergreifend sein müssen.

Die Gesetzesvorschlägen, die gegenwärtig von der EU und der besprochen werden und Unternehmen dazu verpflichten sollen, ihre Kunden unverzüglich über Datenschutzverstöße zu informieren, könnten einen weiteren Schritt auf dem Weg in Richtung allgemeingültige Standards bezüglich der internen IT-Sicherheit darstellen.



1 Das bestehende EU-Recht verlangt lediglich, dass Verbraucher über Sicherheitsrisiken allgemein benachrichtigt werden, aber nicht über spezifische Fälle in denen Datenschutzverletzungen auftraten. Ständige Kommissionsmitarbeiter merkten in einem Bericht vom 29. Juni an, dass die Forderung nach einer Benachrichtigung über Sicherheitsverletzungen “Providern einen Anreiz geben würden, in Sicherheit zu investieren ohne ihre Sicherheits-Policy im kleinsten zu verwalten“.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.