Stellen Vorstände eine Gefahr für die Datensicherheit dar?

By Ann Fellman, Senior Vice President of Marketing, Code42

Der 2018 Data Exposure Report bringt eine eindeutige Antwort ans Licht: „Ja, das tun sie““.

Die interessantesten Erkenntnisse der Studie, die mit fast 1.700 IT- und IT-Sicherheits-Führungskräften durchgeführt wurde, drehen sich um den Einfluss menschlicher Emotionen und Verhaltens in Bezug auf Datensicherheit – insbesondere auf Vorstandsebene. CISOs und IT-Führungskräfte werden nicht überrascht sein, wenn sie hören, dass das Verhalten von Vorstandsmitgliedern am Arbeitsplatz nicht immer den Anforderungen der Sicherheitsrichtlinien entspricht – dabei sind die CEOs tatsächlich die schlimmste Bedrohung. Der Report deckt auf, dass dieser Umgang zumeist noch auf alten Verhaltensmustern, Vertrauen oder guten Absichten fußt oder schlichtweg in Zusammenhang mit Besitzempfinden über die Arbeit an sich.

Um effektivere Datensicherheitsstrategien zu adaptieren wäre es zunächst ratsam die Motivation hinter problematischem Verhalten zu verstehen. Aber tatsächlich verhält es sich wie folgt: ausgeklügelte Richtlinien sind nicht immer im Einklang mit menschlichem Verhalten. Für eine fundierte Datenschutzstrategie ist es notwendig, sowohl Backup- und Wiederherstellungslösungen als auch präventive Ansätze zum Schutz vor Datenklau zu installieren.

Ihren Worten folgen keine Taten
Der Report zeigt, dass 78 Prozent der CEOs der Meinung sind, dass Ideen in Form von geistigem Eigentum (Intellectual Property, IP) einer der wertvollsten Vermögenswerte in ihren Unternehmen sind. 93 Prozent der CEOs geben jedoch zu, dass sie eine Kopie ihrer Arbeit auf einem persönlichen Gerät außerhalb des offiziell genehmigten Unternehmensspeichers aufbewahren. Und die Mehrheit der Sicherheits- und IT-Entscheider (86 Prozent) glaubt, dass das Ausmaß, in dem Mitarbeiter Dateien außerhalb des Unternehmensspeichers lagern, ein ernstes Risiko für das Unternehmen darstellt.

Obwohl die Führungsebene weiß, dass es riskant ist und trotzdem sie mit der Durchsetzung der Richtlinien ihrer Unternehmen betraut ist, gefährden sie weiterhin ihre wertvollen Unternehmensdaten. Was ist da los? Laut der Umfrage trägt eine emotionale Verbindung zu ihrer Arbeit daran mit Schuld.

Das „Eigentumsdilemma“
Die Umfrage ergab, dass 65 Prozent der betrieblichen Entscheider ein starkes Gefühl des persönlichen Eigentums für ihre Arbeit empfinden. Mehr als die Hälfte (53 Prozent) sagen, dies liege daran, dass sie etwas von sich selbst in das, was sie schaffen, einbringen.

Das ist doch gut, oder? Nicht unbedingt. So paradox es auch klingen mag, gerade die Mitarbeiter, die das Gefühl persönlichen Eigentums gegenüber ihrer Arbeit empfinden, verfallen oft in riskante Verhaltensmuster auf Kosten der Unternehmensrichtlinien.

Fast drei Viertel der CEOs (72 Prozent) und 49 Prozent der betrieblichen Entscheider geben zu, IP von einem früheren Arbeitgeber mitgenommen zu haben. Das unterstreicht, dass genau diejenigen, die am meisten für den Schutz der wertvollsten Daten eines Unternehmens verantwortlich sind, sich nicht an die Regeln halten.

Arbeitsmethoden und persönliche Vorlieben
Etwas mehr als die Hälfte der CEOs (59 Prozent) geben zu, dass sie Software herunterladen, obwohl sie wissen, dass sie von der IT möglicherweise nicht freigegeben ist. 77 Prozent der betrieblichen Entscheider glauben, dass das IT-Team dies als ein Risiko betrachten würde – und tun es trotzdem.

Die Risiken aus der Führungsebene betreffen nicht nur Datenverlust. Die meisten von uns haben schon diesen „Oh-oh“-Moment erlebt, als wir versehentlich auf einen E-Mail-Link geklickt haben, den wir nicht hätten klicken sollen. Fast zwei Drittel der CEOs (63 Prozent) und genau die Hälfte aller betrieblichen Entscheider haben zugegeben, dass sie das Gleiche tun – entweder durch Zufall oder aus Versehen.

Kein Wunder, dass 78 Prozent der CISOs glauben, dass das größte Risiko für Unternehmen darin besteht, dass Menschen versuchen, ihre Arbeit so zu machen, wie sie es wollen – und zwar auf eine Weise, die für sie am effektivsten ist – ohne sich an die Regeln zu halten.

Wiederherstellung muss Teil der Lösung sein
Die Ergebnisse machen deutlich, dass strenge Richtlinien der Realität menschlichen Verhaltens nicht gewachsen sind. Wenn Ihre Führungsriege sich nicht an die Regeln hält, wie können Sie dann erwarten, dass die breitere Belegschaft Ihren Richtlinien folgt?

Datensicherheitsstrategien müssen daher zusätzlich zu den Präventionsmethoden auch Wiederherstellungslösungen umfassen. Denn unabhängig davon, wie stark Ihr Sicherheitsperimeter ist, kann ein Mitarbeiter sehr leicht zum Einfallstor für Datenrisiken und Cyberbedrohungen werden.

Es ist besser, in der Lage zu sein, sich im Ernstfall schnell und einfach zu erholen, anstatt darauf zu hoffen, dass sich jeder an die Regeln hält. Denn die Realität ist, dass sie es nicht tun.

Halten Sie Ausschau nach dem nächsten Blog-Post in unserer Datengefährdungs-Serie. Er wird sich genauer mit der Diskrepanz befassen, die zwischen den Erwartungen von betrieblichen Entscheidern und denen des IT-Sicherheitspersonals klafft, bezüglich der Art und Weise, wie die IT ihre Daten schützt.

Um mehr darüber zu erfahren und wie Code42 Ihnen helfen kann, klicken Sie hier.

 


Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*