Wenn Sicherheits-Kontrollen nicht greifen

Der Mensch ist das schwächste Glied in der Kette

Dr. Andreas Schaffry ist freiberuflicher IT-Fachjournalist und von 2006 bis 2015 für die CIO.de-Redaktion tätig. Die inhaltlichen Schwerpunkte seiner Berichterstattung liegen in den Bereichen ERP, Business Intelligence, CRM und SCM mit Schwerpunkt auf SAP und in der Darstellung aktueller IT-Trends wie SaaS, Cloud Computing oder Enterprise Mobility. Er schreibt insbesondere über die vielfältigen Wechselwirkungen zwischen IT und Business und die damit verbundenen Transformationsprozesse in Unternehmen.
Verliert ein Unternehmen geschäftskritische Daten ist in den meisten Fällen menschliches Versagen durch Fehler der Anwender oder - unbewusste wie beabsichtigte - Sicherheitsverletzungen die Hauptursache. Angriffe aus dem Internet, wie das Einschleusen bösartiger Codes oder die Hacker-Attacken, sind dagegen nur zu einem Fünftel Ursache von Sicherheitsvorfällen. Das geht aus einer Untersuchung der IT Policy Compliance Group hervor.
In den meisten Fällen führt menschliches Fehlverhalten zum Verlust wichtiger Geschäfts- oder Kundendaten.
In den meisten Fällen führt menschliches Fehlverhalten zum Verlust wichtiger Geschäfts- oder Kundendaten.

Das Fazit ist eindeutig. 75 Prozent aller Schäden durch Datenverlust kommen durch menschliches Fehlverhalten zustande. Für die Hälfte davon sind Irrtümer der Anwender verantwortlich, während das restliche Viertel auf bewusste, zufällige oder unvorhersehbare Sicherheitsverletzungen zurückzuführen ist.

Unzureichende Sicherheitsmaßnahmen

Bösartige Attacken über das Internet in Form von Hacker- und Spähangriffen oder dem Einschleusen von Codes machen durchschnittlich ein Fünftel der gesamten Sicherheitsvorfälle in Unternehmen aus.

Neben diesen drei Hauptursachen gibt es aber noch eine Reihe anderer Sicherheitsprobleme in Firmen. Dazu gehören beispielsweise gestohlene PCs oder Laptops, unzureichende Berechtigungskonzepte oder ungenügende Kontrollen und Audits inklusive der notwendigen Sicherheitsberichte. Zu den sensiblen oder unternehmenskritischen Daten zählen die befragten Unternehmen Kunden-, Finanz-, Unternehmens- sowie Mitarbeiterdaten.

Ein Bündel an Ursachen

Der Untersuchung zufolge ist der Datenverlust meist nicht auf eine singuläre Ursache oder Fehlverhalten zurückzuführen. Zum Datenverlust kommt es meist dann, wenn mehrere Kontrollen und Sicherheits-Systeme zugleich versagen. 68 Prozent der Unternehmen haben durchschnittlich sechs Verluste per annum und führen diese auf gestohlene PCs und Laptops sowie unzureichende Kontrollen bei IT-gestützten Geschäfts-Prozessen zurück.