Foto: Symantec
Im "Security Awareness Report" des Sicherheitsanbieters Clearswift gaben knapp drei Viertel der 2.000 unter anderem in USA, England, Deutschland befragten Büroangestellten an, sie hätten die Sicherheitsrichtlinien ihres Unternehmens verstanden. Auch Regelungen, die den "Schutz von Daten, IT und Produktivität gewährleisten", gehören nach Überzeugung der Angestellten zu den ihnen vertrauten Policies.
Für Clearswift ist das indes reines Wunschdenken: Angesichts der Tatsache, dass ein Drittel der Befragten im Laufe ihrer Tätigkeit nicht einmal eine einzige Schulung zur IT-Sicherheit erhalten haben, bezweifelt der Sicherheitsanbieter diese Angaben schlicht. Die Tatsache, dass zwei Drittel der Umfrageteilnehmer bereits seit fünf Jahren für ihren aktuellen Arbeitgeber tätig sind, untermauere diese Zweifel, wie Clearswift anmerkt. Diese Spanne entspräche "in der technologischen Zeitrechnung einem ganzen Lebenszeitalter". Insofern sei eine andere Angabe der Angestellten glaubwürdiger: Jeder siebte befürchtet demnach, die Unternehmensrichtlinien zur IT zu verletzen - wenn auch unabsichtlich.
Zur Vernebelung der tatsächlichen Sicherheitsbedürfnisse von Unternehmen trügen auch IT-Sicherheitsanbieter bei, meint Richard Turner, CEO von Clearswift, und es bleibt unklar, ob er auch sein eigenes Unternehmen meint. "Die Anbieter haben zu lange Zeit davon gelebt, ihre Kunden zu verunsichern, auf Angst und Abwehrhaltung zu setzen, um Umsätze zu steigern", so Turner.
Es bringe aber für alle Unternehmen Vorteile, die IT-Sicherheit "aus dem Schattendasein" zu holen und Mitarbeiter zu den Risiken und installierten Sicherheitseinrichtungen zu schulen. "Sicherheit sollte keine Nacht- und Nebel-Angelegenheit oder von Angst und Repressalien geprägt sein. Vielmehr sollte Sicherheit offen, sichtbar, entwicklungsfähig und motivierend gestaltet werden - und grundsätzlich auf Wissen und Verständnis basieren", so der Appell des Clearswift-CEOs.
Er scheint damit auf der richtigen Spur zu sein: Immerhin jeder vierte Befragte glaubt, dass sein Unternehmen die interne Kommunikation verbessern könnte. Der Hauptgrund für Sicherheitsprobleme sei nämlich bei den meisten "Unwissenheit oder mangelndes Verständnis für Sicherheitslücken im eigenen Unternehmen". Statt diese Lücken systematisch zu schließen, setzen nach Meinung einer qualifizierten Minderheit von 17 Prozent vorhandene Sicherheitsrichtlinien eher auf Schuldzuweisungen als auf den Schutz von Daten und Informationen.
Strategie, nicht Zwang, sorgt für mehr Sicherheit
"Es wird Zeit, dass Unternehmen es schaffen, Richtlinien als lebendigen, aktiven Teil zu etablieren, der für den Arbeitsalltag wesentlich ist", mahnt Clearswift-CEO Turner. Viel zu häufig spielten Policies nur dann eine Rolle, wenn etwas schief gelaufen sei - nur für die Beweisführung, dass es jemand hätte besser wissen sollen. "Es hat wenig oder gar keinen Sinn, IT-Sicherheitsregeln aufzustellen, solange sich die Mitarbeiter im Unternehmen darüber nicht bewusst sind und verstehen, warum diese Regeln aufgestellt wurden." Strategie, nicht Zwang sei der richtige Weg um die Herausforderungen zu bewältigen, denen Unternehmen heute gegenüber stünden.
Für diese Studie hat das Marktforschungsunternehmen Loudhouse Research im Auftrag von Clearswift im September 2010 insgesamt 2.000 Büroangestellte, davon je 500 in Deutschland, USA, England und je 250 in den Niederlanden und in Australien befragt.