Riesige Sicherheitslücken

Mobile Security lässt CIOs schlecht schlafen

Bettina Dobe war bis Dezember 2014 Autorin für cio.de.
Insgesamt 91 Prozent aller Nutzer halten einer Umfrage zufolge Daten im Unternehmen für sicher - obwohl es immer mehr Security Breaches gibt.

Da klaffen Wahrnehmung und Wirklichkeit auseinander: 91 Prozent der in einer Studie Befragten glauben, dass ihre persönlichen Daten und Online-Identitäten bei Unternehmen sicher sind. Dies ergab eine Umfrage vom April 2013 des Datenschutzanbieters Varonis unter 200 Anwendern: Dabei hinken die meisten Unternehmen in der IT-Security gewaltig hinterher.

Datenschutz wird immer mehr zum Problem: Firmen hinken den Hackern immer einen Schritt hinterher.
Datenschutz wird immer mehr zum Problem: Firmen hinken den Hackern immer einen Schritt hinterher.
Foto: ollyy, Shutterstock.com

Nutzer legen großen Wert auf DatenschutzDatenschutz: 97 Prozent der Befragten würden eher eine Geschäftsbeziehung mit einer Firma eingehen, wenn diese ihre Daten schützt. Die restlichen drei Prozent dürfte sich auf Mitglieder der Piraten-Partei verteilen - oder Realisten. Alles zu Datenschutz auf CIO.de

Immer mehr Security Breaches

Auch wenn wir es gern anders hätten: Verletzungen des Datenschutzes nehmen immer mehr zu. 93 Prozent der großen Unternehmen und 87 Prozent der kleineren Unternehmen berichteten 2012 über Datenschutzverletzungen, so die Varonis-Studie. Die Gefahren sind vielfältig: Malware, Spyware über Hacking und DDoS-Attacken machen IT-Security-Spezialisten zu schaffen. Dem haben Firmen wenig entgegenzusetzen.

Zwar haben viele Nutzer dazu gelernt und bemühen sich selbst, so gut es geht, um Datenschutz. 71 Prozent der Befragten gaben an, Endbenutzer-Lizenzverträge und rechtliche Hinweisen bis zum Schluss durchzulesen. Für mehr Datenschutz würden 54 Prozent der Befragten sogar zahlen. Nur fangen die wenigsten bei sich an und verzichten auf vernünftige Sicherheit für ihre SmartphonesSmartphones. Alles zu Smartphones auf CIO.de

Kaum Identity-Access-Management

Mobile Security treibt den meisten CIOs Angstschweiß auf die Stirn: Die Sicherheitslücken sind oft riesig. Ein bisschen können sie aufatmen; die Mobile Security macht Fortschritte: 77 Prozent aller Smartphone-Besitzer schützt dies mit einem Passwort. Fast die Hälfte schützt E-Mails und Online-Dienste mittels einer zweistufigen Authentifizierung. Das heißt zum Beispiel, dass der Nutzer seine Identität mit einem Zweitgerät bestätigen muss, etwa durch eine SMS an sein Smartphone. Von einem sinnvollen Identity-Access-Management sind Firmen oft weit entfernt. Wenn der Nutzer sein Privathandy sichert - dem Unternehmen hilft das nicht viel.

Keine persönlichen Daten in die Cloud

User sind oft der Cloud gegenüber misstrauisch und vermeiden Diensten wie Dropbox oder Evernote. Knapp ein Drittel gab an, dort gar keinerlei persönliche Daten zu speichern. CIO.de-Leser misstrauen Dropbox sogar noch mehr. Andererseits: 38 Prozent gaben an, sensible Daten in der Wolke aufzubewahren. Was CIOs einen Schauer über den Rücken laufen lassen dürfte: 16 Prozent sagten aus, unternehmenswichtige Daten außerhalb des Unternehmens-Intranets zu speichern.

Schludrigkeiten überwiegen

Überall das gleiche Passwort? Klar, denken viele Nutzer. Keine so gute Idee, denkt der Security-Experte.
Überall das gleiche Passwort? Klar, denken viele Nutzer. Keine so gute Idee, denkt der Security-Experte.
Foto: pn_photo - Fotolia.com

Trotz aller Fortschritte, die User im Thema IT-Security gemacht haben: Nur sechs Prozent der Nutzer hat einen Passwort-Manager. 61 Prozent gaben an, immer oder häufig dasselbe Passwort für Online-Zugänge zu nutzen. Das erleichtert Hackern den Zugang zu den persönlichen Daten. Nur ein Drittel wechselt immer das Passwort.

Tipps für Nutzer

Ein paar einfache Grundregeln erhöhen die Online-Sicherheit. Das sind die absoluten Basics der Internet-Sicherheit - trotzdem befolgen diese nur die wenigsten Nutzer. Darum hier nochmal der Crashkurs von Varonis.

Informieren Sie sich, wo Ihre persönlichen Daten gespeichert sind, wer Zugang dazu hat und was Service-Providers mit diesen Daten anfangen können, ohne Sie um Erlaubnis fragen zu müssen. Schicken Sie niemals sensible Daten wie etwa Kreditkarteninformationen per E-Mail. Hackern ist es ein Leichtes, an unverschlüsselte Daten heranzukommen. Starke Passwörter bleiben der beste Schutz: ein Mix aus Ziffern, Buchstaben und Sonderzeichen. Und ein neues Passwort für jede Seite. Oder Sie probieren es mit "Passwort der Zukunft".

Nutzer sollten wissen, wo ihre Daten gespeichert sind und wer alles Zugang dazu hat.
Nutzer sollten wissen, wo ihre Daten gespeichert sind und wer alles Zugang dazu hat.
Foto: alphaspirit, Shutterstock.com

Für die IT-Abteilungen gibt Varonis noch einen Nachschlag hinterher. IT-Security-Beauftragte sollten dafür sorgen, dass sich die Mitarbeiter möglichst über eine zweistufige Anmeldung in den Account einloggen. So haben Sie mehr Kontrolle. Das ist teuer, lohnt sich aber. Das gilt nur Firmen-intern, denn oft schreckt eine zweistufige Authentifizierung ab. Jeder Mitarbeiter sollte nur so viele Zugänge haben wie nötig. Statten Sie die Kollegen nicht pauschal mit Berechtigungen aus - aber achten Sie darauf, dass das Zuweisen neuer Berechtigungen schnell und unkompliziert ist. Sie wollen die Mitarbeiter nicht durch langsame Prozesse verärgern und aufhalten.

Jeder Zugang zu verschiedenen Systemen muss überwacht werden. Achten Sie darauf, ob sich nicht vielleicht zu viele Mitarbeiter anmelden. Gleichzeitig muss die Privatsphäre der Mitarbeiter geschützt werden. Der Sicherheitsbeauftragte sollte sich daher mit dem Betriebsrat abstimmen, wie viel Kontrolle erlaubt ist. Und überprüfen Sie gelegentlich, ob alle Zugänge noch aktuell sind. Aktivitäten sollten ab und zu auf ungewöhnliche Verhaltensweisen analysiert werden. Starke Aktivität nachts um eins? So etwas sollte überprüft werden. Mit ein wenig Achtsamkeit kommen Sie Hackern oder Spyware schnell auf die Spur.

Mit ein wenig Achtsamkeit kommt man Unbefugten im System auf die Spur.
Mit ein wenig Achtsamkeit kommt man Unbefugten im System auf die Spur.
Foto: flucas - Fotolia.com

Mitarbeiter sollten nur geschützte und autorisierte Plattformen verwenden. Das stellt CIOs vor große Probleme. Oft beachten Mitarbeiter die BYOD-Regeln nicht oder lagern wichtige Daten auf externen Servern. Das kann schnell zu Schaden führen. Erklären Sie Ihren Mitarbeiter, wie wichtig es ist, nichts auf unautorisierten Plattformen zu lagern. Schaffen Sie eine Balance zwischen Produktivität und Sicherheit. Mitarbeiter dürfen nicht durch umständliche oder unpraktische Sicherheitsmaßnahmen daran gehindert werden, effizient und modern zu arbeiten.

Übrigens: Sind ITler die besseren Security-Experten? Nein. Die Studienautoren verglichen die Ergebnisse der IT mit denen anderer Abteilungen. Heraus kam: "Die Antwortmuster für die ITler waren denen von Nicht-ITlern sehr ähnlich", heißt es in der Umfrage. Signifikante Unterschiede - und somit ein besseres Sicherheitsbewusstsein - waren nicht zu erkennen.

Zur Startseite