Dabei sind nicht nur E-Mails potenzielle Kanäle für die ungewollte Informationsweitergabe, sondern auch USB-Sticks, iPods oder PDAs, die Mitarbeiter mit an ihren Arbeitsplatz bringen. Darüber hinaus fehlt es den meisten Unternehmen an effizienten Mechanismen, um Regeln für den Umgang mit sensiblen Daten umzusetzen, und an automatisierten Lösungen, die Informationslecks verhindern. Diese Unternehmen spielen ein riskantes Spiel mit dem Vertrauen und der Treue ihrer Kunden und nehmen schwerwiegende Folgen für ihre Compliance, die Reputation ihrer Marke und ihren Aktienwert in Kauf.
Im Rahmen einer branchenübergreifenden Studie im Auftrag von Workshare befragte das unabhängige Marktforschungsinstitut Loudhouse leitende Sicherheits- und Risikoexperten großer deutscher Unternehmen. Die Ergebnisse der Umfrage zeichnen ein Besorgnis erregendes Bild. Denn obwohl die Befragten Datenschutz und Informationssicherheit als ihre wichtigsten Anliegen nannten, zeigt die Studie, dass es den meisten Entscheidern an Wissen und Bewusstsein über das Risiko für ihre vertraulichen Daten fehlt.
Die wichtigsten Ergebnisse der Befragung unter deutschen Unternehmen im Überblick:
- Die drei größten potenziellen Informationslecks sind nach Ansicht der Befragten E-Mail-Inhalte (74%), tragbare Geräte (64%) und E-Mail-Anhänge (54%).
- Durchschnittlich 70% der Befragten sind „besorgt" oder „sehr besorgt", dass Verletzungen der Informationssicherheit in ihrem Unternehmen negative Folgen haben könnten. Dabei spielt es keine Rolle, ob die Informationslecks durch vorsätzliche Weitergabe von Daten oder unabsichtlich im normalen Umgang mit ihnen auftreten.
- Die wichtigsten Gründe, weshalb deutsche Unternehmen sich um ihre Informationssicherheit Gedanken machen, sind der Studie zufolge der Ruf ihres Unternehmens (84%), der Schutz von Kundendaten (82%) sowie das Ziel, auch im Krisenfall den Geschäftsbetrieb aufrecht zu erhalten (80%). Bemerkenswert ist, dass der Schutz geistigen Eigentums, eigentlich das Herzstück der wissensgetriebenen deutschen Wirtschaft, mit 48% nur auf dem letzten Platz der Prioritäten rangiert.
- Es stimmt zuversichtlich, dass 78% der befragten Unternehmen Regeln zum sicheren Umgang mit sensiblen Informationen definiert haben. Der Umstand, dass 64% der Befragten „einigermaßen sicher" oder „sehr sicher" sind, dass ihre Mitarbeiter diese Richtlinien bei ihrer täglichen Arbeit auch wirklich befolgen, zeigt zugleich die eigentliche Schwachstelle auf: die Sicherstellung der Umsetzung der Regeln. Von den Befragten mit formalen Regeln gaben nur 26% an, irgendeinen Mechanismus zu nutzen, der die Einhaltung dieser Richtlinien überwacht. Dieses Ergebnis ist besonders kritisch zu bewerten, weil man sich fragen muss, welchen Wert man Richtlinien beimessen kann, wenn ihre Einhaltung nicht durchgesetzt wird.
- Dokumente aller Art bilden unbestritten das Rückgrat für die Kommunikation in Unternehmen und darüber hinaus. Sie sind der wichtigste Informationsträger zum Austausch zwischen Kollegen, Partnern und Kunden. Dennoch können sie Inhalte preisgeben, die eigentlich nicht für unberechtigte Dritte bestimmt sind. Deshalb ist die automatisierte Durchsetzung von Dokumentensicherheit und Compliance entscheidend für die Absicherung sensibler oder geheimer Informationen. Trotzdem gaben nur 46% aller in der Studie befragten Sicherheits- und Risikoexperten an, solche Mechanismen eingerichtet zu haben.
- Obwohl die Befragten meinten, dass verärgerte Mitarbeiter und Industriespionage nicht weit verbreitet seien, verschicken dennoch alle Mitarbeiter laufend sensible Informationen, ohne dass effektive Schutzmechanismen vorhanden wären, die auch die versehentliche Datenweitergabe verhindern. Offensichtlich beginnen auch große Unternehmen gerade erst, das Risiko dieser scheinbar unkritischen Prozesse ernst zu nehmen.
- Dass es keine strengeren Mechanismen für die Durchsetzung von Informationssicherheit gibt, könnte an der Verwirrung über geeignete Kontrollansätze liegen. 28% der Befragten wollen die Inhaltskontrolle in den Händen der Endanwender belassen. Das wird das Problem aber nicht lösen. 56% möchten lieber ein Gleichgewicht zwischen Endnutzern und automatisierter Compliancekontrolle der Inhalte erhalten. Nur 14% wollen die Endanwender an die Hand nehmen und einen voll-automatisierten Prozess für die Kontrolle von Inhalten einsetzen.
- Erschreckenderweise glauben viele der befragten Unternehmen (42%) noch immer, dass die Umwandlung eines Dokuments in das PDF-Format es sicher genug für den Versand macht. Das Gegenteil ist der Fall: Während PDF noch immer als das beliebteste Format gilt, um wichtige Dokumente für viele Empfänger zugänglich zu machen oder online zu stellen, können PDF-Dokumente dennoch sensible Informationen enthalten - sowohl sichtbar im Text, als auch in den mit der Datei verbundenen Metadaten.
Frank Böning, Sales Director EMEA bei Workshare, sagt: „Mitarbeiter werden immer mobiler. Unternehmen müssen deshalb Richtlinien und Mechanismen einrichten, die durchsetzen, dass sensible Informationen nicht über E-Mails, Anhänge oder tragbare Geräte wie USB-Sticks, MP3-Player oder andere mobile Geräte nach außen gelangen können. Die Tatsache, dass viele Unternehmen keine automatisierte Lösung besitzen, um Richtlinien zur intelligenten Eindämmung von Datenlecks durchzusetzen, ist alarmierend."
„Eine Reihe kürzlich aufgedeckter Schwachstellen bei der Kriegsveteranenbhörde der USA, bei AT&T, Google, General Electric und anderen führenden Institutionen und Unternehmen bieten Beispiele für dringenden Handlungsbedarf", so Frank Böning weiter. „Bei den heutigen behördlichen und rechtlichen Rahmenbedingungen können es sich Manager nicht mehr leisten, einfach darauf zu vertrauen, dass ihre Mitarbeiter richtig handeln, oder schlimmer noch, einfach keinen Fehler machen, durch den kritische Informationen an die Öffentlichkeit gelangen. Aktuelle Presseberichte und damit verbundene PR-Albträume von europäischen Unternehmen beweisen, welche Dynamik hinsichtlich sensibler Daten entstehen kann."
Die Workshare-Umfrage zu Informationsrisiken hat Loudhouse Research im August 2006 durchgeführt. Im Auftrag von Workshare befragte die unabhängige Marktforschungs-beratung mit Sitz in Großbritannien 200 Sicherheits- und Risikoexperten in Unternehmen mit über 1.000 Mitarbeitern in Deutschland, Großbritannien, Japan und Australien. Die Teilnehmer der Umfrage waren verantwortlich für Informationssicherheit, Risiko oder Compliance bei Finanzdienstleitungsunternehmen, im Einzelhandel, im öffentlichen Sektor oder im Bereich Business Services.