Auch Sabotage ist ein Risikofaktor


Heute hat McAffee die Ergebnisse einer Studie bekannt gegeben, die das wahre Ausmaß der IT-Sicherheitsrisiken widerspiegelt, denen Unternehmen in Europa   aufgrund des Verhaltens ihrer Mitarbeiter ausgesetzt sind. Diese "Bedrohung von innen" unterläuft die umfangreichen Sicherheitslösungen und Investitionen, die Unternehmen getätigt haben, um sich vor IT-Bedrohungen zu schützen. Es muss nur ein einziger Mitarbeiter ein infiziertes Gerät mit dem IT-System verbinden, um Schaden im gesamten Unternehmensnetzwerk anzurichten. Die von McAfee und ICM Research durchgeführte Studie analysierte das Mitarbeiterverhalten in ganz Europa. Festgestellt wurden sowohl Ignoranz als auch Fahrlässigkeit am Arbeitsplatz bei der Benutzung von IT-Ressourcen. Basierend auf den Ergebnissen hat McAfee vier Typen von Mitarbeitern identifiziert, die ihre Arbeitsumgebung Risiken aussetzen.  

Die wichtigsten Ergebnisse der Studie geben Einblicke in die interne Sicherheitssituation eines Unternehmens:

  • Fast ein Viertel der Befragten (24%) nutzt ihr Firmen-Notebook zuhause für den Zugang ins Internet. Dies erhöht die Wahrscheinlichkeit einer Infizierung des Geräts und des Firmennetzwerks deutlich.
  • Einer von fünf Beschäftigten (21%) überlässt Familie oder Freunden die Nutzung des Firmen-Notebooks oder -PCs zum Internet-Surfen.
  • Fast zwei Drittel der Befragten (62%) gaben an, dass sie nur sehr begrenztes Wissen über IT-Sicherheit haben.
  • Mehr als die Hälfte (51%) schließen ihre eigenen Peripherie-Geräte an den Firmen-PC an. Ein Viertel davon macht dies täglich.
  • Etwa 60% gaben an, persönlichen Content auf ihrem Arbeits-PC abzulegen: Einer von zehn Mitarbeitern lädt unerlaubten Content am Arbeitsplatz herunter.

Die Gefahr der Infizierung

Mitarbeiter, die ihre Firmen-Notebooks an einer ungeschützten Heim-Internet-Verbindung nutzen, stellen eine ernsthafte Bedrohung für die IT eines Unternehmens dar. Ein ohne aktuelle Patches versehenes Gerät ist einer Reihe von Bedrohungen ausgesetzt, von Viren über Trojaner bis hin zu Spyware. Wird es dann an das Firmennetzwerk angebunden, kann dieses infiziert werden. Die Tatsache, dass so viele Leute nicht wissen, wie Security-Software auf Rechnern aktualisiert wird, macht dieses Problem noch akuter. Mehr als die Hälfte (51%) der Befragten wissen kaum, wie sie den Viren-Schutz auf ihrem Firmen-PC oder Notebook aktualisieren können.

Wer sein Firmen-Notenbook der Familie oder Freunden zur Nutzung überlässt, setzt das Gerät und darauf abgelegte Arbeitsdokumente einem noch größeren Risiko aus. Ein Kind könnte beispielsweise ein infiziertes Attachment in einer E-Mail öffnen oder ein Freund illegalen Content herunterladen. Damit wird das Gerät zu einer Gefahr für das Firmennetzwerk. In Deutschland gaben 12% der Befragten an, ihren Computer bzw. Laptop am Arbeitsplatz oder zuhause Freunden bzw. Familienangehörigen für den Internetzugriff zu überlassen. Der europäische Durchschnitt liegt bei 21%.

Peripheriegeräte im Überfluss

Unternehmen sind auch einer Infizierung über die zunehmende Anzahl von Peripheriegeräten ausgesetzt, die Mitarbeiter an den Arbeitplatz mitbringen. Diese sind mit einer ganzen Reihe von Geräten wie USB-Sticks, Abspielgeräten von digitalen Audiodaten wie dem iPod, sowie Digitalkameras, Mobiltelefonene und vielen weiteren ausgerüstet. Das primäre Risiko ist auch hier die Übertragung von Malware auf das Netzwerk. Aber auch der Datenklau mithilfe solcher Geräte stellt ebenfalls ein Risiko für die Unternehmen dar. In Deutschland gaben 46% der Befragten an, zumindest ein privates Gerät an den Büro-PC angeschlossen zu haben. Der europäische Durchschnitt liegt bei 51%.

Content, Content, Content

In ganz Europa hat nur einer von zehn Angestellten angegeben, am Arbeitsplatz unerlaubte Inhalte herunterzuladen. In Deutschland gaben 9% der Befragten an, unerlaubte Inhalte an ihrem Arbeitsrechner herunter zu laden. Unternehmen sind dabei sowohl durch eine mögliche Infizierung als auch vom rechtlichen Standpunkt aus Risiken ausgesetzt. Wenn der Content illegal ist, riskiert nicht nur der einzelne Mitarbeiter seinen Arbeitsplatz, sondern auch das Unternehmen kann dafür verantwortlich gemacht werden.

Bösartige Aktivitäten

Während die meisten Mitarbeiter ihren Arbeitgeber durch Unwissenheit oder Ignoranz gefährden, ist eine kleine Minderheit absichtlich aktiv, um der Firma Schaden zuzufügen. 5% der Befragten gaben an, in Bereiche des IT-Systems eingedrungen zu sein, für die sie keine Berechtigung haben. Dazu gehören auch Personal- und Buchhaltungsdaten. Eine sehr kleine Anzahl der Befragten gab zu, ohne Erlaubnis auf bestimmte Informationen im Netzwerk zuzugreifen. Die Anwesenheit von nur einem solcher Innentäter in einem Unternehmen kann bereits ernsthafte Konsequenzen sowohl für die IT-Sicherheit als auch die Integrität vertraulicher Unternehmensinformationen  haben.

Basierend auf diesen Ergebnissen hat McAfee vier für ein Durchschnittsunternehmen typische Mitarbeiterprofile herausgearbeitet:

<ul">

  • Der Sicherheits-Softie – Zu dieser Gruppe gehört die überwiegende Mehrheit der Angestellten.  Sie haben ein sehr begrenztes Wissen über Sicherheit und gefährden ihr Unternehmen, indem sie ihr Firmen-Notebook zuhause nutzen oder es der Familie zum Internet-Surfen überlassen.

  • Der Gadget-Freak – Dazu zählen jene Mitarbeiter, die mit einer kompletten Ausrüstung von digitalen Geräten am Arbeitsplatz anrücken und diese an den PC anschließen.

  • Der Illegale – Das sind Angestellte, die firmeneigene IT-Ressourcen in unerlaubtem Rahmen nutzen, etwa zum Speichern von Content oder zum Spielen.

  • Der Saboteur – Eine kleine Minderheit von Mitarbeitern hackt sich vorsätzlich in Bereiche des IT-Systems ein, für die keine Berechtigung besteht, oder infiziert das Netzwerk absichtlich von innen. Bereits ein einziger Innentäter kann einen ernsthaften Vorfall verursachen.

  •  

    • Themengebiete
    Themenverwandte Artikel
    Risk Academy

    Die Intensiv-Seminare der RiskAcademy® konzentrieren sich auf Methoden und Instrumente für evolutionäre und revolutionäre Wege im Risikomanagement.

    Seminare ansehen
    Newsletter

    Der Newsletter RiskNEWS informiert über Entwicklungen im Risikomanagement, aktuelle Buchveröffentlichungen sowie Kongresse und Veranstaltungen.

    jetzt anmelden
    Lösungsanbieter

    Sie suchen eine Softwarelösung oder einen Dienstleister rund um die Themen Risikomanagement, GRC, IKS oder ISMS?

    Partner finden
    Ihre Daten werden selbstverständlich vertraulich behandelt und nicht an Dritte weitergegeben. Weitere Informationen finden Sie in unseren Datenschutzbestimmungen.