IDC-Analystin

Mitarbeiter bei IT-Sicherheit vergessen

09.08.2010 von Christiane Pütter
Ganzheitliche IT-Sicherheitskonzepte scheitern daran, dass Entscheider den Endnutzer zu wenig einbeziehen. Das ist aber dringend nötig, so Lynn-Kristin Thorenz, Analystin bei IDC Central Europe.
Für Lynn-Kristin Thorenz, Consulting Director bei IDC Central Europe, fängt IT-Sicherheit immer beim Endnutzer an.

Solange Unternehmen IT-Security als reines Technik-Thema betrachten, werden Sicherheitsbemühungen scheitern. Der Mitarbeiter muss in den Mittelpunkt, fordert IDC-Analystin Lynn-Kristin Thorenz im Interview mit CIO.de.

Frau Thorenz, bekommt der Endanwender im Bemühen um IT-Sicherheit genug Aufmerksamkeit?

Thorenz: Derzeit noch nicht. IT-Sicherheit ist immer noch in erster Linie Technologie-getrieben. In zweiter Linie geht es um Compliance-Vorgaben wie das Bundesdatenschutzgesetz und Richtlinien des Unternehmens. Erst danach beschäftigen sich Firmen mit der Situation der Endnutzer.

Woran liegt das?

Thorenz: IT-Security wird immer komplexer. Nur wenige Firmen sind heute auf dem Stand, den sie morgen brauchen. Es ist nicht leicht, sich einen Überblick zu verschaffen.

Was heißt das konkret für den Unternehmensalltag?

Thorenz: Nicht für alle Mitarbeiter gelten die gleichen Regeln. Ein Handelskonzern zum Beispiel sollte nicht allen Mitarbeitern den Zugang zu sozialen Netzwerken verweigern. Die Marketingabteilung braucht heutzutage Access zu Facebook, um die Marke dort zu positionieren. Es kann sinnvoll sein, Xing ins Customer Relationship Management-System einzubinden. Produktentwickler dagegen brauchen diesen Zugang vielleicht nicht.

Plädieren Sie für eine zentrale Verwaltung der verschiedenen Berechtigungen?

Thorenz: Optimal wäre es, wenn jede Abteilung einen eigenen IT-Sicherheitsbeauftragten hätte. Es wechseln ja auch Mitarbeiter die Abteilung, dann muss gewährleistet sein, dass sie über spezielle Compliance-Vorgaben und Datenschutz-Richtlinien informiert werden. Das ist natürlich mit Aufwand verbunden, aber anders geht es nicht mehr.

Führungsriege muss Vorbild sein

Wen sehen Sie in der Pflicht bei Schulungen und Awareness-Trainings?

Thorenz: Das liegt auf jeden Fall in der Verantwortung der Geschäftsleitung. Hier muss die Führungsriege Vorbild sein.

Wenn Sie einen Blick in die Zukunft wagen: Welche Themen rund um IT-Sicherheit werden wir in fünf Jahren besprechen?

Thorenz: (lacht) Immer noch die gleichen: Dass die Security den Cyber-Kriminellen hinterherhechelt. Ernsthaft: Natürlich hat die kommende Generation an Mitarbeitern ein anderes Verständnis im Umgang mit moderner Kommunikation. Darauf müssen sich die Unternehmen einstellen.

Lynn-Kristin Thorenz ist Director Research & Consulting bei IDC Central Europe.