Security-Richtlinien gehen an der Realität vorbei

Sicherheits-Policies scheitern am Büro-Alltag

28.11.2008 von Christiane Pütter
Anwender verstoßen gegen Security Policies, weil sie nicht mit ihrem Arbeitsalltag übereinstimmen. Das haben IT-Entscheider noch nicht verstanden, wie eine Studie belegt.
Einschätzung der IT-Entscheider bzgl. Fehlverhaltens der Belegschaft.
Foto:

Dass der entscheidende Faktor in Sachen IT-Sicherheit der Mensch ist, setzt sich auch unter Technik-Anbietern durch. Netzwerkausrüster Cisco wollte es genauer wissen und hat sowohl IT-Entscheider als auch Endanwender nach Policies und Datenschutz befragt. Die Einschätzungen klaffen erheblich auseinander.

Beispiel Regelverstöße: Weltweit glauben 47 Prozent der IT-Entscheider, der gemeine Enduser habe einfach nicht kapiert, wie groß die Risiken sind (Deutschland: 52 Prozent). 38 Prozent unterstellen zudem pure Gleichgültigkeit (Deutschland: 37 Prozent). Fragt man dagegen die Belegschaft, so sagen 42 Prozent, die Policies hätten nichts mit ihrem Arbeitsalltag zu tun (Deutschland: 36 Prozent).

Mehr als jeder zweite Deutsche (55 Prozent) erklärt, er brauche für sein Tagwerk eben Programme, zu denen er laut Policies keinen Zugang hätte. Das scheint ein speziell deutsches Problem zu sein, denn weltweit sagt das "nur" jeder Dritte. Kommentar der Studienautoren: Die IT muss sich mit den Endnutzern zusammensetzen und ihre Richtlinien an deren Arbeitsrealität orientieren.

Im Vergleich der weiteren Ergebnisse bestätigen die Deutschen den Ruf der braven Bundesbürger: Bei fast allen Fragen zur persönlichen Nutzung des Arbeitsplatz-Rechners liegen sie unter dem Schnitt. So gucken 72 Prozent der Deutschen immer mal wieder in ihren privaten Account (weltweit: 78 Prozent). 38 Prozent verschicken private Mails über den Büro-Account (weltweit: 42 Prozent). 28 Prozent der Deutschen nutzen den Dienst-Computer für Online-Banking (weltweit: 48 Prozent) und 26 Prozent shoppen im Internet (weltweit: 36 Prozent).

Zahl der User, die Interna nach draußen trägt im internationalen Vergleich.
Foto:

Dennoch sind deutsche IT-Entscheider überdurchschnittlich misstrauisch. Fast zwei von dreien (64 Prozent) glauben, die Belegschaft rufe nicht-genehmigte Programme und Anwendungen auf. Im globalen Schnitt sind es neun Prozent weniger.

Die Autoren haben bei Sicherheitsverstößen im alltäglichen Umgang der User mit ihrem PC nachgehakt. Auch hier bleiben die Deutschen fast immer unter dem Durchschnitt. So geben 28 Prozent der Bundesbürger an, sich nicht jedes Mal auszuloggen, wenn sie den Rechner verlassen (weltweit: 37 Prozent). 14 Prozent haben schon mindestens einmal Unternehmensdaten auf mobilen Endgeräten aus dem Büro getragen (weltweit: 22 Prozent). Dreizehn Prozent sagen ihren Kollegen Passwörter weiter (weltweit: 18 Prozent).

Und jeder fünfte Deutsche spricht mit engen Freunden über seine Arbeit und verrät dabei auch Interna (weltweit: 21 Prozent). Auf die Frage nach dem Warum sagten 44 Prozent aller Studienteilnehmer (hier gibt es keine länderspezifische Auswertung), eine Idee oder ein Gedanke sei aus ihnen herausgesprudelt. 30 Prozent wollten Dampf ablassen und fast ebenso viele (29 Prozent) geben an, sie hätten darin nichts Schlechtes gesehen.

Deutsche ändern Sicherheitseinstellungen selten

Ein weiteres Ergebnis der Studie: Fast nirgendwo auf der Welt ändern Angestellte eigenmächtig ihre Sicherheitseinstellungen so selten wie in Deutschland. Vorausgesetzt, die Angaben entsprechen der Wahrheit, sind es in der Bundesrepublik sechs Prozent. Im weltweiten Schnitt sind es 14 Prozent, wobei China mit 42 Prozent, Brasilien mit 26 Prozent und Indien mit 20 Prozent nach oben ausreißen.

Hauptgrund für das eigenmächtige Ändern von Sicherheitseinstellungen ist der Wunsch, eine bestimmte Web-Site zu besuchen, unabhängig von den Firmen-Richtlinien (52 Prozent der Nennungen). Außerdem findet mehr als jeder Dritte (35 Prozent), das sei seine Sache und er erbitte Respekt für die Privatsphäre. Fast jeder Fünfte (19 Prozent) meint, das kriege doch eh’ keiner mit.

Was nur bedingt zu stimmen scheint. Immerhin gibt weltweit mehr als jeder zweite IT-Entscheider (53 Prozent) an, mehrmals jährlich Angestellte mit ihren Regelverstössen zu konfrontieren. Sechs Prozent tun das monatlich, fünf Prozent mehrfach im Monat.

Datenverlust durch unerlaubten Gebrauch

Insgesamt macht die Mehrzahl der IT-Entscheider (53 Prozent) die Belegschaft für ein bis 24 Prozent des Datenverlustes verantwortlich. 16 Prozent glauben sogar, der unerlaubte Datengebrauch verursache 25 bis 49 Prozent des Datenverlustes.

Cisco hat für die Studie "The Challenge of Data Leakage
For Businesses and Employees Around the World" vom Marktforscher Insight Express 2000 Angestellte und IT-Entscheider aus zehn Ländern befragen lassen (Deutschland, USA, Großbritannien, Frankreich, Italien, Japan, China, Indien, Australien und Brasilien).