Fast könnte man meinen, den Analysten tun CIOs leid: Datenquellen sprudeln vor Informationen aus verschiedensten Abteilungen, die Daten sollen dynamisch zwischen Verkäufern und Kunden, Kollegen und Geschäftspartnern fließen, und das möglichst schnell. Mitarbeiter nehmen Verträge und Strategie-Papiere auf dem USB-Stick mit nach Hause, und gleichzeitig lassen sich Gesetzgeber und Behörden immer neue Richtlinien einfallen. Den Autoren der Studie ist die Problemlage bewusst.
Zwei Drittel der befragten Unternehmen geben an, bei ihnen existiere eine Strategie, um die Daten im Gebrauch von Endgeräten aller Art zu schützen - dennoch erklären nur 35 Prozent ihre Strategie für angemessen. Da erstaunt es nicht, dass eine überwältigende Mehrheit von 85 Prozent offen zugibt, kaum einschätzen zu können, ob sich die User an Regeln und Richtlinien halten.
Empfindlichen Daten auf der Spur
Vor diesem Hintergrund raten die Analysten, systematisch in einzelnen Schritten vorzugehen. Zunächst einmal müssten die IT-Entscheider, so Aberdeen wörtlich, "verstehen, wo die empfindlichen Daten leben". Durch welche Geräte, Kanäle und Anwendungen reisen sie auf ihrem Weg durch das Unternehmen? Dann sind Entscheidungen über geeignete Sicherheitsmaßnahmen zu treffen. Damit die auch befolgt werden, sind Mitarbeiter-Schulungen nötig.
Die Autoren der Studie gehen davon aus, dass die führenden Lösungen zur Absicherung von Endgeräten in den genannten Punkten Unterstützung bieten. Von Datenverschlüsselung über Anwendungs-Kontrollen bis zu Content-Analysen - die Software ist da.
Die Schwierigkeiten liegen denn auch weniger bei der Technik als viel mehr beim Menschen. So gilt der Verlust oder Diebstahl von Laptops und anderen mobilen Geräten oder auch von herausnehmbaren USB-Sticks und CDs als eines der Hauptrisiken. Da sind sich alle Befragten einig.
Bei zwei anderen Bedrohungs-Szenarien gehen die Einschätzungen jedoch auseinander. Die Analysten von Aberdeen unterscheiden in besonders erfolgreiche Unternehmen (Best in Class), Durchschnittsfirmen (Industry Norm) und Trödler (Laggards). Während sich 44 Prozent der Klassenbesten wegen Sicherheitsrisiken aufgrund von unbefugter Installation oder Nutzung sorgen, sind es unter den Trödlern nur 25 Prozent. Umgekehrt befürchten die allerdings zu 67 Prozent, autorisierte Angestellte könnten Daten missbrauchen - von den Klassenbesten glauben das "nur" 33 Prozent.
Dass die User Auditing und Kontrollen ihres Rechners nicht akzeptieren, gilt als Herausforderung Nummer Eins. Bestes Gegenmittel: Trainings und Schulungen. Darauf setzen 78 Prozent der Unternehmen.
Privates soll privat bleiben
Die Firmen unterscheiden sich auch im Hinblick auf die Treiber für den Einsatz von Endgeräteschutz-Lösungen: CIOs in "Best in class"-Unternehmen wollen vor allem vermeiden, dass persönliche oder private Daten öffentlich gemacht werden könnten (67 Prozent der Nennungen in dieser Gruppe, aber nur 50 Prozent bei den Trödlern). Dagegen haben die Nachzügler große Angst vor dem Verlust geistigen Eigentums wie Plänen oder Produkt-Entwürfen (58 Prozent der Nennungen). Die Musterschüler scheinen sich in diesem Punkt sicherer zu fühlen, unter ihnen geben das nur 44 Prozent an. Weitgehend einig sind sich die Firmen darin, mit dem Absichern der Endgeräte dem Verlust von Kundendaten vorbeugen zu wollen.
Damit das klappt, halten die Analysten folgende Empfehlungen bereit:
-
Arbeitsabläufe und Best Practices zum Schutz der Endgeräte entwerfen,
-
die Sicherheit immer weiter optimieren, indem Informationen aus dem Gelingen und Misslingen der Arbeitsabläufe ausgewertet werden,
-
Lösungen auswählen, die für ein zentrales Sicherheits-Management, ein umfassendes Reporting und ein automatisiertes Überprüfen der Sicherheits-Policies geeignet sind und
-
die Mitarbeiter in allen Fragen um die Erfordernisse der Sicherheit von Endgeräten schulen.
Aberdeen hat für die Studie "Endpoint security strategies" mit mehr als 135 Unternehmen gesprochen.