Datenverlust ist immer ärgerlich, klar. Besonders brisant wird es allerdings, wenn vertrauliche Informationen von CEOs oder anderen Top-Managern verloren gehen. Und das passiert gar nicht so selten: Im vergangenen Jahr in jedem fünften Unternehmen, wie aus einer aktuellen Studie des Security-Anbieters Websense unter 1000 IT-Managern hervorgeht. Brisant wird die Lage dann oft für den CIO, denn Pannen wie diese können einen IT-Chef durchaus den Job kosten. Derartigen Risiken spürt die Umfrage genauso nach wie dem Umstand, dass ohne CIOs offenbar nichts läuft in Sachen Sicherheit.
Offensichtlich hat es sich in vielen Firmen nicht bewährt, das Security-Management in andere Hände als die des CIOs zu legen. In jedem Fall ist der CIO der gefragteste Nothelfer, wenn wirklich schlimme Datenpannen passieren. Websense fragte, wer von bisher nicht involvierten Funktionsträgern nach solchen Fällen in Gespräche über Datensicherheit neu miteinbezogen wird. 43 Prozent der Befragten nannten den CIO.
Zwei Fünftel gaben „Managing Director“ an. Jeweils 35 Prozent der Befragten zogen den CEO oder den Compliance-Chef hinzu; jeweils 28 Prozent den Leiter der Rechtsabteilung oder den Aufsichtsrat. Weitere jeweils 12 Prozent banden außerdem die Finanz- und Vertriebschefs ein.
In 32 Prozent der befragten Firmen gingen in den vergangenen zwölf Monaten Mitarbeiterdaten verloren. 27 Prozent mussten erleben, dass Unternehmensdaten von ungeschützten Mobilgeräten verschwanden. Eine Vielzahl von Datenpannen passierte nicht ganz so häufig, aber doch in etwa in jedem fünften Unternehmen: der Verlust von Kundendaten oder wie erwähnt von Daten aus dem Top-Management beispielsweise.
Ebenso oft kam es zu Datendiebstahl durch Mitarbeiter, wurden interne oder externe Compliance-Sicherheitsprüfungen nicht bestanden oder wurden vertrauliche Daten in sozialen Netzwerken gepostet. 16 Prozent wurden Opfer von Advanced Persistent Threats.
25 Prozent reagierten auf Wikileaks
Die Websense-Studie zeigt ferner auf, dass sich offenbar etwa jedes vierte Unternehmen durch öffentlichkeitswirksame Diskussionen schrecken lässt und deshalb intern etwas verändert. 25 Prozent taten das wegen der Debatte um Wikileaks. Sogar 27 Prozent reagierten auf den Datenverlust bei Sony, fast jedes fünfte Unternehmen auf die vergleichbar prominenten Fälle RSA und Epsilon. Nur für 15 Prozent war hingegen die Malware ZeuS der Anstoß für Veränderungen.
47 Prozent der Firmen stoppten als Reaktion auf interne oder externe Pannen die Nutzung von Cloud-Applikationen oder verzögerten ihren geplanten Einstieg. 45 Prozent modifizierten ihre Security-Richtlinien. Ebenfalls jeweils zwei Fünftel erhöhten ihren Ausgaben für Datensicherheit, führten neue automatisierte Restriktionen für Mitarbeiter ein oder implementierten neue Lösungen. 28 Prozent begannen oder beschleunigten ein Projekt zur Prävention von Datenverlust.
In der Zusammenarbeit mit externen Zulieferern setzen inzwischen 37 Prozent einen vollständigen Sicherheitscheck voraus; 32 Prozent lassen sich schriftlich versichern, dass die Hausaufgaben gemacht sind. 15 Prozent sagen, solche Regelungen bestünden in ihrem Unternehmen zwar auch, aber Mitarbeiter setzten sich darüber hinweg. Weitere 9 Prozent würden sich derartige Maßnahmen wünschen, 4 Prozent lehnen sie ab.
Dabei sollten IT-Manager schon aus Sorge um die eigene Karriere darauf bedacht sein, Pannen unter allen Umständen zu vermeiden. 37 Prozent der Befragten rechnen durchaus mit einer Entlassung des zuständigen IT-Managers, wenn Daten von Topmanagern verloren gehen oder wenn kritische Unternehmensdaten auf ungeschützten mobilen Endgeräten transportiert werden.
Jeweils mehr als ein Drittel sieht den Job des CIOs unter Umständen als gefährdet an, wenn ein externes Audit verpatzt wird, Mitarbeiter ungestört auf Hochrisikoseiten im Internet unterwegs sein können oder wenn es wiederholt zu einem größeren Datenverlust kommt. Auch verschwundene Compliance-Daten und allzu Vertrauliches auf Social Media-Seiten wird von ähnlich vielen als möglicher Entlassungsgrund gesehen.
13 Prozent frustrierte Einzelkämpfer
29 Prozent der Befragten gehen davon aus, vor moderner Malware absolut geschützt zu sein. 54 Prozent halten zwar ihre Schutzmechanismus für so gut wie möglich, gehen aber davon aus, dass trotzdem etwas schief laufen kann. 13 Prozent sind frustriert darüber, im Unternehmen keine Unterstützung für bessere Security-Lösungen zu finden.
Die Studie „Security Pros and Cons“ ist bei Websense erhältlich.