Riesige Sicherheitslücken
Mobile Security lässt CIOs schlecht schlafen
Da klaffen Wahrnehmung und Wirklichkeit auseinander: 91 Prozent der in einer Studie Befragten glauben, dass ihre persönlichen Daten und Online-Identitäten bei Unternehmen sicher sind. Dies ergab eine Umfrage vom April 2013 des Datenschutzanbieters Varonis unter 200 Anwendern: Dabei hinken die meisten Unternehmen in der IT-Security gewaltig hinterher.
Nutzer legen großen Wert auf DatenschutzDatenschutz: 97 Prozent der Befragten würden eher eine Geschäftsbeziehung mit einer Firma eingehen, wenn diese ihre Daten schützt. Die restlichen drei Prozent dürfte sich auf Mitglieder der Piraten-Partei verteilen - oder Realisten. Alles zu Datenschutz auf CIO.de
Immer mehr Security Breaches
Auch wenn wir es gern anders hätten: Verletzungen des Datenschutzes nehmen immer mehr zu. 93 Prozent der großen Unternehmen und 87 Prozent der kleineren Unternehmen berichteten 2012 über Datenschutzverletzungen, so die Varonis-Studie. Die Gefahren sind vielfältig: Malware, Spyware über Hacking und DDoS-Attacken machen IT-Security-Spezialisten zu schaffen. Dem haben Firmen wenig entgegenzusetzen.
Zwar haben viele Nutzer dazu gelernt und bemühen sich selbst, so gut es geht, um Datenschutz. 71 Prozent der Befragten gaben an, Endbenutzer-Lizenzverträge und rechtliche Hinweisen bis zum Schluss durchzulesen. Für mehr Datenschutz würden 54 Prozent der Befragten sogar zahlen. Nur fangen die wenigsten bei sich an und verzichten auf vernünftige Sicherheit für ihre SmartphonesSmartphones. Alles zu Smartphones auf CIO.de
Kaum Identity-Access-Management
Mobile Security treibt den meisten CIOs Angstschweiß auf die Stirn: Die Sicherheitslücken sind oft riesig. Ein bisschen können sie aufatmen; die Mobile Security macht Fortschritte: 77 Prozent aller Smartphone-Besitzer schützt dies mit einem Passwort. Fast die Hälfte schützt E-Mails und Online-Dienste mittels einer zweistufigen Authentifizierung. Das heißt zum Beispiel, dass der Nutzer seine Identität mit einem Zweitgerät bestätigen muss, etwa durch eine SMS an sein Smartphone. Von einem sinnvollen Identity-Access-Management sind Firmen oft weit entfernt. Wenn der Nutzer sein Privathandy sichert - dem Unternehmen hilft das nicht viel.
- 9 Tipps für den Datenschutz
Ein paar einfache Grundregeln, zusammengestellt vom Datenschutz-Anbieter Varonis, erhöhen die Online-Sicherheit. - 1. Wo sind die Daten?
Informieren Sie sich, wo Ihre persönlichen Daten gespeichert sind, wer Zugang dazu hat und was Service-Provider mit diesen Daten anfangen können, ohne Sie um Erlaubnis fragen zu müssen. - 2. Sensible Daten nicht per Mail
Schicken Sie niemals sensible Daten, wie etwa Kreditkarteninformationen, per Email. Hackern ist es ein Leichtes, an unverschlüsselte Daten heranzukommen. - 3. Starke Passwörter nutzen
Starke Passwörter sind der beste Schutz: Ein Mix aus Ziffern, Buchstaben und Sonderzeichen sind der beste Schutz. Und ein neues Passwort für jede Seite. Die folgenden Tipps gelten für die Unternehmensseite. - 4. Authentifikation
Das können Unternehmen tun: Sorgen Sie dafür, dass sich die Mitarbeiter möglichst über eine zweistufige Anmeldung in den Account einloggen. So haben Sie mehr Kontrolle. Das ist teuer, lohnt sich aber. Das gilt nur Firmen-intern, denn oft schreckt eine zweistufige Authentifizierung ab. - 5. Authorisierung
Jeder Mitarbeiter sollte nur so viele Zugänge haben wie nötig. Statten Sie die Kollegen nicht pauschal mit Berechtigungen aus – aber achten Sie darauf, dass das Zuweisen neuer Berechtigungen schnell und unkompliziert ist. Sie wollen die Mitarbeiter nicht durch langsame Prozesse verärgern und aufhalten. - 7. Aufmerksamkeit
Aktivitäten sollten ab und zu auf ungewöhnliche Verhaltensweisen analysiert werden. Starke Aktivität nachts um eins? So etwas sollte überprüft werden. Mit ein wenig Achtsamkeit kommen Sie Hackern oder Spyware schnell auf die Spur. - 8. Nur auf geschützten Plattformen unterwegs
Mitarbeiter sollten nur geschützte und authorisierte Plattformen verwenden. Das stellt CIOs vor große Probleme. Oft beachten Mitarbeiter die BYOD-Regeln nicht oder lagern wichtige Daten auf externen Servern. Das kann schnell zu Schaden führen. Erklären Sie Ihren Mitarbeiter wie wichtig es ist, nichts auf unauthorisierten Plattformen zu lagern. - 9. Die Balance finden
Schaffen Sie eine Balance zwischen Produktivität und Sicherheit. Mitarbeiter dürfen nicht durch umständliche oder unpraktische Sicherheitsmaßnahmen daran gehindert werden, effizient und modern zu arbeiten. - 6. Zugänge prüfen
Jeder Zugang zu verschiedenen Systemen muss überwacht werden. Achten Sie darauf, ob sich nicht vielleicht zu viele Mitarbeiter anmelden. Gleichzeitig muss die Privatsphäre der Mitarbeiter geschützt werden. Der Sicherheitsbeauftragte sollte sich daher mit dem Betriebsrat abstimmen, wie viel Kontrolle erlaubt ist. Und überprüfen Sie gelegentlich, ob alle Zugänge noch aktuell sind.
Keine persönlichen Daten in die Cloud
User sind oft der Cloud gegenüber misstrauisch und vermeiden Diensten wie Dropbox oder Evernote. Knapp ein Drittel gab an, dort gar keinerlei persönliche Daten zu speichern. CIO.de-Leser misstrauen Dropbox sogar noch mehr. Andererseits: 38 Prozent gaben an, sensible Daten in der Wolke aufzubewahren. Was CIOs einen Schauer über den Rücken laufen lassen dürfte: 16 Prozent sagten aus, unternehmenswichtige Daten außerhalb des Unternehmens-Intranets zu speichern.
Schludrigkeiten überwiegen
Trotz aller Fortschritte, die User im Thema IT-Security gemacht haben: Nur sechs Prozent der Nutzer hat einen Passwort-Manager. 61 Prozent gaben an, immer oder häufig dasselbe Passwort für Online-Zugänge zu nutzen. Das erleichtert Hackern den Zugang zu den persönlichen Daten. Nur ein Drittel wechselt immer das Passwort.
Tipps für Nutzer
Ein paar einfache Grundregeln erhöhen die Online-Sicherheit. Das sind die absoluten Basics der Internet-Sicherheit - trotzdem befolgen diese nur die wenigsten Nutzer. Darum hier nochmal der Crashkurs von Varonis.
Informieren Sie sich, wo Ihre persönlichen Daten gespeichert sind, wer Zugang dazu hat und was Service-Providers mit diesen Daten anfangen können, ohne Sie um Erlaubnis fragen zu müssen. Schicken Sie niemals sensible Daten wie etwa Kreditkarteninformationen per E-Mail. Hackern ist es ein Leichtes, an unverschlüsselte Daten heranzukommen. Starke Passwörter bleiben der beste Schutz: ein Mix aus Ziffern, Buchstaben und Sonderzeichen. Und ein neues Passwort für jede Seite. Oder Sie probieren es mit "Passwort der Zukunft".
Für die IT-Abteilungen gibt Varonis noch einen Nachschlag hinterher. IT-Security-Beauftragte sollten dafür sorgen, dass sich die Mitarbeiter möglichst über eine zweistufige Anmeldung in den Account einloggen. So haben Sie mehr Kontrolle. Das ist teuer, lohnt sich aber. Das gilt nur Firmen-intern, denn oft schreckt eine zweistufige Authentifizierung ab. Jeder Mitarbeiter sollte nur so viele Zugänge haben wie nötig. Statten Sie die Kollegen nicht pauschal mit Berechtigungen aus - aber achten Sie darauf, dass das Zuweisen neuer Berechtigungen schnell und unkompliziert ist. Sie wollen die Mitarbeiter nicht durch langsame Prozesse verärgern und aufhalten.
Jeder Zugang zu verschiedenen Systemen muss überwacht werden. Achten Sie darauf, ob sich nicht vielleicht zu viele Mitarbeiter anmelden. Gleichzeitig muss die Privatsphäre der Mitarbeiter geschützt werden. Der Sicherheitsbeauftragte sollte sich daher mit dem Betriebsrat abstimmen, wie viel Kontrolle erlaubt ist. Und überprüfen Sie gelegentlich, ob alle Zugänge noch aktuell sind. Aktivitäten sollten ab und zu auf ungewöhnliche Verhaltensweisen analysiert werden. Starke Aktivität nachts um eins? So etwas sollte überprüft werden. Mit ein wenig Achtsamkeit kommen Sie Hackern oder Spyware schnell auf die Spur.
Mitarbeiter sollten nur geschützte und autorisierte Plattformen verwenden. Das stellt CIOs vor große Probleme. Oft beachten Mitarbeiter die BYOD-Regeln nicht oder lagern wichtige Daten auf externen Servern. Das kann schnell zu Schaden führen. Erklären Sie Ihren Mitarbeiter, wie wichtig es ist, nichts auf unautorisierten Plattformen zu lagern. Schaffen Sie eine Balance zwischen Produktivität und Sicherheit. Mitarbeiter dürfen nicht durch umständliche oder unpraktische Sicherheitsmaßnahmen daran gehindert werden, effizient und modern zu arbeiten.
Übrigens: Sind ITler die besseren Security-Experten? Nein. Die Studienautoren verglichen die Ergebnisse der IT mit denen anderer Abteilungen. Heraus kam: "Die Antwortmuster für die ITler waren denen von Nicht-ITlern sehr ähnlich", heißt es in der Umfrage. Signifikante Unterschiede - und somit ein besseres Sicherheitsbewusstsein - waren nicht zu erkennen.