Mitarbeiter bergen das größte Security-Potenzial und -Risiko zugleich. Dies betonte der finnische Awareness-Forscher Mikko Siponen in seiner Keynote auf dem neunten Information-Security-Symposium von CIS und Quality Austria. Gefragt sind ganzheitliche Systeme. [...]
Wirtschaftsspionage aus den eigenen Reihen stellt eine enorme Gefahr für Unternehmen dar. Nahezu zwei Drittel der Spionage-Schäden entstehen laut einer Corporate-Trust-Studie durch Mitarbeiter. „Der Schutz betrieblicher Informationen ist hoch komplex – dies betrifft neben elektronischen und auf Papier befindlichen Daten auch die mündlichen Informationen und das Fachwissen der Mitarbeiter“, erklärt Erich Scheiber, Geschäftsführer der Zertifizierungsorganisation CIS. Daher sind ganzheitliche Konzepte gefragt – der internationale Standard für Informationssicherheit ISO 27001 zählt bereits mehr als 20.000 Zertifizierungen weltweit. In Österreich gehören 60 zertifizierte Organisationen zu den Security-Pionieren. Darunter Top-Adressen wie das Magistrat Wien, Unternehmen der Raiffeisen-Gruppe oder der Wiener Krankenanstaltenverbund.
Vor diesem Hintergrund veranstalteten CIS und Quality Austria das „9. Information-Security-Symposium Wien 2013“ unter dem Motto „Standardisierung von Security & Services nach ISO 27001 / ISO 20000: effektiv und transparent“. Unter dem Ehrenschutz von Wirtschaftsminister Reinhold Mitterlehner und der Moderation durch TV-Journalist Josef Broukal trafen sich im Kursalon Wien mehr als 200 Teilnehmer aus führenden Unternehmen: Von A1 und BRZ über Frequentis, Kapsch oder Siemens bis zu Uniqa.
MITARBEITER-COMPLIANCE
Angesichts zunehmender Wirtschaftsspionage-Fälle drehte sich die Keynote um die Themen Awareness und Mitarbeiter-Compliance. „Mehr als die Hälfte aller relevanten Sicherheitsvorfälle in Unternehmen sind der mangelnden Einhaltung von Security-Policies durch die Mitarbeiter zuzurechnen“, warnte der finnische Studienautor Mikko Siponen. Unkenntnis oder Ablehnung der Policies seien die häufigsten Ursachen. Aus empirischen Erhebungen hat Siponen neun Hauptgründe für Sicherheitsübertretungen herausgefiltert.
An oberster Stelle steht das Vernachlässigen der Bildschirm-Sperren. An zweiter Stelle folgt der „Klassiker“: Notieren von Passwörtern an sichtbaren Orten – sowie das Ausplaudern derselben. Platz vier belegt die Praxis, sensible Daten auf USB-Medien zu speichern. Nummer fünf: Weitergabe geheimer Informationen. Schlimmer Rang sechs: Inaktivierung von Sicherheitskonfigurationen. Auf Platz sieben findet sich der sorglose Umgang mit mobilen Geräten. Das Schlusslicht bilden: Unverschlüsseltes Senden vertraulicher Informationen sowie Verwendung simpler Passwörter.
JOB-BEZOGENE LERNZIELE
Die Conclusio von Mikko Siponen: „Man bringt Mitarbeiter nur dann dazu, Security-Richtlinien einzuhalten, wenn sie praktikabel sind – und so ausgestaltet werden, dass sie jene Assets schützen, mit denen Mitarbeiter real arbeiten. Security muss greifbar sein.“
Seine Praxis-Tipps: „Nutzen Sie systematische Trainingsprogramme und verwenden Sie Job-bezogene Lernziele, die für die Teilnehmer relevant sind. Allgemeine oder abgehobene Inhalte verfehlen ihr Lernziel!“ (pi/su)
Be the first to comment