- Anzeigen -

Schwachstellen in der Datensicherheit


Studie: 72 Prozent der CEOs geben zu, geistiges Eigentum, Ideen und Daten von einem ehemaligen Arbeitgeber mitgenommen zu haben
Während Unternehmen Milliarden für die Vermeidung von Datenverlusten ausgeben, deutet die Studie darauf hin, dass Daten dennoch angreifbar bleiben aufgrund von Fehlverhalten bei den Mitarbeitern – und die Führungsebene zählt zu den schlimmsten Übeltätern

- Anzeigen -





Die Tatsache, dass 72 Prozent der CEOs zugeben, wertvolles geistiges Eigentum (Intellectual Property, IP) von einem ehemaligen Arbeitgeber mitgenommen zu haben, zeigt deutlich, dass Top-Entscheider Best Practices und Unternehmensrichtlinien für Datensicherheit missachten. Zudem sagen 93 Prozent der CEOs, dass sie eine Kopie ihrer Arbeit auf einem privaten Gerät vorhalten, außerhalb der relativen Sicherheit der Unternehmensserver oder Cloud-Anwendungen. Auf der anderen Seite stimmen 78 Prozent der CEOs zu, dass Ideen in Form von IP immer noch der wertvollste Vermögenswert eines Unternehmens sind. Es zeigt sich also eine Diskrepanz zwischen dem, was Verantwortliche sagen und dem, was tun.

Die Ergebnisse, die der aktuelle Datengefährdungsreport 2018 im Detail ausführt, geben Anlass zur Sorge bezüglich der Rolle von menschlichen Emotionen bei riskantem Umgang mit Datensicherheit. Sie unterstreichen auch die Notwendigkeit für eine realistische Datensicherheitsstrategie, die nicht nur menschliche Verhaltensweisen berücksichtigt, sondern auch die Vermeidung von Datenverlust und die Wiederherstellung von Daten. Der Report stützt sich auf das Feedback von beinahe 1.700 Sicherheits-, IT- und betrieblichen Entscheidern in den USA, dem Vereinigten Königreich und Deutschland. Er wurde von Sapio Research im Auftrag von Code42, einem führenden Anbieter von Lösungen für Informationssicherheit, durchgeführt.

"Es ist offensichtlich, dass mit den besten Absichten eingesetzte Datensicherheitsrichtlinien keine Chance gegen die menschliche Natur haben", sagt Jadee Hanson, Chief Information Security Officer bei Code42. "Zu verstehen, wie emotionale Faktoren gefährliches Verhalten verursachen ist ein Schritt in die richtige Richtung, genauso wie ‚Diskrepanzen‘ im Unternehmen zu erkennen, die Schwachstellen in der Datensicherheit verursachen. In einer Bedrohungslandschaft, die zunehmend komplexer wird, sind Strategien, die sich allein auf Vermeidung fokussieren, nicht mehr genug."

Daten sind wertvoll, Worte sind billig
Während Unternehmen Milliarden für die Vermeidung von Datenverlusten ausgeben, deutet die Studie darauf hin, dass Daten dennoch angreifbar bleiben aufgrund von Fehlverhalten bei den Mitarbeitern – und die Führungsebene zählt zu den schlimmsten Übeltätern. Es zeigt sich eine erhebliche Diskrepanz zwischen dem, was Top-Entscheider sagen und dem, was sie tun, denn:

>> Fast zwei Drittel der CEOs (63 Prozent) geben zu, versehentlich auf einen Link geklickt zu haben und so ihre geschäftlichen und eventuell auch privaten Daten dem Risiko durch Malware ausgesetzt zu haben.
>> Zudem geben 59 Prozent der CEOs zu, Software heruntergeladen zu haben, ohne zu wissen, ob sie von der Unternehmenssicherheit freigegeben ist oder nicht. >> Die Mehrheit der betrieblichen Entscheider (77 Prozent) glaubt, dass dieses Verhalten von ihrer IT-Abteilung als Sicherheitsrisiko eingestuft werden würde aber sie tut es trotzdem.

Die Risiken versteckter Daten
Im Jahr 2018 wird der Job des CISO immer schwieriger – sogar in Unternehmen, bei denen die besten Richtlinien und Tools zur Cybersicherheit im Einsatz sind. Im Grunde lassen sich die Risiken auf einen Mangel an Datensichtbarkeit zurückführen:

>> Durch die zunehmende Einführung flexibler Arbeitsweisen und fortlaufende Digitalisierung von Informationen glauben 73 Prozent der Sicherheits- und IT-Entscheider, dass einige Unternehmensdaten nur auf Geräten an den Endpunkten existieren.
>> Nicht weniger als 71 Prozent der Sicherheits- und IT-Entscheider sowie 70 Prozent der betrieblichen Entscheider geben zu, dass der Verlust aller >> Unternehmensdaten, die auf Geräten an den Endpunkten liegen, ihr Geschäft zerstören oder eine ernstzunehmende Störung verursachen würde.
>> Während 80 Prozent der CISOs zustimmen, dass "man nicht schützen kann, was man nicht sieht" denken betriebliche Entscheider anders darüber. Die Mehrheit der betrieblichen Entscheider (82 Prozent) glaubt, die IT kann Daten schützen, die sie nicht sieht – eine deutliche Diskrepanz zur Realität.

Sicherheits-Poker in einer unvorhersehbaren Bedrohungslandschaft
In einer sich stets weiterentwickelnden Bedrohungslandschaft horten Unternehmen, die sich mit Datenpannen abgefunden haben, Kryptowährung, um Lösegelder zu bezahlen. Und eine große Mehrheit der Sammler hat tatsächlich schon einmal die Auslösung bezahlt. Im Detail bedeutet das:

Unter den CISOs glauben 64 Prozent, dass ihr Unternehmen in den nächsten 12 Monaten eine Datenpanne haben wird, die an die Öffentlichkeit gelangt. 61 Prozent sagen, ihr Unternehmen sei in den letzten 18 Monaten bereits Opfer eines solchen Zwischenfalls geworden.
Die Bedrohung durch Cyberattacken veranlasste fast 73 Prozent der CISOs dazu, Kryptowährung anzusammeln um Cyberkriminelle zu bezahlen. 79 Prozent davon haben bereits Lösegeld bezahlt.

Es ist jedoch nicht nötig, sich Cyberkriminellen zu fügen. Im Fall einer Cyber-Bedrohung verstehen Unternehmen mit einer umfassenden Datensicherheitsstrategie, die auch die Sichtbarkeit von Daten berücksichtigt, sofort, was passiert ist und wann etwas passiert ist. Dadurch können sie sich wesentlich schneller von einem Zwischenfall erholen.

Vorbeugen ist nicht mehr besser als Heilen
Trotz der Diskrepanz zwischen ihren Taten und Worten, zeigt der Report, dass betriebliche Entscheider verstehen, dass die komplexe Bedrohungslandschaft von heute ein mehrgleisiges Sicherheitskonzept verlangt:

>> Die Mehrheit der CISOs (72 Prozent) und 80 Prozent der CEOs glauben, ihre Unternehmen müssen ihre Fähigkeit, sich von einem Daten-Zwischenfall zur erholen, in den nächsten 12 Monaten verbessern.
>> Zwei Drittel der CISOs (75 Prozent) und 74 Prozent der CEOs glauben, ihre Sicherheitsstrategie muss sich von einem alleinigen Fokus auf Vermeidung in eine Mischung aus Vermeidung und Wiederherstellung verändern.

"Es ist an der Zeit, dass Unternehmen sich widerstandsfähiger machen. Entscheider aus IT, Sicherheit und Betrieb müssen sich mit den Tatsachen vertraut machen, welche Auswirkungen die emotionalen Triebkräfte hinter den Arbeitsstilen der Mitarbeiter auf die Richtlinien für Datensicherheit haben," sagt Rob Westervelt, Research Director der Gruppe für Sicherheitsprodukte bei IDC. "Um ein Unternehmen heute zu schützen, brauchen Sicherheits-Teams Sichtbarkeit darüber, wo Daten gespeichert, verarbeitet und bewegt werden und wer Zugriff auf sie hat. Sichtbarkeit spielt eine Schlüsselrolle dabei, Unternehmen sowohl vor internen als auch externen Bedrohungen zu schützen." (Code42: ra)

eingetragen: 02.08.18
Newsletterlauf: 28.08.18

Code42: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -




Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>



Meldungen: Studien

  • Multi-Cloud: Hindernis für die Datensicherheit

    Laut dem "Thales Data Threat Report 2020 - Global Edition" mit Untersuchungen und Analysen von IDC haben Organisationen einen globalen "Cloud Tipping Point " erreicht, der sie mit den Sicherheitsherausforderungen der digitalen Transformation (DX) konfrontiert. Heute ist die Hälfte (50 Prozent) aller Unternehmensdaten in der Cloud gespeichert und fast die Hälfte (48 Prozent) dieser Daten gilt als sensibel. Da die Multi-Cloud-Nutzung für Unternehmen zur neuen Normalität geworden ist, gaben alle Befragten an, dass zumindest einige der in der Cloud gespeicherten sensiblen Daten nicht verschlüsselt sind, und weltweit gaben 49 Prozent an, dass bei ihnen eine Sicherheitsverletzung vorgefallen ist. Zusätzlich zu den DX- und Multi-Cloud-Komplexitäten zeigt die globale Studie, dass das Quanten Computing ein Hauptanliegen geworden ist. 72 Prozent der Unternehmen geben an, dass dadurch ihre Sicherheits- und kryptographischen Operationen in den nächsten fünf Jahren beeinträchtigt werden.

  • Statusreport 2020 zu Open Source-Lizenzierung

    Flexera hat den neuen "State of Open Source License Compliance " Report veröffentlicht. Die Experten für Software Composition Analysis analysierten Daten aus insgesamt 121 Audits weltweit, um den Umfang an undokumentierter Open Source Software in Unternehmen zu erfassen und potentielle Compliance- und Sicherheits-Risiken zu identifizieren. Für die branchenübergreifende Studie wertete Flexera mehr als 2,6 Milliarden Codezeilen aus. Die Audit-Teams prüften die identifizierten OSS-Komponenten sowohl auf bekannte Schwachstellen als auch auf die Einhaltung der Compliance-Vorgaben. Dabei entdeckten sie insgesamt 80.157 kritische Fälle - eine Steigerung von 80 Prozent im Vergleich zum Vorjahr.

  • Verarbeitung persönlicher Daten

    Laut dem Research- und Beratungsunternehmen Gartner werden Datenschutz-Compliance-Technologien bis 2023 verstärkt auf Künstliche Intelligenz (KI) setzen - nämlich über 40 percent. "Datenschutzgesetze wie die Datenschutz-Grundverordnung (DSGVO) waren ein überzeugender Geschäftsfall im Hinblick auf die Einhaltung der Datenschutzbestimmungen. Sie inspirierte viele Gerichtsbarkeiten weltweit dazu, ihrem Vorbild zu folgen", so Bart Willemsen, Research Vice President bei Gartner. "Mehr als 60 Jurisdiktionen weltweit haben postmoderne Gesetze zum Schutz der Privatsphäre und zum Datenschutz vorgeschlagen oder sind dabei, diese zu erarbeiten. Kanada versucht zum Beispiel sein Gesetz zum Schutz persönlicher Daten und elektronischer Dokumente (PIPEDA) zu modernisieren - auch um die Adäquatheit mit der EU nach der DSVGO zum Teil aufrechtzuerhalten.

  • Verantwortung für Cybersicherheit & Compliance

    Steigende Compliance-Anforderungen und die wachsende Zahl an Regulierungen stellen den größten Stressfaktor für Security-Experten dar, wie eine aktuelle Befragung von Thycotic nun offenbart. So stimmen 42 Prozent der befragten IT-Sicherheitsverantwortlichen zu, dass die Notwendigkeit, immer mehr Richtlinien erfüllen zu müssen, ihren Stress erhöht. Ein Drittel beklagt darüber hinaus lange Arbeitszeiten und die Unvermeidlichkeit von Überstunden. Weitere Stressfaktoren sind zudem die steigende Zahl an Sicherheitsvorfällen sowie zu kleine Security-Budgets. Dies stellt die Unternehmen vor große Herausforderungen in Sachen Mitarbeiterbindung: Wie die Befragung von mehr als 500 Sicherheitsentscheidern weltweit zeigt, zählen zu den größten Hürden beim Halten von Mitarbeitern unter anderem Burnout aufgrund übermäßiger Arbeitsbelastung (45 Prozent). Aber auch Faktoren wie das Fehlen klarer Karriereziele und mangelnde Aufstiegsmöglichkeiten (37 Prozent) und mangelnde Unterstützung durch Führungskräfte bei der Schulung, Beurteilung und Entwicklung von Mitarbeitern (40 Prozent) verstärken den Fachkräftemangel.

  • Plattform-Strategie der Unternehmen

    Die deutsche Industrie tut sich schwer mit der digitalen Plattform-Ökonomie. So geben 41 Prozent der Industrieunternehmen an, dass sie digitale Plattformen eher als Risiko für das eigene Geschäft ansehen, nur 37 Prozent halten sie für eine Chance. Damit ist die Industrie deutlich skeptischer als der Dienstleistungssektor oder der Handel. Unter den Dienstleistern geben nur 27 Prozent an, digitale Plattformen stellten ein Risiko dar, 43 Prozent sehen sie als Chance. Im Handel betrachten sogar 60 Prozent Plattformen positiv, nur 22 Prozent halten sie für ein Risiko. Das ist das Ergebnis einer repräsentativen Befragung von 502 Unternehmen im Auftrag des Digitalverbands Bitkom. "Bei digitalen Plattformen denken wir häufig zuerst an Onlinehändler wie Amazon oder Ebay oder an Dienstleister wie AirBnB. Gerade für die traditionell starke deutsche Industrie bieten digitale Plattformen aber ein riesiges Potenzial, das eigene Geschäft zukunftsfest für die digitale Welt zu machen", sagt Bitkom-Präsident Achim Berg. "Mit Blick auf Industrie 4.0 und IoT entwickeln sich gerade jetzt Plattform-Angebote und es werden die Märkte verteilt. Bei Plattformen sollte die deutsche Industrie ganz vorne mit dabei sein."