Verletzte Compliance-Richtlinien und Datenverlust


Unternehmen in stark regulierten Branchen kontrollieren Risiken von Social Network-Applikationen nur unzureichend
Studie bestätigt: Healthcare Unternehmen und Finanzdienstleister nutzen circa 28 Social Network-Applikationen

(14.04.10) - Weltweit steigt die Nutzung von Enterprise 2.0-Anwendungen – und das vor allem in stark regulierten Branchen wie der Finanz- und Healthcare-Industrie. Dies belegt die neue Studie des Netzwerk-Sicherheitsspezialisten Palo Alto Networks. Obwohl Social Media-Plattformen in Unternehmen auf der ganzen Welt immer häufiger verwendet werden, übersteigt der Einsatz deren Kontrolle bei weitem.

Welchen Risikograd die webbasierten Anwendungen für Firmen bedeuten, variiert dabei je nach Branche oder geographischer Lage erheblich und wird auch von Faktoren wie Regulierungen oder Cyberkriminalität stark beeinflusst. Solche heterogenen Risikofaktoren müssen IT-Sicherheitsprofis bei Anwenderrichtlinien, Compliance-Anforderungen und Sicherheitsprofilen berücksichtigen.

Dies ist nur ein Ergebnis des Application Usage and Risk Report (Frühjahrs-Ausgabe 2010), in dem Palo Alto Networks zweimal im Jahr den realen Traffic in Hunderten von Unternehmensnetzwerken analysiert.

Im Gegensatz zu anderen Berichten, die auf Verhaltensstudien basieren, prüft der Application Usage and Risk Report, welche Anwendungen ein Unternehmen einsetzt und identifiziert Trends. Die ab sofort verfügbare Ausgabe des Reports zeigt eine kritische Tendenz: Die Zugangsbarrieren für Applikationen befinden sich momentan auf einem Tiefstand und beschleunigen die Adaption von Anwendungen unabhängig von geographischer Lage oder Industriesegment. Darüber hinaus belegt die Studie, dass Mitarbeiter in Unternehmen im Finanz- oder Healthcare-Bereich soziale Netzwerke zunehmend zur Zusammenarbeit nutzen. Die damit verbundenen Risiken wie verletzte Compliance-Richtlinien, Datenverlust oder das Verbreiten von Sicherheitsbedrohungen ignorieren sie dabei oft. Dies gefährdet jedoch nicht nur ein Firmennetzwerk, sondern auch die Integrität des gesamten Unternehmens.

So zeigt der Report beispielsweise, dass 94 Prozent der untersuchten Firmen aus dem Healthcare- und Finanz-Bereich zwischen September 2009 und März 2010 durchschnittlich 28 verschiedene Applikationen aus sozialen Netzwerken nutzen, darunter Facebook, Twitter oder LinkedIn.

Für beide Branchen gelten strenge Vorschriften, wie das amerikanische Gesetz zur Vertraulichkeit gesundheitsbezogener Daten (HIPAA) oder die Richtlinien der US-Aufsichtsbehörde FINRA. Diese verlangen von den Unternehmen, dass sie auch den Informationsfluss über Applikationen in sozialen Netzwerken kontrollieren, um vertrauliche Daten zu schützen.

Lesen Sie zum Thema "IT-Sicherheit" auch: IT SecCity.de (www.itseccity.de)

Allerdings lässt sich der Netzwerkverkehr durch diese Anwendungen auf den ersten Blick nicht von browserbasiertem Traffic unterscheiden, da sie ebenfalls Port 80 oder Port 443 nutzen. Die mangelnde Transparenz des Datenverkehrs, der von sozialen Netzwerken ausgeht, könnte zu Verstößen gegen Industrie-interne Vorschriften führen oder diese zumindest begünstigen. Von vielen IT-Managern wird daher verlangt, Social Media-Applikationen aufgrund der Risiken komplett zu verbieten. In der Praxis stellt sich allerdings die Frage, ob dieses Vorgehen wirklich praktikabel ist.

Weitere Ergebnisse des Reports im Überblick:
>> Von den 41 verschiedenen E-Mail Anwendungen, die Palo Alto Networks identifizierte, wurden 26 Browser-basierte Varianten sowohl im Healthcare- als auch im Finanz-Bereich aufgespürt, die in den letzten sechs Monaten 220 Gigabyte beziehungsweise 152 Gigabyte des Traffics ausmachten. Die weit verbreitete Nutzung von Webmail-Anwendungen weist auf eine Vielzahl an Geschäfts- und Sicherheitsrisiken hin, angefangen bei Verstößen gegen Compliance-Vorgaben und Datenlecks bis hin zur Verbreitung von Malware.

>> Zwei Drittel der 750 aufgespürten Applikationen, darunter sogar Client-Server- und Peer-to-Peer (P2P)-Anwendungen, tarnen sich als normaler Internetverkehr. Dazu wechseln sie beispielsweise die Ports und nutzen etwa Port 80 oder verstecken sich in einer SSL-Verbindung. Dieser Befund entlarvt den Mythos, dass Port 80 und Port 443 ausschließlich für den Browser-Traffic reserviert sind. Sind P2P File Sharing-Applikationen vom normalen Internetdatenstrom nicht zu unterscheiden, lassen sie sich auch nur schwer aufspüren und kontrollieren. Dies erhöht das Risiko eines versehentlichen Datenverlusts erheblich.

>> Die Nutzung von browserbasierten File Sharing-Anwendungen macht 339 Gigabyte der gesamten Bandbereite bei Finanzdienstleistern und 143 Gigabyte in Unternehmen im Gesundheitsbereich aus. Durch die One-to-One-Delivery dieser Applikationen wird das Risiko eines versehentlichen Datenverlusts zwar minimiert, ein Schutz vor dem absichtlichen Zugriff auf vertrauliche Daten ist jedoch nicht vorhanden. Letzterer lässt sich nur mit strikten Richtlinien-Kontrollen gewährleisten.

>> Die Bandbreite an Traffic, den soziale Netzwerk-Applikationen verursachen, hat sich in den letzten 18 Monaten auf neun Gigabyte pro Unternehmen verdoppelt.

"Einerseits können IT-Administratoren Enterprise 2.0 Applikationen nicht komplett verbieten, da sie einen klaren Mehrwert für das Unternehmen bieten. Andererseits können sie diesen Anwendungen aber auch nicht erlauben, in ihren Netzwerken Amok zu laufen. Die IT muss vielmehr Möglichkeiten finden, um eine sichere Nutzung von Enterprise 2.0 Applikationen zu ermöglichen", sagte Rene Bonvanie, Vice President of Worldwide Marketing von Palo Alto Networks. "Definierte und angewendete Richtlinien ermöglichen einen sicheren Zugang zu diesen Applikationen. Die IT kann die Geschäftsproduktivität verbessern und gleichzeitig Sicherheitsrisiken und Compliance-Verstöße mildern."

Weitere Informationen über mehr als 950 Anwendungen, die Palo Alto Networks identifiziert hat, stehen in der Applipedia, die zum Application and Threat Research Center des Unternehmens gehört. (Palo Alto Networks: ra)

Palo Alto Networks: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Studien

  • Gefährliche Lücken in der Finanzbildung

    Die Finanzwelt ist für viele Deutsche wie ein Minenfeld, das man besser meidet. Eine repräsentative Bevölkerungsumfrage des Bankenverbands zeigt, dass sich ein Großteil der Befragten nicht ausreichend mit ihren Finanzen beschäftigt und wichtige Begriffe nicht versteht.

  • Motivation und Bindung der Beschäftigten

    Startups in Deutschland beteiligen ihre Mitarbeiterinnen und Mitarbeiter verstärkt am Unternehmen. Aktuell geben 44 Prozent an, Beschäftigte am Startup zu beteiligen, vor einem Jahr waren es noch 38 Prozent. Weitere 42 Prozent können sich eine Mitarbeiterbeteiligung in der Zukunft vorstellen. Nur 6 Prozent der Startups setzen nicht auf Mitarbeiterbeteiligung und schließen das auch für die Zukunft aus.

  • Angriffe auf deutsche Wirtschaft nehmen zu

    Deutsche Unternehmen rücken verstärkt in den Fokus von Angreifern aus dem In- und Ausland. In den vergangenen zwölf Monaten waren 81 Prozent aller Unternehmen vom Diebstahl von Daten und IT-Geräten sowie von digitaler und analoger Industriespionage oder Sabotage betroffen.

  • Lobby- und Transparenzregeln

    Anlässlich der Veröffentlichung des Lobbyrankings 2024 wirft Transparency International Deutschland e.V. einen vergleichenden Blick auf die Regeln für eine integre und transparente Politik in den Bundesländern und im Bund.

  • KI-Skepsis vorherrschend

    Nur 3 Prozent der Unternehmen im DACH-Raum beschreiben sich als fortgeschritten bei der Einführung generativer KI (GenAI). Das zeigt eine aktuelle Lünendonk-Studie. Trotz hohem Potenzial und zahlreichen Anwendungsfeldern ist die Skepsis gegenüber der neuen Technologie bei Anwendern wie Entscheidern hoch. Unsicherheit und die Angst vor Schatten-KI hemmen die Einführung. Gleichzeitig erhofft sich jedes zweite Unternehmen durch GenAI Hilfe bei der digitalen Transformation.

Studie zeigt Verantwortungslücken auf Compliance und Schutz von Betriebsgeheimnissen

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen