Verletzte Compliance-Richtlinien und Datenverlust


Unternehmen in stark regulierten Branchen kontrollieren Risiken von Social Network-Applikationen nur unzureichend
Studie bestätigt: Healthcare Unternehmen und Finanzdienstleister nutzen circa 28 Social Network-Applikationen


(14.04.10) - Weltweit steigt die Nutzung von Enterprise 2.0-Anwendungen – und das vor allem in stark regulierten Branchen wie der Finanz- und Healthcare-Industrie. Dies belegt die neue Studie des Netzwerk-Sicherheitsspezialisten Palo Alto Networks. Obwohl Social Media-Plattformen in Unternehmen auf der ganzen Welt immer häufiger verwendet werden, übersteigt der Einsatz deren Kontrolle bei weitem.

Welchen Risikograd die webbasierten Anwendungen für Firmen bedeuten, variiert dabei je nach Branche oder geographischer Lage erheblich und wird auch von Faktoren wie Regulierungen oder Cyberkriminalität stark beeinflusst. Solche heterogenen Risikofaktoren müssen IT-Sicherheitsprofis bei Anwenderrichtlinien, Compliance-Anforderungen und Sicherheitsprofilen berücksichtigen.

Dies ist nur ein Ergebnis des Application Usage and Risk Report (Frühjahrs-Ausgabe 2010), in dem Palo Alto Networks zweimal im Jahr den realen Traffic in Hunderten von Unternehmensnetzwerken analysiert.

Im Gegensatz zu anderen Berichten, die auf Verhaltensstudien basieren, prüft der Application Usage and Risk Report, welche Anwendungen ein Unternehmen einsetzt und identifiziert Trends. Die ab sofort verfügbare Ausgabe des Reports zeigt eine kritische Tendenz: Die Zugangsbarrieren für Applikationen befinden sich momentan auf einem Tiefstand und beschleunigen die Adaption von Anwendungen unabhängig von geographischer Lage oder Industriesegment. Darüber hinaus belegt die Studie, dass Mitarbeiter in Unternehmen im Finanz- oder Healthcare-Bereich soziale Netzwerke zunehmend zur Zusammenarbeit nutzen. Die damit verbundenen Risiken wie verletzte Compliance-Richtlinien, Datenverlust oder das Verbreiten von Sicherheitsbedrohungen ignorieren sie dabei oft. Dies gefährdet jedoch nicht nur ein Firmennetzwerk, sondern auch die Integrität des gesamten Unternehmens.

So zeigt der Report beispielsweise, dass 94 Prozent der untersuchten Firmen aus dem Healthcare- und Finanz-Bereich zwischen September 2009 und März 2010 durchschnittlich 28 verschiedene Applikationen aus sozialen Netzwerken nutzen, darunter Facebook, Twitter oder LinkedIn.

Für beide Branchen gelten strenge Vorschriften, wie das amerikanische Gesetz zur Vertraulichkeit gesundheitsbezogener Daten (HIPAA) oder die Richtlinien der US-Aufsichtsbehörde FINRA. Diese verlangen von den Unternehmen, dass sie auch den Informationsfluss über Applikationen in sozialen Netzwerken kontrollieren, um vertrauliche Daten zu schützen.

Allerdings lässt sich der Netzwerkverkehr durch diese Anwendungen auf den ersten Blick nicht von browserbasiertem Traffic unterscheiden, da sie ebenfalls Port 80 oder Port 443 nutzen. Die mangelnde Transparenz des Datenverkehrs, der von sozialen Netzwerken ausgeht, könnte zu Verstößen gegen Industrie-interne Vorschriften führen oder diese zumindest begünstigen. Von vielen IT-Managern wird daher verlangt, Social Media-Applikationen aufgrund der Risiken komplett zu verbieten. In der Praxis stellt sich allerdings die Frage, ob dieses Vorgehen wirklich praktikabel ist.

Weitere Ergebnisse des Reports im Überblick:
>> Von den 41 verschiedenen E-Mail Anwendungen,
die Palo Alto Networks identifizierte, wurden 26 Browser-basierte Varianten sowohl im Healthcare- als auch im Finanz-Bereich aufgespürt, die in den letzten sechs Monaten 220 Gigabyte beziehungsweise 152 Gigabyte des Traffics ausmachten. Die weit verbreitete Nutzung von Webmail-Anwendungen weist auf eine Vielzahl an Geschäfts- und Sicherheitsrisiken hin, angefangen bei Verstößen gegen Compliance-Vorgaben und Datenlecks bis hin zur Verbreitung von Malware.

>> Zwei Drittel der 750 aufgespürten Applikationen, darunter sogar Client-Server- und Peer-to-Peer (P2P)-Anwendungen, tarnen sich als normaler Internetverkehr. Dazu wechseln sie beispielsweise die Ports und nutzen etwa Port 80 oder verstecken sich in einer SSL-Verbindung. Dieser Befund entlarvt den Mythos, dass Port 80 und Port 443 ausschließlich für den Browser-Traffic reserviert sind. Sind P2P File Sharing-Applikationen vom normalen Internetdatenstrom nicht zu unterscheiden, lassen sie sich auch nur schwer aufspüren und kontrollieren. Dies erhöht das Risiko eines versehentlichen Datenverlusts erheblich.

>> Die Nutzung von browserbasierten File Sharing-Anwendungen macht 339 Gigabyte der gesamten Bandbereite bei Finanzdienstleistern und 143 Gigabyte in Unternehmen im Gesundheitsbereich aus. Durch die One-to-One-Delivery dieser Applikationen wird das Risiko eines versehentlichen Datenverlusts zwar minimiert, ein Schutz vor dem absichtlichen Zugriff auf vertrauliche Daten ist jedoch nicht vorhanden. Letzterer lässt sich nur mit strikten Richtlinien-Kontrollen gewährleisten.

>> Die Bandbreite an Traffic, den soziale Netzwerk-Applikationen verursachen, hat sich in den letzten 18 Monaten auf neun Gigabyte pro Unternehmen verdoppelt.

"Einerseits können IT-Administratoren Enterprise 2.0 Applikationen nicht komplett verbieten, da sie einen klaren Mehrwert für das Unternehmen bieten. Andererseits können sie diesen Anwendungen aber auch nicht erlauben, in ihren Netzwerken Amok zu laufen. Die IT muss vielmehr Möglichkeiten finden, um eine sichere Nutzung von Enterprise 2.0 Applikationen zu ermöglichen", sagte Rene Bonvanie, Vice President of Worldwide Marketing von Palo Alto Networks. "Definierte und angewendete Richtlinien ermöglichen einen sicheren Zugang zu diesen Applikationen. Die IT kann die Geschäftsproduktivität verbessern und gleichzeitig Sicherheitsrisiken und Compliance-Verstöße mildern."

Weitere Informationen über mehr als 950 Anwendungen, die Palo Alto Networks identifiziert hat, stehen in der Applipedia, die zum Application and Threat Research Center des Unternehmens gehört. (Palo Alto Networks: ra)

Palo Alto Networks: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Meldungen: Studien

  • Viele Schulen regeln den KI-Einsatz nicht

    Um schneller einen Aufsatz zu schreiben, die Antwort im Unterricht nachzuschlagen oder Ideen für das Kunstprojekt zu sammeln - Künstliche Intelligenz ist längst auch in vielen deutschen Klassenzimmern angekommen. Allerdings hat nicht einmal jede vierte Schule zentral geregelt, was dabei erlaubt und was verboten ist. Lediglich an 23 Prozent der weiterführenden Schulen gibt es zentrale KI-Regeln, die für die ganze Schule gelten.

  • Ein Fünftel wurde im Job zu KI geschult

    Mit KI die Mail formulieren, eine Hintergrundrecherche starten oder aus Gesprächsnotizen ein Protokoll erstellen - Künstliche Intelligenz kann im Job unterstützen, wenn man weiß wie. Ein Fünftel (20 Prozent) der Berufstätigen wurde deshalb von ihrem Arbeitgeber bereits im KI-Einsatz geschult. Bei weiteren 6 Prozent gibt es zwar entsprechende Fortbildungen, sie haben sie aber noch nicht wahrgenommen. Der großen Mehrheit von 70 Prozent der Beschäftigten wird allerdings keine KI-Fortbildungen angeboten. Das sind Ergebnisse einer repräsentativen Befragung von 1.005 Personen ab 16 Jahren in Deutschland im Auftrag des Digitalverbands Bitkom.

  • Mindestens ein Datenschutzvorfall

    The Business Digital Index (BDI), eine Initiative von Cybernews, hat die digitale Sicherheit von 75 EU-Institutionen untersucht. Das Ergebnis ist besorgniserregend: 67 Prozent der untersuchten Einrichtungen erhielten die Noten "D" oder "F" und gelten damit als "hohes" oder "kritisches" Risiko.

  • Überwachung und Compliance stets im Fokus

    Mit der Einführung der elektronischen Patientenakte (ePA) setzt die Bundesregierung einen Meilenstein für die Zukunft der digitalen Gesundheitsversorgung. Ziel ist es, eine umfassende Datentransparenz - sowohl für Patienten als auch das medizinische Personal - zu schaffen, um die Qualität der Versorgung zu optimieren und Mitarbeitende im Healthcare-Sektor zu entlasten. Wie die Studie "Digitale Zwickmühle im Gesundheitswesen: Zwischen Innovationsdruck und Systemrisiken" von Soti jedoch zeigt, mangelt es in vielen deutschen Gesundheitseinrichtungen noch immer an den nötigen technischen Voraussetzungen, um diesem Anspruch in der Praxis auch wirklich gerecht zu werden. Für diese Erhebung wurden weltweit IT-Entscheidungsträger im Healthcare-Bereich befragt.

  • Haftungsrisiko bei Cyber-Schäden

    Führungskräfte in Deutschland blicken mit wachsender Sorge auf ihr Haftungsrisiko bei Cyber-Schäden - für 88 Prozent sind Cyber-Attacken und für 86 Prozent Datenverluste das Top-Risiko für Manager 2025. Das zeigt der aktuelle "Directors' and Officers' Liability Survey" des Risikoberaters und Großmaklers Willis, einem Geschäftsbereich von WTW, und der internationalen Anwaltssozietät Clyde & Co. Außerdem zeigt die Studie, dass vielen Themen im Management Board nicht genug Zeit eingeräumt wird: 38 Prozent der befragten Führungskräfte in Deutschland sind der Meinung, dass im Vorstands- und Geschäftsführungskreis mehr Zeit für das Thema Cybersicherheit aufgewendet werden sollte. "Das ist ein deutliches Signal dafür, dass viele Unternehmen sich der Bedrohung zwar bewusst sind, sich ihr aber noch nicht ausreichend widmen", sagt Lukas Nazaruk, Head of Corporate Risk & Broking Deutschland und Österreich bei Willis.

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen