Weil sie ständig nur außerhalb der eigenen Reihen nach Datendieben suchen, übersehen viele Unternehmen die Gefahren im inneren Kreis. Das geht aus einer Umfrage der Firma Clearswift aus dem Jahr 2013 hervor. Rede und Antwort standen 200 Entscheidungsträger, die für die Bereiche Sicherheit, Datenschutz, Compliance und IT verantwortlichen zeichnen. Thema der Studie: „Das unterschätzte interne Sicherheitsrisiko“.
Die Auswertung ergab, dass 64 Prozent der Unternehmen sich nicht bewusst sind, dass es IT-Sicherheitslücken gibt. Die IT-Sicherheit zu verbessern und zu erhalten, gehört daher auch nur für 54 Prozent zu den Top-3-Prioritäten. Die größten Gefahren vermuten die Entscheidungsträger ohnehin außerhalb des Unternehmens. Das gilt für 36 Prozent. Dass die Bedrohung von den Mitarbeitern kommen könnte, vermuten 28 Prozent. Ex-Mitarbeiter und Dritte haben jeweils 18 Prozent in Verdacht.
Weitgehend einig sind sich die Studienteilnehmer, wo die wichtigsten internen Sicherheitsrisiken lauern. 86 Prozent nennen versehentliche menschliche Fehler, 83 Prozent den Mangel an Bewusstsein für IT-Sicherheitsthemen und 80 Prozent den möglichen Virenbefall durch persönliche Endgeräte (Bring Your Own Device – BYOD). Alle Risiken zu erkennen, trauen sich indes längst nicht alle Experten zu. Nur 19 Prozent halten sich selbst für sicherheitserfahren. 16 Prozent fühlen sich diesbezüglich eher unsicher. Regelmäßige Schulungen für das Personal in puncto Sicherheitsrichtlinien gibt es in 78 Prozent der Betriebe.
Mirko Bolletta von Clearswift ist ein wenig überrascht, dass die IT-Abteilungen sich so stark auf externe Risiken konzentrieren. „Deutsche Unternehmen unterschätzen also interne Sicherheitsrisiken“, so sein Fazit. Schließlich lieferten interne Probleme keine Schlagzeilen wie ein Hackerangriff aus Fernost. Gleichwohl handele es sich auch bei internen Risiken um eine reale Bedrohung, die ernst genommen werden müsse, weil die Auswirkungen sämtliche Geschäftsabläufe und nicht nur die IT-Abteilung betreffen.