IT-Fachleute zweifeln daran, die gesetzlichen Anforderungen zur Sicherung unstrukturierter Daten wie E-Mails, PDFs und anderer Geschäftsdateien und -dokumente erfüllen zu können. Das ergab eine Studie von BlackBerry. Sie zeigt, auch, wie weit interne und externe Bedrohungen verbreitet sind. Alle Ergebnisse sind in der Studie mit dem Titel „File Sharing and Collaboration Leads to Security Gaps in Financial Services Firms“ detailliert dargestellt.
Behörden kontrollieren den Umgang der Unternehmen mit strukturierten und unstrukturierten Daten – und können bei gesetzlichen Verstöße auch Bußgelder verhängen. Datenlecks bei unstrukturierten Daten können allerdings mit höheren Strafen geahndet werden, da diese auf Fehler in internen Abläufen und Prozessen hinweisen. Die Studie von BlackBerry untersucht, inwieweit solche Risiken in Unternehmen verbreitet sind, ob sie aktiv identifiziert und abgedeckt werden.
Die BlackBerry-Umfrage ergab zum Beispiel, dass 65 Prozent der Befragten sich nicht sicher waren, ob ihre Geschäftsprozesse für die tägliche Zusammenarbeit und für den Austausch von Dateien überhaupt den gesetzlichen Anforderungen entsprechen. Darüber hinaus gaben ein Drittel der Befragten an, sie seien nur „wenig zuversichtlich“ oder „überhaupt nicht zuversichtlich“, dass sie die gesetzlichen Anforderungen erfüllen könnten, obwohl sie Richtlinien für unstrukturierte Daten hätten.
„Teilweise höchst vertrauliche Unternehmensinformationen werden in Dokumenten, Tabellenkalkulationen und Präsentationen gespeichert und geteilt“, erklärt Alex Manea, Chief Security Officer, BlackBerry. „Wenn sie keine effektive Möglichkeit haben, diese Dateien über alle Endpunkte innerhalb und außerhalb ihres Netzwerks hinweg zu schützen, haben die Unternehmen eine große Lücke in Ihrer Sicherheitsstrategie. Ein Benutzer muss nur einen falschen Namen in Outlook eingeben oder die falschen Dateien an eine E-Mail anhängen, und schon gilt es eine möglicherweise massive Sicherheitsverletzung zu beseitigen.“
Die Ergebnisse des Berichts stammen aus einer Online-Umfrage, die mit 200 US-amerikanischen IT-Experten aus der Finanzdienstleistungsbranche durchgeführt wurde. Mehr als ein Drittel der Befragten berichteten, dass in ihrem Unternehmen Mitarbeiter mit File-Sharing-Anwendungen arbeiten, die nicht von der IT-Abteilung genehmigt wurden. Mitarbeiter verwenden häufig Filesharing-Dienste, die für Privatanwender konzipiert wurden, um ihre Aufgaben schneller zu erledigen. Dabei setzen sie ihr Unternehmen allerdings einem Risiko aus.
Risiken bei unstrukturierten Daten existieren in zahlreichen Varianten, wobei interne Bedrohungen für die Sicherheit von Geschäftsdateien häufiger auftreten als externe Bedrohungen.
– Nur 26 Prozent der Befragten berichten von einem Datenleck aufgrund eines externen Angriffs.
– 17 Prozent der Befragten gaben an, dass in ihrem Unternehmen Sicherheitsrisiken durch falsche interne Verhaltensweisen entstanden seien. Dazu gehören verärgerte Mitarbeiter und andere, die entweder Zugang zu sensiblen Informationen erhielten oder von Anfang an Zugang hatten und die Daten an Unbefugte verteilten.
– Mehr als ein Viertel der Befragten gaben an, dass sie einen Sicherheitsverstoß aufgrund eines einfachen Fehlers, wie zum Beispiel der versehentlichen Weitergabe sensibler Dateien, erlitten hätten.
– 18 Prozent bestätigten, dass Sicherheitsverletzungen aufgrund von verlorenen, gestohlenen oder ungesicherten Geräten stattgefunden haben.
Die unzureichende Trennung zwischen Berufs- und Privatleben ist ein weiterer Grund zur Sorge. Die Befragten gaben an, dass Sicherheitslücken entstanden sind, die durch die Nutzung persönlicher E-Mail- und File-Sharing-Accounts (20 Prozent) und durch die Verwendung persönlicher Software oder Firmengeräte (20 Prozent) verursacht wurden.
Vier von fünf Befragten gaben zudem an, dass in ihrem Unternehmen vertrauliche Dateien per E-Mail versendet werden. Wenn eine Kopie einer E-Mail und damit zusammenhängende Informationen (wie ein Anhang) von einem Benutzer an einen anderen gesendet werden, werden mehrere Kopien der Nachricht auch auf Servern und Geräten gespeichert, von denen einige außerhalb der Kontrolle (und Sicherheitsrichtlinien) des Unternehmens liegen, von dem die E-Mail stammt. Ein umfassendes Sicherheitskonzept kann die Daten auch dann schützen, wenn sie den Sicherheitsbereich des Unternehmens verlassen.
Quelle: BlackBerry
Interview mit Claudia Zimmermann
