Banken ignorieren Sicherheitsrisiko Mensch

EnterpriseSicherheit

Die Chefetage buttert lieber Geld in die Technik als es für die Aufklärung der Mitarbeiter zu investieren. Diese aber sind grenzenlos naiv.

Auf dem Finanzsektor ist menschlich gesehen offenbar die Hölle los. Einer neuen Studie zufolge benutzen Hacker inzwischen seltener die Computersysteme, um an Daten heranzukommen, sondern missbrauchen immer häufiger die Unwissenheit von Mitarbeitern.

Scheinbar gehen immer noch viel zu viele Mitarbeiter trotz der Präsenz des Themas allerorten zu lapidar damit um. Laut Sicherheitsstudie 2005 des Wirtschaftsprüfers Deloitte, die jetzt veröffentlicht wurde, bestätigten 35 Prozent der Befragten, innerhalb des letzten Jahres Angriffe aus dem Unternehmen selbst erlitten zu haben; im Vorjahr waren es nur 14 Prozent. Im Vergleich beobachteten 26 Prozent der befragten Studienteilnehmer in den letzten zwölf Monaten Attacken von außen (23 Prozent in 2004). Die Verdoppelung der internen Sicherheitsverstöße stellt die Finanzinstitute vor neue, nun weniger technisch geprägte Herausforderungen.

Es geht also nicht mehr nur um die Technik. All die Sicherheitstechnologien, insbesondere Antivirenlösungen (98 Prozent im Vergleich mit 87 Prozent in 2004), virtuelle private Netze (79 Prozent verglichen mit 75 Prozent) sowie Content-Filterung und -Überwachung (76 Prozent zu 60 Prozent) haben dazu beigetragen, dass Hacker andere Wege gehen, um Daten zu stehlen oder Systeme zu blockieren.

Die Mitarbeiter sind das Sicherheitsrisiko. Hacker nutzen die Schwachstelle Mensch, der beispielsweise auf Phishing-Mails hereinfällt und eine Reihe von geheimen Informationen preis gibt, ohne zu wissen, an wen. Die Unwissenheit von Mitarbeitern und deren Naivität im Umgang von elektronischem Datenverkehr ist in jedem Unternehmen ein großes Problem. Im Finanzsektor könnte jedoch der Schaden ein noch größerer sein als in anderen Bereichen. Hier wird tagtäglich mit geheimen und privaten Daten Anderer jongliert, die bei unberechtigter Benutzung einiges Unheil anrichten können.

“Umfassende Strategien zur Kunden- und Mitarbeiter-Authentifizierung, nachverfolgbare Sicherheitsrichtlinien und -standards und Schulungsmaßnahmen zur Erhöhung des Sicherheitsbewusstsein können die Sicherheitslücke schließen”, sagte Stefan Weiss, Senior Manager der Security Services bei Deloitte. Hinzukommt, dass viele Mitarbeiter gar nicht zu wissen scheinen, wie wichtig das Thema Sicherheit ist, weil sie schlicht von der hohen Bedeutung nichts mitbekommen. In 86 Prozent aller Unternehmen, in denen ein Chief Information Security Officer (CISO) tätig ist, berichtet dieser direkt an den Vorstand oder die Unternehmensleitung. Jedoch glaubt nur ein Drittel der Befragten, dass das Thema Sicherheit tatsächlich als geschäftskritisch eingestuft wird.