Unternehmen sollten lernen, den Spagat zwischen IT-Sicherheit und Arbeitseffizienz zu meistern. Silicon.de-Blogger Richard Anstey weiß, wie sich das Sicherheitsrisiko Mensch minimieren lässt.
Das größte Sicherheitsrisiko ist der Mensch – diese alte Binsenweisheit aus der IT-Sicherheit konnte 2015 durch eine Studie der Wirtschaftsprüfungsgesellschaft KPMG bestätigt werden. Von nahezu allen befragten Unternehmen wurden die Unachtsamkeit der eigenen Mitarbeiter und ihr mangelndes Verständnis für mögliche Risiken als Schwachstellen identifiziert.
Wer den Mitarbeitern hier Böswilligkeit unterstellt, liegt jedoch falsch. Der achtlose Umgang mit sensiblen Daten kann nämlich einerseits Unkenntnis geschuldet sein, andererseits auch der Absicht, Prozesse zu optimieren und die Arbeit im Team effizienter zu gestalten. Ein klassisches Beispiel ist die nicht-autorisierte Nutzung von Kollaborationstools.
Mitarbeiter greifen eigenmächtig auf verschiedene Software zurück, um die Zusammenarbeit mit Kollegen zu erleichtern. Dies ist für das Unternehmen häufig mit erheblichen Risiken verbunden: Die Auslagerung vertraulicher Daten auf einen unverschlüsselten Cloud-Speicher etwa ermöglicht den Mitarbeitern zwar einen besseren Austausch, öffnet aber auch Angreifern Tür und Tor.
Mitarbeiterschulungen reichen nicht aus
Der durchschnittliche User ist heute mit technischen Helfern wie Cloud-Diensten, Apps und Software-Tools bestens vertraut. Was er aus dem Privatleben kennt, möchte er auch am Arbeitsplatz gewinnbringend einsetzen – auch wenn dies oft gegen die IT-Richtlinien seines Arbeitgebers verstößt. Es reicht deshalb nicht aus, Mitarbeiter wieder und wieder über IT-Sicherheit aufzuklären. Schulungen sind zwar wichtig, lösen aber nur einen Teil des Problems.
Zahlreiche Studien haben in der Vergangenheit nachgewiesen, dass Unternehmen weitgehend unfähig sind, den Spagat zwischen IT-Sicherheit und Arbeitseffizienz zu meistern. Zu diesem Ergebnis kam auch die aktuelle Ponemon-Umfrage, die im Auftrag von Intralinks unter IT-Fachleuten in Deutschland, UK und den USA durchgeführt wurde. Die Mehrheit der Befragten gestand ein, dass ihr Unternehmen es bislang versäumt habe, ein sicheres und zugleich effizientes System zur gemeinsamen Nutzung von Daten zu etablieren. Oft würden stattdessen private Datenträger wie USB-Sticks und herkömmliche, auf Privatanwender ausgelegte File-Sharing-Lösungen eingesetzt.
Jedes Unternehmen sollte das Ziel verfolgen, Kollaborations- und File-Sharing-Tools zu etablieren, die einerseits modern, leicht zu bedienen und effizient sind, andererseits aber auch ein Höchstmaß an Sicherheit garantieren. Im Idealfall gestatten solche Tools, den gesamten Lebenszyklus eines Dokuments zu kontrollieren und so auch möglichen Fehlern und Richtlinienverstößen der Mitarbeiter vorzubeugen.
Information Rights Management ermöglicht vollständige Kontrolle
Verschiedene Technologien sind in der Lage, die genannten Anforderungen zu erfüllen. Dazu gehört auch das Information Rights Management, kurz IRM. Es ermöglicht, sensible Daten über ihre gesamte Lebensdauer hinweg zu schützen und den Zugang zu ihnen passgenau zu kontrollieren. Projektleiter etwa können Zeiträume festlegen, in denen bestimmte Mitarbeiter Zugriff auf ein Dokument haben oder darüber bestimmen, ob es kopiert, ausgedruckt und verändert werden darf. So behält der Eigentümer der Daten stets die volle Kontrolle.
Indem Unternehmen ihre Dokumente mit einem Verfallsdatum versehen, lässt sich außerdem sicherstellen, dass Daten ab einem bestimmten Zeitpunkt nicht mehr gelesen werden können. Eine solche Beschränkung ist auch nachträglich noch möglich – selbst wenn die Datei bereits kopiert oder weitergeleitet wurde.
Fazit: Den Spagat meistern
Unternehmen sollten lernen, den Spagat zwischen IT-Sicherheit und Arbeitseffizienz zu meistern. Datenschutzschulungen können dazu beitragen, Mitarbeiter für Sicherheitsfragen zu sensibilisieren. Dies darf aber immer nur der erste Schritt sein. Im zweiten Schritt müssen IT-Lösungen etabliert werden, die nicht nur sicher sind und Compliance-Auflagen erfüllen, sondern auch effizient und leicht zu bedienen. IRM-basierte Kollaborationstools sind hierfür das beste Beispiel.
Tools und Services, die weniger komfortabel und zweckmäßig sind als ihre kostenfreien Alternativen aus dem Privatanwenderbereich, finden nur schwer Akzeptanz. IT-Abteilungen müssen ihre Lösungen deshalb immer auch darauf abklopfen, ob sie den Anforderungen der Nutzer entsprechen. Nur so lässt sich das Sicherheitsrisiko Mensch minimieren.
