Security Serie Teil 1

Wenn die gescheitesten Köpfe die dümmsten Fehler machen

Uhr | Aktualisiert
von Simon Zaugg

Immer mehr Mitarbeiter glauben, in einigen Dingen besser Bescheid zu wissen als die IT-Abteilung des Arbeitgebers. Weshalb dies ein Sicherheitsthema bei vielen Unternehmen ist, sagt Roger Kappeler, IT-Leiter bei der Pestalozzi Rechtsanwälte AG.

Für Roger Kappeler, IT-Leiter in der Anwaltskanzlei Pestalozzi, sind "Risiken von innen" nach wie vor wesentlich relevanter als externe Angriffe.
Für Roger Kappeler, IT-Leiter in der Anwaltskanzlei Pestalozzi, sind "Risiken von innen" nach wie vor wesentlich relevanter als externe Angriffe.

Im "ISPIN SecurityRadar 2011" stach ein Befund besonders heraus: Die Befragten stufen ihre Mitarbeiter im Gegensatz zur Erhebung vom Vorjahr als ein etwas weniger hohes Risiko ein (46,9 Prozent, Vorjahr: 59,4 Prozent).

Markant zugenommen hat dagegen die Zahl jener, die "Attacken im und aus dem Internet" als hohes Risiko einstufen, (84,3 Prozent, Vorjahr: 59,7 Prozent). An der Umfrage hatten 2011 95 Personen in Schweizer Unternehmen teilgenommen, die mehrheitlich als Sicherheitsbeauftragte, CIOs oder CISOs arbeiten.

Vorsichtiger Umgang mit den hochsensiblen Daten zentral

Von diesem Befund zeigte sich Roger Kappeler, IT-Leiter in der Anwaltskanzlei Pestalozzi, einigermassen überrascht. Für ihn sind "Risiken von innen" nach wie vor wesentlich relevanter, wie er im Gespräch mit der Netzwoche hervorhob.

Mit Blick auf Kappelers Umfeld wird rasch klar, weshalb: Die Anwaltsfirma mit über 150 Mitarbeitern betreibt ihr Geschäft vorwiegend Offline und ist Online ein vergleichsweise wenig attraktives Angriffsziel.

Für Kappeler heisst das unter anderem, dass er für einen professionellen und vorsichtigen Umgang der Mitarbeiter mit den hochsensiblen Daten sorgen muss. Im Bezug zur Studie sieht er einige Problemfelder, die, wie er heraushebt, nicht spezifisch für seinen Arbeitgeber gelten, sondern für viele Unternehmen verschiedenster Branchen aktuell sind.

Privat vs. geschäftlich: Unterschiedliche Verhaltensweisen im Web

So ist im Zeitalter der vielen neuen mobilen Geräte der Umgang mit hochsensiblen Daten eine immer grössere Herausforderung, denn die Grenzen zwischen Geschäftlichem und Privatem verschwinden allmählich. Das ist insbesondere auch wegen der unterschiedlichen Verhaltensweisen im Web ein Problem.

"Das Bewusstsein für Gefahren, beispielsweise beim privaten Surfen, ist deutlich tiefer als bei der geschäftlichen Nutzung", weiss Kappeler. Zudem gehe mit der immer liberaleren Haltung, die sich unter anderem im zunehmend breiter akzeptierten Bring-your-own-Device-Ansatz (BYOD) auspräge, eine selbstbewusstere Haltung der Mitarbeiter einher.

Selbstbewusstere Mitarbeiter handeln oft fahrlässig

"Viele Mitarbeiter diverser Firmen meinen heute, sie wüssten alles besser als die jeweilige Firmen-IT-Abteilung. Dann machen sie Dinge, die sehr fahrlässig sind und fügen der Firma Schaden zu, obwohl sie es eigentlich gut gemeint haben." Die Gefahr, dass Mitarbeiter dem Unternehmen bewusst Schaden zufügen, stuft Kappeler derzeit als nicht allzu hoch ein.

Doch die Anzeichen verdichten sich, dass sich dies in eine negative Richtung entwickeln könnte. Dabei geht es auch um eine Wertediskussion. Er beobachtet im heutigen wirtschaftlichen Umfeld generell eine abnehmende Loyalität zum jeweiligen Arbeitgeber, was unweigerlich auch zum Sicherheitsproblem für Unternehmen werden kann.

Lohnt sich Loyalität nicht mehr?

"Die hohe Fluktuation bei vielen Firmen ist ein Problem. Einige Manager wechseln ihre Jobs alle zwei, drei Jahre. Es lohnt sich offenbar nicht mehr, sich mit einem Unternehmen zu identifizieren", zieht Kappeler ein ernüchterndes Fazit.

Dazu kommt der Kostendruck, der bei vielen Unternehmen dazu führt, dass sie zum Beispiel als Erstes Blumen oder Geburtstagsgeschenke für Mitarbeiter einsparen.

Frustrierte Mitarbeiter

"Das ist für Mitarbeiter nicht unbedingt identitätsstiftend. Eine weitere Sparmassnahme sind zum Beispiel auch Shared-Desktops. Wenn man den Mitarbeitern ihre Arbeitsplätze wegnimmt, spart man die Firmenkultur kaputt."

Obwohl die Mitarbeiter oft nicht schlecht verdienten, seien einige deshalb zunehmend frustriert und könnten im Extremfall zu Datendieben werden, fügt er an.

Agieren statt reagieren

Für den IT-Leiter der Anwaltskanzlei ist klar, dass Unternehmen eine langfristige IT-Strategie haben müssen, bei der auch die Informationssicherheit einbezogen wird. "Das heisst auch, dass man Entwicklungen in der IT vermehrt antizipieren sollte, anstatt im Nachhinein zu reagieren."

Zudem sei die konsequente Ausrichtung der IT am Business zentral: "Die IT muss Prozesse unterstützen. Man sollte nicht eine IT nur der IT Willen betreiben."

Grundlegende Management-Devise: Wichtiges von Unwichtigem unterscheiden

Wird die "Gefahr von innen" grösser, wird es umso essenzieller, die wirklich wichtigen Firmendaten zu schützen. Welche Daten für eine Firma überlebenswichtig und deshalb besonders schützenswert sind, das wissen allerdings längst nicht alle Unternehmen, so ein weiterer Befund des Security-Radars.

Kappeler verwundert das, denn für ihn ist klar: "Wichtiges von Unwichtigem zu unterscheiden ist eigentlich eine der grundlegendsten Management-Devisen." Ein Grundsatz der laut Kappeler bei Pestalozzi erfolgreich umgesetzt wird. Trotz aller neuen Gefahren sieht er seinen Arbeitgeber sicherheitstechnisch also gut aufgestellt.

Anmerkung der Redaktion: Dieser Artikel ist Teil einer neuen Serie über das Sicherheitsbefinden in Unternehmen. Die Netzwoche hat dafür sechs IT-Sicherheitsverantwortliche, CIOs und CISOs mit den Resultaten des „ISPIN SecurityRadar 2011“ konfrontiert und ihnen den Puls gefühlt.

Passende Jobs