Thema der Woche

28. März 2008

Fernzugriff braucht sicheres Verhalten

Angesichts der gestiegenen Zahl und Bedeutung von Remote-Access-Zugängen wird sicheres Verhalten von Mitarbeitern immer wichtiger. Aus einer neuen Studie in Großbritannien lässt sich ein "Dreisprung" ableiten, um das zu erreichen: Im ersten Schritt gilt es, durch eine Sicherheitspolicy das geforderte Verhalten zu beschreiben. Danach sind Maßnahmen zur Steigerung des Sicherheits-Bewusstseins bei den Mitarbeitern erforderlich. Doch damit sei man noch nicht am Ziel, betont Chris Potter von PricewaterhouseCoopers: "Unternehmen erkennen zunehmend, dass gesteigerte Security-Awareness nur ein Teil der Lösung ist. Entscheidend ist es, auch das Verhalten der Menschen zu verändern."

Derzeit habe sich eine "Klick-Mentalität" etabliert: Anwender machen letztlich, was sie ihren Zielen näher bringt, auch wenn sie wissen, dass an sich ein anderes Verhalten richtig wäre. Cooper vergleicht das mit Geschwindigkeitsbegrenzungen im Straßenverkehr: "Jeder weiß, was er tun sollte, aber nur wenige machen es tatsächlich." Auch in Sachen Informations-Sicherheit könne man jedoch nur von den Vorzügen gesteigerten Sicherheitsbewusstseins profitieren, wenn dieses auch zu tatsächlichen Verhaltensänderungen führe. Hierzu erscheinen als dritter Schritt Maßnahmen zu Policy-Enforcement und Monitoring erforderlich.

Die ersten Ergebnisse der "Information Security Breaches Survey (ISBS) 2008", die unter Federführung von PricewaterhouseCoopers im Auftrag des britischen Department for Business, Enterprise & Regulatory Reform (BERR) durchgeführt wurde, zeigen eine deutliche Tendenz zur Einführung von Policies: Der Anteil der Unternehmen mit klaren Regeln zur Informations-Sicherheit habe sich in den letzten acht Jahren vervierfacht, bei großen Unternehmen haben demnach mittlerweile fast 90 % eine Security-Policy. Ernüchternd wirkt hingegen, dass das noch immer nur auf 68 % aller Unternehmen zutrifft, auch wenn man lediglich diejenigen heranzieht, die "hohe" oder "sehr hohe" Priorität für Sicherheit bekunden – immerhin jedoch eine Steigerung um 13 Prozentpunkte im Vergleich zur Studie von 2006. Bei den weniger sicherheitsaffinen Unternehmen stieg der Anteil der Policy-Besitzer sogar besonders drastisch von vormals 13 % auf jetzt 64 %.

Die wachsende Bedeutung von Fernzugriffen belegt die Studie ebenfalls sehr deutlich: 54 % der britischen Unternehmen erlauben ihren Mitarbeitern demnach heute Remote-Access (2006: 36 %). Die vollständigen Ergebnisse der Studie werden übrigens auf der [externer Link] Infosecurity Europe (London, 2008-04-22/24) vorgestellt.