Archiv

Interner DatenmissbrauchUnternehmen vernachlässigen Netzwerkschutz

© fotolia.com
Viele Unternehmen vernachlässigen den internen Datenschutz und damit einen wirksamen Schutz ihres Netzwerks. Doch warum gehen sie derart lax mit der internen Sicherheit um?
erschienen: 20.09.2011

1. Schutz vor externen Angriffen hat Vorrang

Zweifellos sind Attacken und Manipulationsversuche über das Internet eine kontinuierliche Gefahr auf gleichbleibend hohem Niveau. Studien zeigen aber wiederholt, dass beim Schutz vor Datendiebstahl eine besondere Gefahr von Tätern aus den eigenen Reihen ausgeht. Diesem Sachverhalt wird in den Security-Investitionen meist zu wenig Rechnung getragen, weil der Fokus fast ausschließlich auf die externen und öffentlich populär diskutierten Gefahren gerichtet wird.

2. Zu isolierte Impulse

Obwohl die IT-Sicherheit unwidersprochen ein unternehmensweites Thema darstellt, obliegt sie fast ausschließlich der IT oder den Security-Verantwortlichen. Diese funktionale Zuordnung ist zwar in fachlicher Hinsicht sinnvoll, darf aber nicht so weit gehen, dass die Business-Abteilungen von einem eigenen Engagement befreit werden. Dies ist jedoch in der Praxis weit verbreitet. Als Konsequenz fehlt es den Initiatoren von Maßnahmen an Unterstützung, mögliche Optimierungspotenziale in der IT-Sicherheit können nicht ausreichend aktiviert werden.

3. Wirtschaftliche Nutzeneffekte werden nicht gesehen

Investitionen in Sicherheitssysteme begründen sich im Regelfall mit der Abwehr von Gefahren, ohne dass ein Zusatznutzen erwartet wird. Im Falle der NAC-Lösungen zum Schutz vor internem Datenmissbrauch stellt sich die Situation jedoch anders dar, weil diese Systeme auch gleichzeitig zur Steuerung des Energieverbrauchs aller Netzwerkkomponenten eingesetzt werden können. Dies bewirkt einen ROI der NAC-Investition bereits im ersten Jahr. Solche Effekte werden in den Unternehmen jedoch nicht deutlich, weil die Verantwortlichen für die IT-Sicherheit einerseits und diejenigen für die Energiekosten andererseits hierzu nicht miteinander kommunizieren.

4. Keine wirkungsvolle Security-Führung

Weil die IT-Sicherheit in der Realität der Unternehmen keine oder nur eine geringe strategische Bedeutung hat, fehlt es den Security-Verantwortlichen an der notwendigen Durchsetzungskraft. Statt IT-Sicherheit als eine rein operative Funktion zu verstehen, bedarf es einer vom Top-Management unterstützten Roadmap. Sie muss explizit auch den internen Schutz vor Datenmissbrauch beinhalten, in ihren sicherheitsstrategischen Zielen mittelfristig angelegt sein und gleichzeitig die Unterstützungspflichten durch die gesamten Organisationseinheiten klären.

5. Angst vor hohem Projektaufwand

Entgegen einer weit verbreiteten Annahme sind NAC-Lösungen typischerweise so angelegt, dass sie eine zeitaufwändige Projektrealisierung vermeiden. Dadurch lassen sich Implementierungen bereits in wenigen Stunden vornehmen. Auch für eine flexible Skalierung des Security-Systems gilt dies. Voraussetzung einer schnellen Implementierung ist die konzeptionelle Ausrichtung der Lösung als Management-Tool, das technisch nicht in die bestehende Infrastruktur integriert werden muss.

6. Fehlende Administrationsressourcen als Argument

Der Hinweis auf den Betreuungsaufwand resultiert vornehmlich aus Erfahrungen mit Managementtools aus anderen Funktionsbereichen, geht aber im Falle von NAC-Lösungen im Regelfall an den realen Gegebenheiten vorbei. Vielmehr sind sie ähnlich ihrer aufwandsarmen Implementierung so angelegt, dass lediglich ein unbedeutender Administrationsbedarf entsteht und somit die IT-Ressourcen nicht nennenswert belastet werden.

7. Beschränktes Augenmerk auf klassische mobile Geräte

Fast alle Mitarbeiter und Personen mit Zutritt zu den Betriebsräumen tragen heutzutage Handys bei sich, teilweise auch andere Mobile Devices mit Speicherfunktionen. Dabei verfügen typische Mobiltelefone heutzutage über ein beträchtliches Speichervolumen, so dass damit bei fehlenden NAC-Lösungen potenziell umfassende Daten widerrechtlich herunter geladen werden können.

8. Irrglaube: Angriffe zielen nur auf große Namen

Letztlich besitzt jedes Unternehmen eine Menge schützenswertes Know-how, auch die kleineren Betriebe. Denn gerade mittelständische Firmen zeigen meist eine große Innovationskraft, entwickeln kontinuierlich Produktneuheiten und haben deshalb eine große Anziehungskraft für wirtschaftskriminelle Aktivitäten. Insofern droht auch ihnen im Falle des Verlustes von Informationen ein erheblicher Schaden.

9. Angst vor Transparenz

NAC-Systeme bilden über das Live-Monitoring und Bestandsmanagement die gesamte Gerätelandschaft innerhalb der Netzwerk-Infrastruktur ab. Somit würden dann auch alle Schwächen ans Tageslicht befördert, für deren Beseitigung möglicherweise keine Ressourcen bestehen. Deshalb wird trotz erkannter Notwendigkeit die Einführung einer NAC-Lösung gerne ohne feste zeitliche Planung in die Zukunft verschoben.

Quelle: Mikado Soft GmbH

(keine Bewertung)  Artikel bewerten