Kürzlich veröffentlichte Cyber-Ark, ein Hersteller von Produkten für Identity-Management und sichere Datenaustausch, eine Studie mit brisanten Zahlen. Zwar sind Herstellerstudien immer etwas kritisch zu bewerten, interessante Informationen finden sich in ihnen aber fast immer.
Nicht zuletzt aufgrund der Wirtschaftskrise sinkt die Loyalität der ITler rapide und hat sich die Bereitschaft von IT-Beschäftigen, wichtige Firmeninterna ihres Arbeitgebers zu stehlen beträchtlich erhöht. Etwa bei Fusionsplänen von 7% (2008) auf 47% (2009), bei Forschungs- und Entwicklungsdaten von 13% auf 46% und bei privilegierten Passwörtern von 11% auf 46%.
Zwar basiert die Studie „Trust, Security & Passwords“ mit ihren zentralen Fragen nach Datendiebstahl und dafür in Frage kommenden Informationsarten lediglich auf der Befragung von etwa 400 IT-Mittelmanagern.
Aber es klingt durchaus plausibel, dass Firmen die einerseits zweistellige Renditen und 7-8-stellige Vorstandsgehälter anstreben und andererseits Beschäftigte entlassen oder kurz und kleinsparen, sich nicht mehr auf die Loyalität ihrer Leute verlassen können. Insbesondere wenn sich dort auch externe Mitarbeiter (Consultants, Leihkräfte etc.) mit entsprechender “Söldnermentalität” sowie Praktikanten und befristet Beschäftigte in Größenordnungen die Klinke in die Hand geben.
Datenklau und Betriebsgeheimnisverrat als Form der „autonomen Lohnerhöhung“? Das dürfte die ohnehin von Datenschutzskandalen gebeutelten Firmen nun wirklich im unpassendsten Moment treffen.
20% der befragten Firmen gaben in der Studie an, bereits Opfer von Insider-Sabotage geworden zu sein, wie auch der Fachinformationsdienst IT-Grundschutz kürzlich berichtete.
Und viele der Firmen rüsten sich sicherheitstechnisch auf. Überwachte Admin-Accounts, verbessertes Rechte- und Rollenmanagement, Zutrittskontrollen und Videoüberwachung hochsensibler Firmenbereiche. Sowie der Einsatz von speziellen Produkten wie z.B. virtuelle sichere Datenräume oder Enterprise Rights Management (eine Art firmeninternes DRM), um nur noch sicheren, überwachten und (für sie Firma) transparenten Datenaustausch zuzulassen.
Das eigentliche Problem scheint aber nicht im Bereich der Technik sondern im Umgang mit den Mitarbeitern und der generellen Unternehmenspolitik zu liegen. Und dort ist es allein mit sicherheitstechnischen Maßnahmen auch nicht zu lösen. Verdorbenes Fleisch wird bekanntlich durch Zugabe von Likör auch nicht besser.
Dumm nur, dass sich die “Schadwetware” in den Flanelletagen der Unternehmen mit Virenscannern und Pen-Tests nicht wirkungsvoll bekämpfen lässt. Obwohl hier z.B. Betriebsräte bei der Mitbestimung im Rahmen der Inbetriebnahme technischer Schutzmaßnahmen durchaus in der Lage wären, auch eine entsprechende Anpassung unternehmenspolitischer Rahmenbedingungen zu fordern und auch durchhzusetzen.
Eine Zusammenfassung der Studienergebnisse kann man sich bei Cyber-Ark kostenlos herunterladen.
[...] Videoüberwachung beispielsweise an Firmeneingängen oder zur Qualitätskontrolle soll dagegen möglich sein – [...]