Security: Harte Kritik an CIOs und Sicherheitsverantwortlichen

2. November 2005, 16:00
  • security
  • cio
image

Firmen geben Geld für Security-Lösungen aus, statt in Ausbildung und Prozessen zu investieren.

Firmen geben Geld für Security-Lösungen aus, statt in Ausbildung und Prozessen zu investieren.
Seit 1994 führt der weltweit aktive Buchprüfer und Beraterungs-Konzern Ernst & Young den "Global Information Security Survey" durch. Im vergangenen Jahr wurden die Verantwortlichen von über 1'200 Firmen und Organisationen mit mehr als 500 Mitarbeitenden befragt. Unter den befragten Firmen stammen viele aus der Finanzindustrie - einer auf Regelverstössen naturgemäss besonders empfindlichen Branche.
In der kostenlos downloadbaren Zusammenfassung der Resultate übt Ernst & Young heftige Kritik an den Sicherheitsvorkehrungen in den befragten Firmen. Während "Angstmacher" mit übertriebenen Schadensschätzungen die mediale Aufmerksamkeit immer noch vor allem auf externe Bedrohungen lenken, stellen Missbräuche durch Mitarbeitende, Unterlassungen und das "Vergessen" von Regeln und Vorschriften die viel grösseren Gefahren dar, heisst es in dem Papier.
Besonders erschreckend: Seit 1994, als die Studie erstmals durchgeführt wurde, hat sich praktisch nichts verändert. Dies obwohl sich die Gefahren durch die zunehmende Aufsplitterung der Wertschöpfungsketten (Outsourcing) erhöht haben, müssen doch Unternehmen nicht nur Informationen in der eigenen Firma, sondern auch im Umfeld (Outsourcer, Partner) sichern.
So führen 70 Prozent der befragten Firmen keine regelmässigen Bewertungen durch, ob ihr IT-Dienstleister (Outsourcer) sich an die Regeln für die Informationssicherheit hält.
Menschliche Dimension wird missachtet
Die befragten Top-Manager, mit denen Ernst & Young diskutierte, sagten zwar, sie nähmen Informations-Sicherheit ernst. Im Widerspruch dazu steht aber, dass nur wenig Mittel und Ressourcen in sicherheitsspezifische Aus- und Weiterbildung der Mitarbeitenden gesteckt werden.
Das Management sei willig bereit, Geld für Technologie auszugeben, schreiben die Leute von Ernst & Young, zögert aber, in die Ausbildung der Mitarbeitende zu investieren. Dies obwohl dem Management der befragten Firmen durchaus bewusst ist, dass Fehlverhalten von Mitarbeitenden, Partnern oder Outsourcern eine wichtige Gefahrenquelle darstellt. (Christoph Hugenschmidt)

Loading

Mehr zum Thema

image

EPD-Infoplattform von eHealth Suisse gehackt

Unbekannte haben von der Website Patientendossier.ch Nutzerdaten abgegriffen. Das BAG erstattet Anzeige, gibt aber Entwarnung.

publiziert am 30.9.2022 2
image

Palantir übernimmt 230-Millionen-Auftrag, um US-Drohnen effizienter zu machen

Der opake Datenanalyse-Konzern des rechtslibertären Milliardärs Peter Thiel gibt auch in Europa wieder zu Reden. CEO Alex Karp inszeniert sich als kritischer Geist.

publiziert am 30.9.2022
image

Podcast: Sollten noch Produkte von Huawei und Kaspersky eingesetzt werden?

Wir debattieren, was es für die Schweiz bedeutet, wenn Produkte von Firmen aus autoritären Ländern eingesetzt werden. Zudem gehen wir den Transparenzinitiativen von zum Beispiel Kaspersky und Huawei auf den Grund und fragen uns: Sind die Amerikaner eigentlich besser?

publiziert am 30.9.2022
image

Ransomware-Banden kaufen Erstzugänge extern ein

Für nur gerade 10 Dollar können sich Cyberkriminelle auf Darkweb-Flohmärkten Zugänge zu Systemen kaufen. Damit können sie dann Schlimmes anrichten.

publiziert am 29.9.2022