Die größte Gefahr für die IT-Sicherheit eines Unternehmens geht – bezogen auf den Faktor Mensch – von den eigenen Mitarbeitern aus, dicht gefolgt von Drittparteien. Diese Einschätzung teilt die Mehrheit der Befragten des aktuellen Risk:Value-Reports 2017 von NTT Security, Spezialist für Informationssicherheit und Risikomanagement.
Der jährlich vom Marktforschungsunternehmen Vanson Bourne im Auftrag von NTT Security erstellte Risk:Value-Report zeigt, in welchen Bereichen und bei welchen Personen die größten IT-Sicherheitsgefahren drohen. Auf die Frage "Welche Person beziehungsweise Personengruppe steht für Sie bei den Sicherheitsschwachstellen an erster Stelle?" nennen 23 Prozent der Teilnehmer die "Mitarbeiter ohne Führungsverantwortung". Den zweiten Platz belegen Drittparteien mit 19 Prozent; hierzu zählt Vanson Bourne Subunternehmen, externe Dienstleister und Lieferanten. Position drei nimmt der CEO ein; ihn stufen 12 Prozent als schwächstes Glied in der IT-Sicherheit ein. Als weitere Sicherheitsschwachstellen nennen 11 Prozent der Befragten das Management, 10 Prozent die Kunden, 7 Prozent die Administratoren, 7 Prozent die Aufsichtsräte und 6 Prozent die C-Level-Führungskräfte ohne CEO.
"Eine durchgängige IT-Strategie muss die verschiedenen Sicherheitsschwachstellen gleichberechtigt adressieren. Bereits eine verwundbare Stelle kann für ein Unternehmen katastrophale Folgen nach sich ziehen", betont Kai Grunwitz, Senior Vice President EMEA bei NTT Security. "Eines zeigt die Studie in aller Deutlichkeit: Unternehmen müssen abgesehen von den erforderlichen technischen Maßnahmen die eigenen Mitarbeiter mit hoher Priorität stärker für das Thema Sicherheit sensibilisieren. Angesichts der sich ständig ändernden Bedrohungslage ist vor allem eine turnusmäßige Durchführung von Workshops und Schulungen unverzichtbar."
Besonders überraschend in den Augen von NTT Security ist, dass der CEO bei der Frage nach der größten Sicherheitslücke an dritter Stelle genannt wurde. "Eigentlich sollte man davon ausgehen, dass gerade die IT-Systeme des CEO, seien es der Desktop-PC, der mobile Rechner oder das Smartphone, besonders gehärtet und geschützt sind", so Grunwitz. "Die Befragten halten die ergriffenen Maßnahmen aber anscheinend nicht für ausreichend, folglich sollten sie Unternehmen noch einmal genauestens auf den Prüfstand stellen, schließlich liegt es auf der Hand, dass der Wissensträger CEO ein lukratives Ziel für potenzielle Angreifer ist. Wir haben bei NTT Security gute Erfahrungen mit speziell auf das Management ausgerichteten Angriffssimulationen gemacht, die zeigten, dass mehr als 70 Prozent des Managements nur unzureichend abgesichert sind."