Wirtschaftsspionage aus den eigenen Reihen

 „Der Schutz betrieblicher Informationen ist hoch komplex – dies betrifft neben elektronischen und auf Papier befindlichen Daten auch die mündlichen Informationen und das Fachwissen der Mitarbeiter“, warnt Erich Scheiber, Geschäftsführer der Zertifizierungsorganisation CIS. So stellt Wirtschaftsspionage aus den eigenen Reihen eine zunehmende Gefahr für Unternehmen dar. Fast zwei Drittel der Spionage-Schäden entstehen laut einer Corporate-Trust-Studie durch Mitarbeiter. Daher sind ganzheitliche Konzepte gefragt – der internationale Standard für Informationssicherheit ISO 27001 zählt bereits mehr als 20.000 Zertifizierungen weltweit. In Österreich gehören 60 zertifizierte Organisationen zu den Security-Pionieren. Darunter „Größen“ wie der Magistrat Wien, Unternehmen der Raiffeisen-Gruppe oder der Wiener Krankenanstaltenverbund.Vor diesem Hintergrund veranstalteten die Zertifizierungsorganisationen CIS und Quality Austria das „9. Information-Security-Symposium, WIEN 2013“ unter dem Titel:  „Standardisierung von Security & Services nach ISO 27001 / ISO 20000: effektiv und transparent“. Unter dem Ehrenschutz von Wirtschaftsminister Reinhold Mitterlehner und Moderation durch TV-Journalist Josef Broukal trafen sich im Kursalon Wien mehr als 200 Teilnehmer aus führenden Unternehmen: von A1 und BRZ über Frequentis, Kapsch oder Siemens bis UNIQA.

Mitarbeiter-Compliance
Die Key Note beschäftigte sich angesichts zunehmender Wirtschaftsspionage-Fälle mit Awareness und Mitarbeiter-Compliance. So warnte der finnische Studienautor Mikko Siponen: „Mehr als die Hälfte aller relevanten Sicherheitsvorfälle in Unternehmen sind der mangelnden Einhaltung von Security-Policies durch die Mitarbeiter zuzurechnen.“ Unkenntnis oder Ablehnung der Policies sei die häufigste Ursache. Aus empirischen Erhebungen hat Siponen die neun häufigsten Sicherheitsübertretungen gefiltert.
Rangliste der Security-Sünden
An oberster Stelle steht das Vernachlässigen der Bildschirm-Sperren. An zweiter Stelle folgt der „Klassiker“: Notieren von Passwörtern an sichtbaren Orten – sowie das Ausplaudern derselben. Platz Vier belegt die Praxis, sensible Daten auf USB-Medien zu speichern. Nummer Fünf: Weitergabe geheimer Informationen. Noch schlimmer Rang Sechs: Inaktivierung von Sicherheitskonfigurationen. Auf Platz Sieben findet sich der sorglose Umgang mit mobilen Geräten. Das Schlusslicht bilden: Unverschlüsseltes Senden vertraulicher Informationen sowie Verwendung simpler Passwörter.
Conclusio: Security muss greifbar sein!
Die Conclusio von Mikko Siponen: „Man bringt Mitarbeiter nur dann dazu, Security-Richtlinien einzuhalten, wenn diese praktikabel sind – und so ausgestaltet werden, dass sie jene Assets schützen, mit denen Mitarbeiter real arbeiten. Security muss greifbar sein.“ Seine Praxis-Tipps: „Nutzen Sie systematische Trainingsprogramme und verwenden Sie Job-bezogene Lernziele, die für die Teilnehmer relevant sind. Allgemeine oder abgehobene Inhalte verfehlen ihr Lernziel!“ Somit schließt sich laut CIS-Chef Scheiber der Kreis zu ISO 27001. Denn der Security-Standard gibt nicht im Detail vor, welche Trainingsmethoden oder Sicherheitsmaßnahmen konkret anzuwenden sind. Statt dessen fordert er die Verantwortlichen dazu auf, Methoden oder Maßnahmen mit angemessener Wirksamkeit und Wirtschaftlichkeit zu evaluieren, einzusetzen, zu überprüfen und gegebenenfalls zu optimieren. Nur über diesen kontinuierlichen Verbesserungsprozess ist ein hohes Sicherheitsniveau langfristig zu gewährleisten.  

Präsentationen: http://at.cis-cert.com/Pages/de/Galerie/Praesentationen-2013.aspx

Informationen zu Informationssicherheit nach ISO 27001: www.cis-cert.com