Studie: Weniger als 25 Prozent kontrollieren Einsatz mobiler Speichermedien im Büro
Hamburg, 24. April 2007 – Die von mobilen Speichermedien ausgehenden Bedrohungen werden von vielen Unternehmen immer noch unterschätzt. Allein in Großbritannien setzen sich 65 Prozent der Unternehmen unnötigen Risiken durch USB-Sticks, Flash-Laufwerke, iPods und PDAs aus. Dies ergab eine unter 370 Firmen durchgeführte Studie, die heute von GFI Software, einem der führenden Entwickler von Netzwerksicherheits-, Inhaltssicherheits- und Messaging-Lösungen, auf der Infosecurity in London vorgestellt wurde.
(firmenpresse) - Beunruhigende Ergebnisse
Laut der von einem unabhängigen Medienunternehmen durchgeführten Sicherheitsstudie sorgen sich 49 Prozent der befragten britischen Unternehmen um den Diebstahl vertraulicher Daten. Dennoch sind 65 Prozent der Ansicht, dass die Verwendung mobiler Speichermedien in ihrem Netzwerk keine Sicherheitsgefahr darstellt. Ganze 71 Prozent gaben sogar an, dass diese Medien für den Arbeitsablauf wichtig oder sehr wichtig sind.
Fast die Hälfte der befragten Organisationen konnte jedoch nicht sagen, wie viele Mitarbeiter USB-Sticks oder iPods unternehmensintern verwenden. Die Überwachung tragbarer Massenspeicher ist bei 37 Prozent Unternehmensvorschrift – doch lediglich 22 Prozent haben Hardware- oder Software-Maßnahmen implementiert, mit der sich die Verwendung mobiler Speicher gezielt steuern lässt.
“Der unregulierte Einsatz mobiler Speichermedien durch Mitarbeiter bedroht die Sicherheit und Integrität eines jeden Unternehmens. Leider beschäftigen sich Organisationen erst dann mit diesem Thema, wenn bereits ein Schaden eingetreten ist", sagt Andre Muscat, Director Network Security Products bei GFI Software.
Verhallte Warnungen
Sicherheitsunternehmen warnen bereits seit Langem vor den Gefahren durch Endpunkt-Geräte, jedoch ohne Erfolg. Viele Unternehmen steigern sogar das Risiko, durch mobile Speichermedien geschädigt zu werden, indem sie deren Einsatz aktiv fördern: Laut Forschungen von GFI geben 83 Prozent der befragten Unternehmen USB-Sticks oder PDAs an ihre Mitarbeiter aus. Die vorrangigen Gründe: ein flexibleres, standortunabhängiges Arbeiten (76 Prozent) und der leichtere Austausch von Daten (61 Prozent).
Gleichsam gefährlich ist es, den Dateitransfer zwischen Netzwerk und mobilem Gerät nicht zu protokollieren. Nur 29 Prozent der befragten Unternehmen zeichnen den Verlauf des Datenaustauschs auf; diese Vernachlässigung wird vielfach nicht als Sicherheitsbedrohung erkannt und somit fahrlässig unterschätzt. Eine große Naivität beim Umgang mit mobilen Speichermedien zeigt auch folgender Test: Im Februar dieses Jahres schickte der IT-Berater NCC Führungskräften der Finanzabteilungen von 500 börsennotierten Unternehmen einen USB-Stick zu. Der Versand erfolgte auch an mehrere Medienunternehmen, jeweils mit einer anonymen, jedoch sehr verlockenden Einladung zu einer besonderen Veranstaltung. Laut NCC konnten fast 50 Prozent der Führungskräfte und zwei Drittel der Medienunternehmen ihre Neugierde nicht zügeln und verbanden den USB-Stick mit ihrem Netzwerkrechner. Im Fall der Fälle hätte diese Unachtsamkeit das Einschleppen eines Virus bewirken können.
“Der NCC-Test verdeutlicht, mit welchen wachsenden Sicherheitsbedrohungen Unternehmen konfrontiert werden", sagt Muscat. "Generell lässt sich anhand der GFI-Forschungen feststellen, dass im Zusammenhang mit dem Einsatz mobiler Speichermedien auf alle Gefahren und deren Quellen hingewiesen werden muss."
Datendiebstahl leicht gemacht
Ganze 99 Prozent der befragten britischen Unternehmen gaben an, Anti-Virus- und Anti-Spam-Lösungen sowie Firewalls einzusetzen. Dennoch hielten es 78 Prozent für nicht erforderlich, die Nutzung mobiler Speichermedien in ihrem Netzwerk zu überwachen. Darüber hinaus setzten nur neun Prozent weitergehende Schutzlösungen ein. Mit einem Schädling infiziert zu werden, ist jedoch nicht das einzige Sicherheitsrisiko, das von mobilen Speichermedien ausgeht. Aufgrund der Natur der Speichermedien steht auch der Datendiebstahl im Vordergrund: Sämtliche unternehmenskritischen Daten können von Mitarbeitern auf nur einen einzigen, 4 GB großen USB-Stick kopiert werden – ohne dabei großes Aufsehen zu erregen.
Hierzu Andre Muscat: “Die Sicherheitsbedrohung durch Unternehmens-Insider wächst. Stellen sich Firmen nicht rechtzeitig auf die Gefahr von innen ein, können die Auswirkungen fatal sein."
Organisationen jeder Art müssen sich vor dem netzwerkinternen Datendiebstahl durch mobile Speichermedien schützen, wie das Beispiel der Nationwide Building Society (Nationwide) zeigt. Die Bank war im Februar dieses Jahres von der britischen Finanzaufsicht Financial Services Authority (FSA) aufgrund von Datenschutzverletzungen mit einer Geldstrafe in Millionenhöhe belegt worden. Ein Angestellter hatte persönliche Daten von annähernd elf Millionen Kunden unbemerkt auf einen Laptop heruntergeladen, der gestohlen wurde. Da laut FSA bei der Bank keine Kontrollmechanismen für die Speicherung und Verwendung von Daten mit Hilfe von tragbaren Speichern bestanden, wurde sie für die mangelnde Sorgfaltspflicht zur Verantwortung gezogen.
In vielen Fällen bleiben Sicherheitsverletzungen unbemerkt, auch von Administratoren. Laut GFI-Umfrage können 28 Prozent der Systemverantwortlichen nicht sagen, ob durch den unkontrollierten Einsatz mobiler Speichermedien in ihrem Netzwerk bereits interne Sicherheitsverletzungen oder Datendiebstahl aufgetreten sind.
Unternehmensinterne Maßnahmen, die den unautorisierten Einsatz mobiler Speichermedien verhindern sollen, sind vielfach unausgereift und greifen nicht vollständig, so die Untersuchungen von GFI. Üblich sind ein generelles Nutzungsverbot dieser Medien im Unternehmensbereich, die direkte Blockierung/Deaktivierung von Rechneranschlüssen oder die Verwendung von Gruppenrichtlinien unter Microsoft Windows. Vor allem wird die Produktivität von Mitarbeitern, die auf mobile Speichermedien zwingend angewiesen sind, bedeutend eingeschränkt.
Gegenmaßnahmen
“Gefahren durch mobile Speichermedien lassen sich nur mit einer Software-Lösung effektiv abwehren. Diese Lösung muss abhängig von den unternehmensspezifischen Sicherheitsrichtlinien einen erlaubten oder unerlaubten Einsatz von mobilen Medien erkennen können", erläutert Muscat. "Doch selbst nach der erfolgreichen Zugangskontrolle sollte sämtlicher Datenaustausch protokolliert werden. Nur so lässt sich nachverfolgen, ob und wann eine Sicherheitsverletzung erfolgt ist."
Administratoren können Bedrohungen durch mobile Speichermedien mit einem effektiven Risiko-Management bekämpfen, das weitaus kosteneffizienter als die Behebung eines eingetretenen Schadens ist. Vor allem für Unternehmen, bei denen die Sicherheit von Kundendaten zum täglichen Geschäft zählt, ist eine proaktive Gefahrenabwehr unerlässlich, um unwiderrufliche wirtschaftliche und Image-Schäden zu vermeiden.
Weitere Informationen zum Datendiebstahl durch mobile Speichermedien und zum unkontrollierten Einsatz tragbarer Medien im Netzwerk stehen in folgenden White-Papern von GFI bereit:
http://www.gfisoftware.de/de/whitepapers/pod-slurping-an-easy-technique-for-stealing-data.pdf und http://www.gfisoftware.de/de/whitepapers/threat-posed-by-portable-storage-devices.pdf.
Alle hier aufgeführten Produkte und Firmennamen können Marken der jeweiligen Eigentümer sein.
WEITERE INFORMATIONEN
http://www.gfisoftware.de/news/
Ãœber GFI Software
GFI Software bietet als führender Software-Hersteller eine umfassende Auswahl an Netzwerksicherheits-, Inhaltssicherheits- und Kommunikationslösungen aus einer Hand, um Administratoren einen reibungslosen Netzwerkbetrieb zu ermöglichen. Mit seiner mehrfach ausgezeichneten Technologie, einer konsequenten Preisstrategie und der Ausrichtung an den Anforderungen kleiner und mittlerer Unternehmen erfüllt GFI höchste Ansprüche an Effizienz und Produktivität. Das Unternehmen wurde 1992 gegründet und ist mit Niederlassungen auf Malta, in London, Raleigh, Hongkong, Adelaide, Hamburg sowie auf Zypern vertreten und betreut über 200.000 Installationen weltweit. GFI bietet seine Lösungen über ein weltweites Netz von mehr als 10.000 Channel-Partnern an und ist Microsoft Gold Certified Partner. Weitere Informationen stehen zum Abruf bereit unter http://www.gfisoftware.de.
Alle hier aufgeführten Produkte und Firmennamen können Marken der jeweiligen Eigentümer sein.
sales(at)gfisoftware.de
GFI Software GmbH
Bargkoppelweg 72
D-22145 Hamburg
Tel.:+49 (0) 40 306810-00
Fax: +49 (0) 40 306810-10
Guido Bilstein
info(at)gfisoftware.de
040-30681000