Mitarbeiter schnüffeln gerne nach Informationen

Nahezu zwei von drei Befragten (66 %) gaben zu, bereits aktiv nach solchen Unternehmensinformationen gesucht zu haben. One Identity, führender Anbieter für Identity- und Access Management (IAM)-Lösungen, hat in einer jüngst veröffentlichten globalen Studie herausgefunden, dass eine überwältigende Mehrzahl von Beschäftigten bewusst nach Informationen sucht, auf die sie nicht zugreifen dürften. Die Resultate legen nahe: Unternehmen haben in dieser Hinsicht ein massives Problem mit ihrer eigenen Belegschaft.

Die von Dimensional Research unter mehr als 900 IT-Sicherheitsexperten durchgeführte globale Studie beschäftigt sich mit Trends und Herausforderungen beim Verwalten von Zugriffsberechtigungen für Unternehmensdaten. Zu den wichtigsten Befunden gehört, dass 92 % der Befragten versuchen auf Informationen zuzugreifen, die sie für ihre tägliche Arbeit nicht benötigen. Beinahe einer von vier Befragten (23 %) sagte, dass dies sogar häufig der Fall sei.

IT-Sicherheitsexperten sind oftmals selber die schwarzen Schafe

Besonders alarmierend ist die Tatsache, dass gerade IT-Sicherheitsexperten selbst zu den schlechtesten Hütern von Unternehmensdaten gehören. Einer von drei Befragten räumte ein, bereits auf sensible Informationen zugegriffen zu haben. Solche, die nicht notwendig waren um die tägliche Arbeit zu verrichten. Die Resultate sind umso erschreckender, wenn man bedenkt, dass der Missbrauch mit Hilfe von privilegierten Zugriffsberechtigungen erfolgte, die mit der Position als IT-Sicherheitsexperte verbunden sind.

Weitere Ergebnisse der Studie:

•  Informationen zu Leistung und Erfolg des Unternehmens sind „heiße Ware“: Mehr als einer von drei Befragten (36 %) hat eingeräumt nach sensiblen Informationen zu Leistung und Erfolg des Unternehmens gesucht oder sogar schon darauf zugegriffen zu haben. Unabhängig davon, ob diese tatsächlich erforderlich gewesen wäre.
• IT-Sicherheits-Manager tragen aufgrund ihrer privilegierten Position und den damit verbundenen Zugriffsberechtigungen die größte Verantwortung: 71 % von ihnen gaben zu, nach für sie nicht notwendigen Informationen zu suchen, verglichen mit lediglich 56 % der Mitarbeiter außerhalb des Management-Teams. 45 % der Befragten auf Management-Ebene räumten ein, gezielt nach sensiblen Unternehmens-informationen zu suchen oder bereits darauf zugegriffen zu haben. Das taten im Vergleich dazu nur 17 % der Mitarbeiter in IT-Teams.
• Je kleiner das Unternehmen, desto mehr wird „geschnüffelt“: 38 % der IT-Sicherheitsexperten in Unternehmen mit 500 bis 2.000 Mitarbeitern räumten ein, aktiv nach solchen Unternehmensinformationen zu suchen, während das in Unternehmen mit mehr als 5.000 Beschäftigten nur 29 % tun.
• Wer in Technologieunternehmen arbeitet, interessiert sich ganz besonders für sensible Informationen: 44 % der Befragten, die in einem Technologieunternehmen beschäftigt sind, haben schon aktiv nach Informationen zur Unternehmensperformance gesucht, verglichen mit 36 % der Befragten aus dem Finanzwesen, 31 % aus der Industrie und nur 21 % aus dem Gesundheitswesen.

John Milburn, President und General Manager von One Identity: “Während Insider-Bedrohungen oftmals gar nicht beabsichtigt sind, ist es offensichtlich weit verbreitet, dass Mitarbeiter sich bei Daten und Informationen einmischen, die nicht in ihren Verantwortungs-bereich fallen. Und es ist gerade dieses offensichtlich weit verbreitete Phänomen, mit dem Mitarbeiter sich und die Firma in Teufels Küche bringen. Ohne übergreifende Governance der Zugriffsberechtigungen und Rechtevergaben stellen Unternehmen ihren Angestellten einen Freifahrtschein aus, nach Belieben auf sensible Informationen zuzugreifen. Dazu gehören Unternehmenszahlen, vertrauliche Kundendaten oder private Dateien der Geschäftsführung. Geraten solche Informationen in die falschen Hände, sind die Folgen immer schwerwiegend. Der Verlust von Unternehmens- und Kundendaten oder deren Offenlegung und Verstöße gegen geltende Compliance-Richtlinien sind mögliche Risiken, die unwiderruflich Schaden an Image oder Finanzkraft eines Unternehmens anrichten.“

Weblink zum Thema

• Arbeitsrecht: Schnüffeln verboten

^{Foto/Thumbnail: ©SergeyNivens/Depositphotos.com}

(cf)