Mittelstand nutzt Verschlüsselung nicht konsequent genug
Der ITK-Dienstleister QSC hat in Zusammenarbeit mit dem Kasseler Analystenhaus Techconsult eine Studie zum Thema “Sicherer Datenaustausch im Mittelstand” veröffentlicht. Daraus geht hervor, dass das Thema Datenverschlüsselung in kleinen und mittelständischen Unternehmen generell zwar angekommen ist, es von den Mitarbeitern allerdings noch stiefmütterlich behandelt wird. Den Ergebnissen der Studie zufolge setzen rund zwei Drittel der Unternehmen etwa Tools zur E-Mail-Verschlüsselung ein, jedoch nutzen diese weniger als der Hälfte der Angestellten auch wirklich.
Außer den Akzeptanzproblemen bei den Anwendern nannten die Unternehmen auch Lizenzkosten als angebliche Hindernisse bei der Daten-Chiffrierung. Hauptgrund für die lückenhafte Verschlüsselung ist QSC zufolge aber das Fehlen von Compliance-Regeln und klaren Anweisungen für die Mitarbeiter.
Für die Studie befragte Techconsult im Auftrag von QSC die CIOs von 300 Unternehmen im mittleren und gehobenen Mittelstand. Berücksichtigt wurden dabei Unternehmen aus der Fertigungsindustrie, Banken, Dienstleister wie Rechtsanwälte, Steuerberater, Wirtschaftsprüfer und Marketingagenturen sowie Einrichtungen aus der öffentlichen Verwaltung.
Die Studie kommt im Allgemeinen zu dem Ergebnis, dass Angestellte im Schnitt täglich rund 600 MByte der an einem durchschnittlichen PC-Arbeitsplatz pro Tag anfallenden 2 bis 4 GByte an Daten an Geschäftspartner, Kunden oder Lieferanten verschicken. Rund 65 Prozent dieser Daten würden von den Firmen als vertraulich eingestuft und müssten demnach eigentlich verschlüsselt übertragen werden. Die Sensibilität hinsichtlich der Absicherung der Übertragung ist also vorhanden, wird jedoch nicht konsequent genug eingesetzt.
Immerhin verschlüsseln aber etwa drei Viertel der befragten Unternehmen (73 Prozent) Daten bei der Speicherung auf ihren Storage-Systemen, während 63 Prozent – und damit gut zwei Drittel der Firmen – eine Software zur Verschlüsselung von E-Mails einsetzen. Das Problematische daran: Weniger als die Hälfte der Mitarbeiter (44 Prozent) in diesen Organisationen verwendet die vorhandenen Lösungen zur Kommunikation mit externen Stellen. Als Gründe dafür nennen die Unternehmen einerseits Lizenzkosten und andererseits bestehende Usability-Probleme für die Nutzer.
Ist eine Lösung vorhanden, die nicht flächendeckend eingesetzt wird, muss sich die Geschäftsführung laut QSC fragen lassen, warum es keine allgemeinverbindlichen Compliance-Regeln für die verschlüsselte Datenübertragung gibt. Gerieten vertrauliche Daten nämlich in die falschen Hände, so entstünde den Unternehmen neben dem beträchtlichen materiellen Schaden oft auch ein gravierender Imageverlust.
Bei der E-Mail-Verschlüsselung sollten betroffene Firmen daher darauf achten, dass auch die Auswahl einer wirklich geeigneten Lösung eine wichtige Rolle spielt. Eine reine Transportverschlüsselung mit HTTPS und SSL genüge oftmals nicht den Anforderungen der Revisions- und Rechtssicherheit. Vielmehr sei eine Ende-zu-Ende-Verschlüsselung erforderlich, die auf dem Endgerät des Versenders beginnt und sich über den gesamten Übertragungsweg bis hin zum Empfänger erstreckt.
Obwohl die Ende-zu-Ende-Verschlüsselung und das damit verbundene Schlüsselmanagement lange Zeit als eine zu komplexe Angelegenheit angesehen wurde und unter anderem auch ein Grund für die bislang geringe Akzeptanz von De-Mail sein dürfte, sind QSC zufolge schon erste Lösungen erhältlich, die anders als PGP und S/MIME einfach eingesetzt werden könnten. Überdies seien sie problemlos in bestehende Systeme integrierbar und individuell an die Erfordernisse von Unternehmen anpassbar. Das alles bedeutet konkret: Ist die Verschlüsselungs so einfach zu bedienen wie ein E-Mail-Programm und nahtlos darin integriert, wird sie auch von den Anwendern akzeptiert und verwendet.
“Unternehmen benötigen heute eine ganzheitliche Sicherheitsstrategie für den Umgang mit ihren Daten und müssen diese nahtlos und flächendeckend in ihren Geschäftsalltag einbetten”, sagt Christian Ebert, Chief Information Security Officer bei QSC in Köln, in einer Pressemitteilung. “Eine Ende-zu-Ende-Verschlüsselung, die einen optimalen Schutz bietet, sollte in der Handhabung so einfach wie möglich sein, denn damit lassen sich auch unternehmensweit geltende Compliance-Regeln effizienter umsetzen und vertrauliche Daten sind wirksam geschützt.”
Die Studie rät den meisten Unternehmen zudem dazu, über die reine E-Mail-Verschlüsselung hinausgehende Lösungen nachzudenken. Denn gerade in Projektgruppen sei der Einsatz von E-Mails als zentralem Kommunikationskanal häufig wenig praktikabel. Sinnvoller ist es demnach, Lösungen einzusetzen, die sowohl den Funktionsumfang der E-Mail abdecken, als auch direkt weiterführende Kollaborationsfunktionen offerieren.
Für einen Großteil der Anwendungsfälle werden daher sogenannte Virtuelle Datenräume empfohlen. Sie ermöglichten den sicheren Austausch von Daten und stellten in der Regel keine speziellen Anforderungen an die genutzte IT-Infrastruktur. Bislang würden derartige Lösungen jedoch vergleichsweise selten eingesetzt. Nur 40 Prozent der Unternehmen haben demzufolge bislang in entsprechende Tools investiert.
Tipp: Mit SicherKMU informiert ITespresso Sie laufend über wesentliche Entwicklungen im Bereich IT-Sicherheit und beschreibt Wege, wie der Mittelstand mit diesen Bedrohungen umgehen kann. Dadurch entstehen geldwerte Vorteile für unsere Leser. Abonnieren Sie den RSS-Feed und die Mailingliste von SicherKMU! Diskutieren Sie mit uns und anderen Lesern! Weisen Sie Ihre Kollegen auf SicherKMU hin.