End-to-End-Verschlüsselung in wenigen Unternehmen umgesetzt: Kaum Kontrolle über sensible Daten
IT-Verantwortliche und CEOs nehmen die Sicherheit des Datentransfers nicht sehr ernst genug, obwohl sie um die Gefahren wissen. Dieser Schluss lässt sich aus „Tresorit‘s Secure File Sharing Report 2021“ ziehen, für den 750 IT-Führungskräfte verschiedener Branchen, inklusive dem Finanzsektor, befragt wurden. Die wichtigsten Ergebnisse der Studie im Überblick.
von István Lám, CEO und Co-Founder von Tresorit
Unternehmen nutzen Tools wie E-Mail-Attachments, FTP-Server, cloudbasierte Collaboration-Apps oder ähnliches ganz selbstverständlich im geschäftlichen Alltag, um Dateien mit internen und externen Parteien auszutauschen. Dass diese Werkzeuge ein Sicherheitsrisiko sein können, ist den IT-Verantwortlichen dabei sehr wohl bewusst.Für den aktuellen „Secure File Sharing Report“ (Link) von Tresorit, einem Anbieter einer hochsicheren Content-Collaboration-Plattform, durchgeführt von dem Marktforschungsinstitut OpinionMatters, wurden 750 IT-Führungskräfte nach den größten Risiken beim File-Transfer befragt. Fast die Hälfte (49 Prozent) äußerten demnach Bedenken, dass ihre File-Transfer-Tools Sicherheitslücken haben könnten. Für 47 Prozent der Befragten (Finanzbranche: 50 Prozent) stellt der Kontrollverlust über die versendeten bzw. geteilten Dateien ein Problem dar. 46 Prozent haben Schwierigkeiten mit dem Deployment und der Maintenance ihrer File-Sharing-Lösungen. 44 Prozent haben Lösungen im Einsatz, die sie für unzuverlässig halten (Finanzbranche: 38 Prozent). Nimmt man den menschlichen Faktor noch hinzu – 44 Prozent der Befragten bewerten Fehler der Mitarbeiter als hohes Sicherheitsrisiko – entsteht ein insgesamt eher besorgniserregendes Bild.
Keine Unternehmensrichtlinien trotz sensibler Daten
Die Macher der Studie wollten genauer wissen, welche Bedenken hinter diesen Risikoeinschätzungen liegen. Die IT-Entscheider wurden gebeten, anzugeben, welches ihre drei Hauptbedenken seien, wenn es um das Teilen von Daten mit externen Geschäftspartnern geht. Die mögliche Überwachung durch staatliche Stellen (32 Prozent, Finanzbranche: 30 Prozent), das Sicherstellen von geeigneten Nutzer-Berechtigungen (31 Prozent, Finanzbranche: 34 Prozent) sowie unbeabsichtigte Fehler durch Nutzer (30 Prozent, Finanzbranche: 22 Prozent) wurden hier am häufigsten genannt. Darüber hinaus zeigten sich hier ganz grundsätzliche Unsicherheiten, wenn es um die Sicherheit beim Datentransfer geht:
Denn fast genauso viele Befragte gaben an, dass sie nicht wüssten, wie Service Provider mit ihren Daten umgehen (29 Prozent).”
Noch einmal 28 Prozent attestierten Mängel bei der Einhaltung von Datenschutzbestimmungen und Unternehmensrichtlinien. Über Hacker-Attacken und Industrie-Spionage machten sich je ein Viertel der Befragten Sorgen.
Soweit, so gut, möchte man meinen. Die Sicherheitsrisiken sind bekannt, die zum Teil erheblichen Bedenken beim Transfer von Daten benannt. Interessant ist nun die Frage, ob die Unternehmen entsprechende Maßnahmen ergreifen, um ihren Datentransfer abzusichern.
Nur 37 Prozent der befragten IT-Entscheider gaben an, eine Unternehmens-Policy für die Klassifizierung und das Teilen aller Arten von sensiblen Daten zu haben.”
Knapp die Hälfte der Unternehmen (47 Prozent) hat laut eigenen Angaben immerhin für manche Daten eine Sicherheits-Policy. 15 Prozent arbeiten gänzlich ohne Richtlinien. Und nicht einmal ein Drittel der Befragten (28 Prozent) glaubt, dass ihre Lösung genug Kontrolle und Sicherheit beim Datentransfer bietet.
Die Angaben in den unterschiedlichen Branchen variieren etwas. Aber auch Branchen in denen die Arbeit mit sensiblen Daten per se zum Tagesgeschäft gehört, schneiden kaum besser ab. So haben beispielsweise Unternehmen aus dem Finanz- und Healthcare-Sektor (44 Prozent und 43 Prozent) etwas häufiger als der Durchschnitt (37 Prozent) eine Unternehmens-Policy für alle Daten – eine Minderheit. Besonders selten sind übergreifende Unternehmensrichtlinien übrigens in IT- und Telekom-Unternehmen (29 Prozent) und bei Dienstleistern aus dem Bereich Manufacturing und Utilities (24 Prozent).
Vollverschlüsselter Datentransfer ist noch kein Standard
Neben Datenschutz-Policies und Berechtigungskonzepten sind technische Lösungen für den Schutz von Daten beim Transfer von Bedeutung. Eine Ende-zu-Ende-Verschlüsselung (client-side encryption), bei der die Datei bereits auf dem Rechner des Nutzers verschlüsselt und erst bei dem autorisierten Empfänger wieder decodiert wird, bietet ein Höchstmaß an Sicherheit.
Die serverseitige Verschlüsselung, die die meisten Sharing-Services mit anbieten, stellt hingegen nur ein geringeres Maß an Sicherheit und Kontrolle zur Verfügung.
Die Daten gelangen hierbei zunächst unverschlüsselt zum Service-Anbieter – im Falle von cloudbasierten Diensten ist das ein externer Service Provider. Dem Anspruch an den Schutz sensibler Daten kann das nicht genügen.”
Dennoch haben nur 30 Prozent der befragten Unternehmen eine End-to-End-Verschlüsselung im Einsatz. Bei Unternehmen der Finanzbranche sind es sogar nur 28 Prozent. 35 Prozent aller Umfrageteilnehmer setzen serverseitige Verschlüsselung in Verbindung mit einem zusätzlichen Encryption Key Management Service ein. 33 Prozent verlassen sich auf die serverseitige Verschlüsselung des Sharing-Dienstes.
Bedarf an sicherem Datentransfer wird weiter wachsen
Die Umfrageergebnisse zeigen ein starkes Problembewusstsein auf der einen und zugleich unzureichende praktische Absicherungsmaßnahmen auf der anderen Seite.
Integrierte Sicherheitslösungen, die alle gängigen Mailprogramme unterstützen, Single-Sign-on-Funktionen bieten, Download-Sperrungen ermöglichen, Link-Tracking versandter Dateien durchführen und Datenresidenzoptionen bieten, werden an Bedeutung gewinnen.”
Denn der sichere Datenaustausch mit Externen wird immer wichtiger: 72 Prozent der für die Tresorit-Studie Befragten gaben beispielsweise an, dass es mit der Pandemie und den damit verbundenen Änderungen im Geschäftsalltag mehr denn je auf einen sicheren Datentransfer ankommt.István Lám, Tresorit
Sie finden diesen Artikel im Internet auf der Website:
https://itfm.link/124780
Schreiben Sie einen Kommentar