IT-Sicherheitsstandards sind abhängig von der Größe eines Unternehmens
Eine Umfrage deckt auf, dass große Unternehmen ihren Encryption Key vielfach mit ihrem Cloud-Provider teilen, während kleine Unternehmen dies eher ablehnen.
Sollten die Schlüssel, mit denen Unternehmen ihre sensiblen Daten verschlüsseln, zusätzlich zur Speicherung im Unternehmen auch dem Cloud-Provider zur Verfügung stehen? 58 Prozent der Unternehmen mit 2.000 bis 4.999 Mitarbeitenden beantworten diese Frage mit „ja“. Anders sehen das Unternehmen mit bis zu 400 Mitarbeitenden: 61 Prozent von ihnen legen großen Wert darauf, dass niemand außerhalb der Organisation Zugriff auf die Masterschlüssel hat.
Zu viel Vertrauen in die Cloud-Provider?
„Dieses Ergebnis ist insofern überraschend, weil man eigentlich vermuten würde, dass große Unternehmen oder Konzerne ihren Schlüssel nicht aus der Hand geben und kleinere Unternehmen dagegen für den Notfall zusätzlich auf eine externe Unterstützung vertrauen“, sagt Andreas Steffen, CEO von eperi (Webseite). „Auf jeden Fall ist es keine gute Idee, den Zugang zu den wertvollsten oder sensibelsten Daten in fremde Hände zu geben. Das ist, als ob man den Haustürschlüssel einem Nachbarn gibt, den man nicht gut genug kennt und dessen Türe selten abgeschlossen ist.“
Umgang mit dem Encryption Key
Der Umgang mit dem Encryption Key ist von Branche zu Branche unterschiedlich. Während 75 Prozent der befragten Handelsunternehmen angeben, den Schlüssel nicht aus der Hand zu geben, legen nur 51 Prozent der Non-Profit-Organisationen sowie aus dem Gesundheits- und Sozialwesen und der Öffentlichen Verwaltung Wert auf den alleinigen Zugriff. Auffällig ist zudem ein weiteres Ergebnis der Umfrage: Demnach sprechen sich zwar 65 Prozent der IT-Unternehmen dafür aus, dass der Masterschlüssel nur ihnen selbst zur Verfügung stehen sollte, aber gleichzeitig haben 26 Prozent kein Problem damit, wenn auch der Cloud-Provider auf diesen Zugriff hat. Irritierend ist zudem, dass 9 Prozent der befragten IT-Unternehmen dazu überhaupt keine Einschätzung abgeben.
Unabhängig von diesen branchenspezifischen Antworten zum Umgang mit dem Verschlüsselungsschlüssel, halten 70 Prozent der Unternehmen es für riskant, wenn jemand von außerhalb des Unternehmens – und sei es der Cloud-Provider – auf den Datenschlüssel zugreifen kann; bei den Banken und Versicherungen sehen hierin sogar 89 Prozent ein erhöhtes Risiko.
Es besteht also Aufklärungsbedarf über den richtigen und verantwortungsvollen Umgang mit dem Encryption Key.