Die eigenen Mitarbeiter sind ein großes Risiko für die IT-Sicherheit. Versehentliche Fehler der Angestellten gefährden zunehmend die Informationssicherheit in deutschen Unternehmen. Nur drei von fünf Beschäftigten, so die Einschätzung von IT-Verantwortlichen, wissen, wie sie sicher mit ihren Daten umgehen. Umfassende Sicherheitsrichtlinien mit definierten Schutzzielen und Maßnahmen sollten daher in Unternehmen verbindlich festgeschrieben und kommuniziert werden. Besonders an der Informationsweitergabe hapert es jedoch. Bisher bietet nicht einmal jedes dritte Unternehmen Sicherheitsschulungen für die Angestellten an. Zu diesen Ergebnissen kommt die Studie "IT-Security 2004" der InformationWeek, die zusammen mit Mummert Consulting ausgewertet wurde.

Fast jeder sechste IT-Verantwortliche hält hauptsächlich seine autorisierten Mitarbeiter für die Verursacher der Sicherheitsverstöße im Unternehmen. 13 Prozent misstrauen vor allem nicht autorisierten und acht Prozent ehemaligen Mitarbeitern. Dabei handeln die eigenen Angestellten meist gar nicht böswillig. Häufig können Externe auf vertrauliche Daten oder interne Systeme zugreifen, weil Firmenangestellte nachlässig mit Sicherheitsvorkehrungen umgehen oder diese nicht kennen. Jedes fünfte Unternehmen versäumt es, seine Mitarbeiter über Datenschutz- oder Verhaltensrichtlinien zu informieren.

In vielen Fällen liegt aber nicht nur die Kommunikation über Sicherheit im Argen. Manche Manager haben scheinbar noch nicht erkannt, wie wichtig Datensicherheit für den Unternehmenserfolg ist, und verzichten komplett auf Sicherheitsrichtlinien. Mehr als jedes fünfte Unternehmen hat keine so genannte Security Policy. Jeder zehnte IT-Verantwortliche kann zudem keine Auskunft darüber geben, ob sein Unternehmen über eine verbindliche Sicherheitsrichtlinie verfügt. Bei weiteren 27 Prozent der Firmen haben die Sicherheitsrichtlinien lediglich informellen Charakter.