Wenn von Big Data die Rede ist, dann sind überwiegend unstrukturierte Daten gemeint. Und diese unstrukturierten Daten sind nun anscheinend dran Schuld, dass die IT-Sicherheitsverantwortlichen in Unternehmen mit einem erhöhten Burnout-Risiko kämpfen. Dies ist zumindest das Ergebnis einer Studie, die kürzlich in San Franzisko auf der »RSA Conference 2012« vorgestellt wurde. Demnach wurde anhand der Indikatoren Erschöpfung, Zynismus und persönliche Ineffektivität bei 16 von 124 befragten Sicherheitsexperten – also fast 13 Prozent – ein hohes Burnout-Risiko festgestellt. Knapp 27 Prozent gaben an, dass ihre Arbeit sie nicht zufriedenstelle, während bei 38 Prozent Zynismus auf ein erhöhtes Burnout-Risiko hindeutete, so die von secburnout.org erstellte Studie.

»Die Fachverantwortung für die Daten liegt zwar nicht bei der IT-Sicherheitsabteilung, doch häufig sind deren Mitarbeiter dafür zuständig, Alarm zu schlagen, wenn Informationen gefährdet sind«, meint Arne Jacobsen, Director DACH bei Varonis, einem Spezialisten für Data-Governance-Lösungen. »Es ist schwierig, motiviert zu bleiben, wenn die Leute, deren Daten man schützt, die Bedeutung und Dringlichkeit der Angelegenheit gar nicht erkennen.«

Zu viele unstrukturierte Daten auf Dateiserver und NAS-Geräten sowie auf Plattformen wie Sharepoint und Exchange

Nach Meinung von Jacobsen stehe das unverhältnismäßig hohe Burnout-Risiko unter IT-Sicherheitsexperten in direktem Zusammenhang mit der Stressbelastung durch rasant wachsende Datenmengen, sich verschärfende Sicherheitsbedrohungen und die Kluft zwischen IT-Sicherheitsbeauftragten und der restlichen Organisation. Die größte Gefahr sieht Jacobsen bei unstrukturierten Daten auf Dateiservern und NAS-Geräten sowie in Plattformen wie Microsoft Sharepoint und Exchange.

Denn auf diesen Plattformen würden Berechtigungen in der Regel manuell verwaltet, die IT habe den Überblick darüber verloren, welche Gruppen auf welche Daten zugreifen könnten, und die Nutzung werde meist weder überprüft noch analysiert. Obwohl diese Plattformen im Governance-Bereich das größte Risiko darstellten, würden sie bei Sicherheitsprozessen häufig gar nicht berücksichtigt.

IT-Sicherheitsexperten erhalten zu selten Feedback

»Unternehmen benötigen mehr Kontext zu den Daten, die geschützt werden sollen«, argumentiert Jacobsen. »Dieser Kontext muss den entsprechenden Mitarbeitern innerhalb der Organisation zugänglich gemacht werden, damit die richtigen Leute Entscheidungen über Inhalte, Zugriffskontrollen und die zulässige Nutzung der Informationen treffen können.«

Jacobsen verweist auf einen weiteren Medienbericht von der RSA Conference 2012. Darin wird ein Polizeibeamter erwähnt, zu dessen täglicher Arbeit Drogenrazzien und andere anspruchsvolle, stressintensive Einsätze gehörten. Als er sich jedoch beruflich veränderte und eine Position in der Informationssicherheit übernahm, war er wesentlich unzufriedener, weil sich Erfolg in der IT-Sicherheit kaum messen lässt. »Das Hauptproblem ist«, sagt Jacobsen, »dass IT-Sicherheitsexperten nur selten Feedback erhalten, solange alles gut läuft, aber in der Kritik stehen, sobald das Informationssicherheitssystem nicht mehr reibungslos funktioniert.«

Tools zum Entschärfen des Sicherheitsrisikos

Bei Varonis ist man freilich der Ansicht, dass die Stressbelastung des Personals durch den Einsatz kosteneffektiver Data-Governance-Technologien – insbesondere für unstrukturierte Daten – deutlich reduziert werden kann. Die Systeme ließen sich somit sogar als wirksame Burnout-Vorbeugung für hochbezahlte IT-Mitarbeiter einsetzen.

»Tatsächlich ist die Lösung dieses Problems viel einfacher als es zunächst scheint. Unsere Erfahrung mit Unternehmenskunden zeigt, dass eine geeignete automatisierte Data-Governance-Technologie die Prozesse zum Schutz der Unternehmensdaten deutlich vereinfacht«, erklärt Varonis-Manager Jacobsen. »Denn die entsprechenden Tools ermöglichen es nicht nur, das Sicherheitsrisiko zu entschärfen und messbares Feedback bereitzustellen, sondern sorgen auch für Ergebnisse und Berichte, mit denen sich diese Risikoreduzierung eindeutig nachvollziehen lässt.«

.