Die unterschätzte Rolle der Mitarbeiter für eine tragfähige IT-Security-Strategie

Die Security Bilanz Deutschland stellt die Umsetzung von IT-Sicherheitsmaßnahmen in den Untersuchungsfokus und liefert im Ergebnis ein realitätsgetreues Bild vom Stand der IT- und Informationssicherheit in den Unternehmen des deutschen Mittelstands.

IT- und Informationssicherheit lässt sich nicht zentral anordnen, sondern ist vielmehr ein Prozess, in den jeder Mitarbeiter eingebunden werden muss. Fast jeder Mitarbeiter trifft täglich Entscheidungen, die direkt oder indirekt Einfluss auf die IT- und Informationssicherheit des Unternehmens haben. Nahezu alle Mitarbeiter mit PC-Zugang nutzen auch das Internet und sind damit täglich der Gefahr von beispielsweise Schadsoftware ausgesetzt und in der täglichen Arbeitskorrespondenz via E-Mail verstecken sich bestens getarnte Phishing-Mails, die vom Spam-Filter nicht als solche erkannt wurden. Für viele Mitarbeiter ist es mittlerweile normal, abends von zuhause noch einmal die beruflichen Mails zu checken, Termine mit dem eigenen Smartphone-Kalender synchron zu halten oder noch einmal schnell eine Präsentation auf dem heimischen Tablet zu überarbeiten. Dadurch ergeben sich Angriffsfelder, bei denen die Zugriffsmöglichkeiten in Form von Absicherungsmaßnahmen durch die IT-Abteilung des Unternehmens begrenzt sind.

Somit übernehmen auch die Mitarbeiter selbst eine zentrale Rolle für die IT- und Informationssicherheit des Unternehmens. Umso wichtiger ist es, dass die Mitarbeiter sich Ihrer Verantwortung bewusst sind und Klarheit darüber herrscht, welche Daten des Unternehmens in welcher Form genutzt werden dürfen. Eine zentrale Aufgabe der Verantwortlichen für die IT- und Informationssicherheit ist es daher, geeignete Regularien für alle sicherheitsrelevanten Aufgabenfelder zu entwickeln und diese dann auch den Mitarbeitern zu vermitteln. Individual- und Betriebsvereinbarungen dienen dabei als Dokumentation, dass Mitarbeiter informiert wurden und bilden damit auch einen geeigneten Indikator, wie es um die Einbeziehung der Mitarbeiter in die IT-Security-Strategie im Unternehmen bestellt ist.

infografik techconsult mitarbeiter security

Abbildung: Die Rolle der Mitarbeiter für IT-Security wird häufig unterschätzt

Auf Grundlage der Ergebnisse der Security Bilanz Deutschland 2014 muss dem deutschen Mittelstand aber ein deutliches Defizit bei der Einbeziehung der Mitarbeiter attestiert werden. Nur etwa 40 Prozent der Unternehmen bringen den Mitarbeitern relevante IT-Security-Themen in Schulungen und Awareness-Kampagnen näher. Ebenso ist der Anteil der Unternehmen, die Security-relevante Arbeitsbereiche mittels Betriebsvereinbarungen geregelt haben, bedrohlich gering. Besonders sensible Aspekte wie die Nutzung privater Endgeräte und auch die Nutzung sozialer Netzwerke werden in 6 von 10 Unternehmen nicht geregelt. Hier besteht dringender Nachholbedarf, vor allem vor dem Hintergrund der Bedeutung, die die Mitarbeiter für die IT-Security-Strategie im Alltag innehaben.

Wie es insgesamt um die IT- und Informationssicherheit im deutschen Mittelstand bestellt ist, lesen Sie in der aktuellen Studie zur Security Bilanz Deutschland, die auf https://www.security-bilanz.de als Download verfügbar ist.

Daniel Pippert

Daniel Pippert, Research Analyst, techconsult GmbH, Kassel

 

Weitere Artikel zu