Kaum Verständnis für und wenig Wissen über Cybersicherheit

30 Prozent der Mitarbeiter in deutschen Unternehmen verwenden berufliche Geräte zum Online-Shopping oder andere Freizeitaktivitäten. 70 Prozent sehen darin kein Sicherheitsrisiko. 53 Prozent halten illegale Downloads nicht für ein Sicherheitsrisiko.   Nicht einmal jeder fünfte Mitarbeiter (17 Prozent) erhält Schulungen zum Thema Sicherheit.

 

Beim Thema Cybersicherheit herrscht bei Arbeitnehmern in Deutschland offenbar noch großer Nachholbedarf. Dies ist ein zentrales Ergebnis einer Befragung, welche die BSA | The Software Alliance unter Mitarbeitern in deutschen mittelständischen Unternehmen durchgeführt hat [1]. Vielen fehlt es an offenbar an Wissen um Cyberbedrohungen und in hohem Maße an Verantwortungsgefühl für die Folgen der eigenen Handlungen. Damit setzen sie ihre Unternehmen erheblichen Sicherheitsrisiken aus.

Mitarbeiter in deutschen Unternehmen erkennen oftmals alltägliche Risiken nicht. Die Mehrheit (60 Prozent) glaubt nicht, dass die Verwendung eines USB-Sticks oder anderer Geräte eine Sicherheitsbedrohung darstellen könnte. Das Installieren von Software ohne Genehmigung durch den IT-Administrator halten 57 Prozent für unbedenklich. Illegales Downloaden von Musik oder Filmen stellt für 50 Prozent kein Sicherheitsrisiko dar.

 

Bequemlichkeit vor Verantwortung

Die Hauptgründe für diese unsicheren Aktivitäten sind Bequemlichkeit (33 Prozent) und Zeitersparnis (34 Prozent). Nur 46 Prozent der Mitarbeiter würden die Verantwortung für einen Cyberangriff übernehmen, wenn ihr Verhalten zu einem gelungenen Cyberangriff führte.

Gehen Mitarbeiter bewusst Cybersicherheitsrisiken ein? Nur 30 Prozent installieren ausschließlich Programme, die nach der Sicherheitsrichtlinie ihres Unternehmens genehmigt sind. Etwas mehr als ein Drittel (38 Prozent) achtet darauf, dass die Software auf ihren geschäftlichen Endgeräten stets auf dem aktuellsten Stand ist. 35 Prozent würden sich Arbeitsmittel wie Applikationen, Daten oder Zugangsdaten auch ohne Genehmigung der IT-Abteilung beschaffen, um produktiver zu sein. Dies legt nahe, dass mehr Schulungen und verantwortungsbewusste Unternehmensführung nötig sind, um den Schutz gegen Cyberangriffe an allen Punkten des Unternehmens gleich hoch zu halten.

 

Trügerische Sicherheit

Die Daten legen nahe, dass Mitarbeiter das Sicherheitsrisiko unterschätzen, dem ihr Unternehmen ausgesetzt ist. Die große Mehrheit (87 Prozent) hält die Maßnahmen ihres Unternehmens zum Schutz gegen Cyberangriffe für wirksam. 71 Prozent stimmen zu, dass ihr Unternehmen sich schnell genug angepasst hat, um auf die sich wandelnde Cyberbedrohungslage zu reagieren. Wenn sie aber detailliert nach einzelnen Maßnahmen befragt werden, sind die Ergebnisse weniger überzeugend.

 

  • Nur 21 Prozent von ihnen haben spezielle Schulungen zur Cybersicherheit erhalten.
  • Nur 25 Prozent haben strengere Sicherheits- oder Nutzungsrichtlinien beim Zugriff auf Services bemerkt.
  • Nur 30 Prozent der Mitarbeiter haben Best-Practice-Richtlinien erhalten.

 

Dies zeichnet ein Bild von weitgehender Unwissenheit in deutschen klein- und mittelständischen Unternehmen. Nur die Hälfte der Mitarbeiter könnten sagen, ob ihr Unternehmen schon einmal Opfer eines Cyberangriffs oder Datenlecks geworden ist.

 

Es besteht Handlungsbedarf.

Georg Herrnleben, Senior Director Compliance, EMEA BSA | The Software Alliance: »Die Ergebnisse unserer Untersuchung geben Anlass zur Sorge. Kleine und mittelständische Unternehmen müssen mehr tun, um ihre Mitarbeiter in Bezug auf Cybersicherheit fit zu machen. Zu viele Anwender erkennen das Risiko ihrer Handlungen nicht, fühlen sich nicht verantwortlich für ihre eigenen Handlungen und haben nicht einmal Hemmungen, an der IT-Abteilung vorbei zu agieren.«

 

»Unternehmen müssen mehr Führung zeigen. Es braucht mehr Schulungen und ein höheres Bewusstsein für die Risken von Cyberattacken. Das fängt natürlich bei den elementaren Hausaufgaben an: effiziente Passwortverwaltung und Softwarelizenzkontrolle. Es geht aber auch um bessere Ausbildung und mehr Schulung. Die meisten Cybervorfälle beruhen auf menschlichem Fehlverhalten. Dennoch erkennen zu viele Arbeitnehmer nicht, dass jeder einzelne eine Verantwortung zu tragen hat, das Unternehmen zu schützen, für das er oder sie arbeitet.«

 

[1] Über die Umfrage: Die Umfrage wurde im November 2018 von Opinium Research unter 1.500 Mitarbeitern in KMU in Großbritannien, Deutschland, Italien und Polen durchgeführt.

 


 

Cybersicherheit und Compliance: Wie Sie Mitarbeitende ins Boot holen

Illustration: Absmeier, TheDigitalArtist

Der Oktober stand wie immer ganz im Zeichen nationaler Cybersicherheit. Tendenziell kein schlechter Zeitpunkt Mitarbeitende in Sachen Cybersicherheit auf den aktuellen Stand zu bringen. Dazu bedarf es allerdings etwas mehr als nur Informationen zu verteilen. Firmen brauchen stattdessen umsetzbare Strategien, die nicht nur unterstreichen wie wichtig Cybersicherheit ist, sondern die Mitarbeitende aktiv und kontinuierlich einbeziehen.

 

  1. Auf die Mitarbeiter kommt es an. Zeigen Sie ihnen das

Immer noch haben viele Mitarbeiter nicht einmal ein grundlegendes Bewusstsein dafür, wie und warum ein Unternehmen bestimmte Cybersicherheitsstrategien einführt. So fehlt beispielsweise das Verständnis für die weitreichenden Folgen, wenn jemand einen infizierten Link anklickt und damit potenziell das ganze Netzwerk gefährdet. Der erste Schritt in Sachen Weiterbildung ist es, das Material ausreichend relevant und konkret zu gestalten. Verdeutlichen Sie Ihren Mitarbeitern wie deren Verhalten direkt in die Sicherheitsbelange des gesamten Unternehmens eingreift. Wenn jemand verinnerlicht, dass die eigenen (konformen) Verhaltensweisen dazu beitragen, die Sicherheit des Unternehmens zu verbessern, führt das vermutlich zu einem weit weniger riskanten digitalen Verhalten.

In einer aktuellen Studie mit 500 Befragten wurde beispielsweise herausgefunden, dass zwei von fünf Angestellten auf Links und Anhänge klicken, auch wenn sie diese nicht kennen. Offensichtlich, ohne über die möglichen Konsequenzen nachzudenken. Eine weitere Umfrage von Shred-It konstatiert, dass mehr als 25 % der Teilnehmer ihre Computer nicht für einen unbefugten Zugriff sperren, wenn die Geräte unbeaufsichtigt sind. Derart nachlässige Mitarbeiter können eine Firma teuer zu stehen kommen oder ihr doch wenigstens einiges Kopfzerbrechen bereiten. Hier kann man vergleichsweise einfach Abhilfe schaffen.

Wenn Sie mit Ihren Mitarbeitern erstmals über Cybersicherheit und Compliance sprechen, gilt es plausibel zu machen, dass selbst kleine, scheinbar unbedeutende Entscheidungen weitreichende Auswirkungen haben.

Eine Methode sind Rollenspiele. Sie machen sinnfällig, welchen Unterschied vermeintlich unbedeutende Entscheidungen haben. Und das in beiderlei Hinsicht: positiv wie negativ. Man sollte bei dieser Methode allerdings darauf achten, dass Mitarbeiter sich nicht allein für Defizite in der Cybersicherheit verantwortlich fühlen. Der Fokus sollte weniger auf Fehlern liegen als auf einer Fehlerkultur. Trainer sollten vermitteln, dass auch vermeintlich kleine Schritte erheblich dazu beitragen Cybersicherheit zu stärken.

 

  1. Cybersicherheit schon bei der Einstellung trainieren

Mitarbeiter in Cybersicherheit zu involvieren ist ein Prozess — und den kann man nie früh genug starten. Es macht also durchaus Sinn, Cybersicherheit als Thema bei Neueinstellungen anzusprechen. Diese Strategie hat einige Vorteile. Zunächst einmal verdeutlichen Sie, dass Cybersicherheit fester Bestandteil der Unternehmenskultur ist. Und Sie geben Neuankömmlingen die Chance, dies schon von Anfang an zu beherzigen. Menschen wollen sich im Job wertgeschätzt fühlen und sie wollen Anteil am Erreichen der Unternehmensziele haben. Wer von Anfang an über die Cybersicherheitsmaßnahmen informiert worden ist, der weiß sofort wie er seinen Arbeitsplatz sicherer machen kann – auch im Sinne aller anderen.

 

  1. Top Down: Cybersicherheit vorleben

Mitarbeiter sträuben sich meistens gegen neue oder bessere Cybersicherheit-Maßnahmen, falls die Führungskräfte nicht einmal den Anschein erwecken, genauso hinter den Ansätzen zu stehen, wie sie es von ihren Mitarbeitern verlangen. Ein wichtiger Schritt, um Cybersicherheit zu einen wichtigen und vor allem gelebten Teil der Unternehmenskultur zu machen, ist, dass die Führungsriege Sicherheit vorlebt. Führungskräfte sollten wissen wie man eine Kultur der Cybersicherheit stärkt. Regelmäßige Meetings auf Vorstandsebene und mit dem Cybersicherheitsteam tragen dazu bei. So kann man Probleme und Bedenken zeitnah ansprechen, Fortschritte gebührend würdigen und Möglichkeiten besprechen, um die Mitarbeiter stärker in Maßnahmen zur Cybersicherheit mit einzubeziehen.

 

  1. Umsetzung prüfen

Cybersicherheitsexperten können sich nicht einfach darauf verlassen, dass Mitarbeiter sämtliche oder die meisten der gelernten Maßnahmen auch tatsächlich umsetzen. Cybersicherheitsaudits sind ein guter Weg zu überprüfen, wie sicher ein Unternehmen wirklich ist. Man kann feststellen wie gut ein Training für die Praxis wirklich war und ob es noch Verbesserungspotenziale gibt.

Viele Unternehmen, wie zum Beispiel regierungszugehörige Firmen oder solche, die Gelder von staatlichen Behörden erhalten, müssen sich Audits unterziehen. Sie müssen nachweisen, dass sie gut definierte Richtlinien, Dokumente, Verfahren und Prozesse eingezogen haben, und die vorgegebenen Standards in der Cybersicherheit ernstnehmen. Solche Inspektionen sind für jedes Unternehmen hilfreich, weil darin Grundsätze festgelegt werden. Neben Audits kommen auch Übungen in Frage, bei denen die Mitarbeiter ihre neu erworbenen Fähigkeiten in simulierten Szenarien anwenden. Dabei zeigt sich nicht nur, ob die Schulungen greifen, sie geben Teilnehmern auch die Gelegenheit nachzufragen, sollte etwas unklar geblieben sein. Bei klar formulierten Grundsätzen für die Cybersicherheit steigt die Wahrscheinlichkeit, dass diese mehr und mehr zur Routine im beruflichen Alltag werden. Auf der technischen Ebene sind System-Backups und Zwei-Faktor-Authentifizierung weitere Methoden wie man Cybersicherheit zügig verbessern kann.

2017 wurden Ergebnisse veröffentlicht wie es in staatlichen Unternehmen um die Bereitschaft zur Cybersicherheit bestellt ist: 68 % der Vorstandsmitglieder gaben an, kein Cybersicherheitstraining erhalten zu haben wie sie beispielsweise auf Vorfälle reagieren sollten und 10 % verfügten über keinen Sicherheitsplan im Falle einer Datenschutzverletzung. Diese Ergebnisse sind schwerwiegend. Ohne einen solchen Plan ist es kaum möglich schnell und effizient genug auf einen Vorfall zu reagieren.

 

  1. Wie Mitarbeiter auf verdächtige Ereignisse reagieren sollten

Wenn Mitarbeiter wissen, wie sie im Sinne der Cybersicherheitspraktiken handeln sollten minimiert man automatisch die Zweifel ob ein bestimmtes Vorkommnis gemeldet werden sollte oder nicht. Nicht selten bemerken Mitarbeiter verdächtige Vorfälle nämlich durchaus, beruhigen sich aber selbst. Die Schlussfolgerung, es werde schon jemand anderer aktiv werden, ist leider nicht zwingend die beste. Im Falle eines ungewöhnlichen Cybersicherheitsvorfalls sollten Unternehmen über einen benutzerfreundlichen Prozess verfügen. Der sollte es erlauben, Vorfälle dieser Art präzise und schnell mitzuteilen. Cybersicherheitsverantwortliche sollten eine Fehlerkultur vertreten, nach der man lieber einmal einen falschen Alarm erhält, statt aus Angst vor den Konsequenzen eine Beobachtung zu verschweigen.

Ein einfaches, universales System reduziert Fehler und liefert die notwendigen Informationen. Wenn verschiedene Abteilungen unterschiedliche Methoden nutzen oder ein Reporting-System für den durchschnittlichen Benutzer zu kompliziert ist, erreicht man eher das Gegenteil.

 

  1. Das richtige Maß an Informationen

Jeder kennt das betäubende Gefühl nach ellenlangen Powerpoint-Präsentationen. Das Gehirn kann einfach keine weiteren Informationen mehr aufnehmen. Egal welche Methode Sie letztlich nutzen, ein Cybersicherheitsexperte sollte seine Informationen portionieren. Hilfreich sind kurze Videos oder informelle Mittagsmeetings. Auf jeden Fall ist es hilfreich, die Informationen in wohl dosierten Mengen zu vermitteln, dafür aber regelmäßig.

 

Die Bereitschaft Cybersicherheit umzusetzen ist ein Prozess

Es gibt nicht den Punkt an dem Mitarbeiter genug über Cybersicherheitsrisiken wissen. Die beschriebenen Tipps sind zweifelsohne hilfreich. Aber nur dann, wenn sie so regelmäßig wie andere gut durchstrukturierte Prozesse am Arbeitsplatz umgesetzt werden. Jeder Mitarbeitende sollte sich an empfohlene Sicherheitspraktiken halten, weil jeder seinen Anteil daran hat, Cybersicherheit und Compliance im Unternehmen zu gewährleisten.

 

https://www.globalsign.com/de-de/

 


 

 

 

 

 

Die Trends zur Cybersicherheit im Jahr 2019: Bots legen das Internet lahm

Künstliche Intelligenz kann wichtigen Beitrag zur Cybersicherheit leisten

Prioritäten der Cybersicherheit verschieben sich