Die Ergebnisse einer neuen europaweiten Umfrage zur Haltung von Führungskräften und Vorstandsmitgliedern zur Cybersicherheit zeigen, dass eine alarmierende Zahl von leitenden Mitarbeitern ihre Organisationen ganz bewusst Cybersicherheitsbedrohungen aussetzt [1]. Der Studie zufolge ist dies größtenteils zurückzuführen auf Unzufriedenheit mit Richtlinien am Arbeitsplatz und das mangelnde Verständnis für Bedrohungen der Cybersicherheit.

Die von Palo Alto Networks in Auftrag gegebene Studie zeigt, wie das Verhalten von Entscheidungsträgern die Wirkung der 33,4 Milliarden Euro unterminieren, die europäische Unternehmen Prognosen zufolge bis 2019 für Cybersicherheit ausgegeben haben werden. Die Umfrage ergab, dass 27 Prozent der Befragten zugaben, ihr Unternehmen einem potenziellen Cybersicherheitsrisiko auszusetzen, von denen wiederum 14 Prozent einräumten, dies in vollem Bewusstsein zu tun.

Die Balance zwischen Sicherheit und Funktionalität

Während ein Viertel der Befragten angab, nicht in Gänze zu verstehen, was ein Online-Cybersicherheitsrisiko definiert, betonten doch fast alle Teilnehmer, dass Cybersicherheit für ihr Unternehmen Priorität haben sollte.

Hauptsächlich umgehen Mitarbeiter die Sicherheitsrichtlinien des Unternehmens, um mit effizienteren Tools oder Services als den im Unternehmen genutzten zu arbeiten, oder mit Werkzeugen, die als die besten auf dem Markt erachtet werden. Dieses Vorgehen reflektiert die Antworten der 17 Prozent der Befragten, die beklagen, die unternehmensinterne Sicherheitspolitik sei frustrierend und verhindere den Zugang zu Werkzeugen und Websites, die eine bessere Arbeitsleistung gewährleisteten. Die Aufklärung der Mitarbeiter ist essenziell, um sicher zu gehen, dass die Ratio hinter den Richtlinien klar ist.

Führungskräfte unterlaufen Sicherheitsregeln

Die Umfrageergebnisse zeigen, dass weder das Beschäftigungsfeld noch das Alter der Mitarbeiter ausschlaggebend sind für fragwürdiges Verhalten oder auf Fehlinformationen beruhende Ansichten. Einer von zehn Befragten hat bereits Vorstandsmitglieder beim Ignorieren der Unternehmensleitlinien ertappt. Ein Viertel der C-Level-Probanden gab zu, das Unternehmen wissentlich einer potenziellen Gefahr auszusetzen.

»Der Einfluss der Mitarbeiterhandlungen ist meist nicht sofort sichtbar, da Attacken oft später stattfinden – was es Organisationen erschwert, die Quelle zu finden. Da zwei Drittel der Befragten sich noch nicht bewusst ist, dass jeder eine Rolle in der Abwehr von Cyberattacken zu spielen hat, ist die Notwendigkeit für Unternehmen klar, in 2016 Cybersicherheitsaufklärung in den Mittelpunkt der Aufmerksamkeit zu stellen«, erklärt Greg Day, Vice President und Chief Security Officer, EMEA, bei Palo Alto Networks

Verantwortung und Rechenschaftspflicht

Die Studie belegt, dass fast ein Fünftel (18 %) der Mitarbeiter der Führungsebene sich keine persönliche Rolle in den Bemühungen des Unternehmens um Cybersicherheit zuschreibt. Und im Falle eines erfolgreich ausgeführten Angriffs glaubten nur 21 % der Befragten, der für das Datenleck verantwortliche Mitarbeiter würde zur Rechenschaft gezogen – die Mehrheit (40 %) ging davon aus, dass die IT beschuldigt würde.

Die Ergebnisse weisen darauf hin, dass Führungsmitarbeiter sich zu sicher fühlen und risikobereiter sind in dem Glauben, ›ihnen würde es nicht passieren‹. Mit sich ändernden Bestimmungen wird sich in den kommenden Jahren auch der Blick darauf verändern, was wirklich in Europa geschieht, und die Risikobereitschaft wird sinken«, fasst Greg Day zusammen. »Es zeigt sich außerdem, dass zu viele Cybersicherheit immer noch als etwas rein Geschäftliches betrachten und nicht als etwas, das jeden betrifft.«

Weitere Ergebnisse der Studie

• Mit 35 % der Befragten hat Großbritannien den größten Anteil derjenigen, die angeben, nicht vollständig zu verstehen, worin eine Online-Sicherheitsgefahr besteht. Frankreich weist in dieser Frage mit 17 % die niedrigste Quote auf.
• Deutschland hat mit 38 % die höchste Zahl an Befragten, die zugeben, ihr Unternehmen einem potenziellen Cybersicherheitsrisiko ausgesetzt zu haben. In Belgien sind es mit 12 % die wenigsten.
• 28 % der in den Niederlanden Befragten sagt, dass die Cybersicherheitsrichtlinien ihrer Organisation sie frustrieren – ein deutlich höherer Anteil als der Durchschnitt von 17 %.
• In der gesamten Region umgehen Mitarbeiter der Bereiche Finanzdienstleistungen, Versicherungen oder dem Dienstleistungssektor am ehesten die Cybersicherheitsrichtlinien ihrer Unternehmen (21 %).
• Die Befragten in Großbritannien sind am wenigsten überzeugt davon, eine persönliche Rolle zu spielen beim Schutz ihres Unternehmens gegen Bedrohungen der Cybersicherheit.

Empfehlungen für europäische Unternehmen

Palo Alto Networks empfiehlt Organisationen, folgende Schritte zu unternehmen, um ihre Computing-Umgebung gegen Cyberattacken abzusichern:

1. Aufbau einer Cybersicherheitsstrategie, die sich auf die Abwehr von Cyberattacken auf jeder Stufe des Angriffszyklus fokussiert.
2. Nutzung von Next-generation-Sicherheitstechnologie, um den Mitarbeitern den Gebrauch der Tools zu ermöglichen, die sie brauchen, ohne dabei die Unternehmenssicherheit aufs Spiel zu setzen.
3. Aufklärung aller Mitarbeiter über die Schlüsselrolle, die sie in der erfolgreichen Abwehr von Cyberattacken auf das Unternehmen spielen.

[1] Die Befragung wurde im Oktober 2015 unter 765 Entscheidungsträgern von Unternehmen mit mehr als 1.000 Mitarbeitern in Großbritannien, Deutschland, Frankreich, den Niederlanden und Belgien von Redshift Research durchgeführt.