IT-Sicherheit hängt vor allem von Mitarbeitern ab

10.04.2019  |  Dr. Linus Gemmeke
(c) gettyimages / designer491
(c) gettyimages / designer491

Um Cyber-Attacken vorzubeugen, müssen Unternehmen ihre Mitarbeiter und Führungskräfte für sicheres IT-Verhalten sensibilisieren. Oft besteht Nachholbedarf.

Von Phishing bis Krypto-Trojaner: 57 Prozent aller Unternehmen in Deutschland gehen derzeit von einer hohen oder sehr hohen Gefahr aus, in den nächsten zwölf Monaten Opfer einer Cyber-Attacke zu werden. Das ergab eine aktuelle Umfrage der Personalberatung Rochus Mummert in Kooperation mit der Cyber Akademie Berlin. Eine wesentliche Rolle, um wirksam vorzubeugen, spielen – neben technischen Lösungen – die eigenen Mitarbeiter und Führungskräfte. Viele Unternehmen haben hier noch sichtlich Nachholbedarf, wie die Untersuchung zeigt.

+++Sie bekommen von HR nicht genug? (heart) Dann melden Sie sich jetzt für unsere Newsletter an. Hier geht es zur Anmeldung!+++

Ein Blick auf die Ergebnisse der Umfrage beweist: Fast jedes zweite deutsche Unternehmen ist bereits ein gebranntes Kind. Von den knapp 100 befragten Entscheidern haben 46 Prozent in den vergangenen zwei Jahren bereits einen IT-Sicherheitsvorfall erlebt. Dabei können IT-Sicherheitsvorfälle oder gar gezielte Cyber-Attacken aufgrund der immer weiteren Digitalisierung und Vernetzung von Prozessen und Abläufen in Unternehmen heute im Nu zu gravierenden Schäden führen. Ist der Webshop für Kunden nicht mehr erreichbar oder wurde das Unternehmensnetzwerk samt Telefonverkehr schachmatt gesetzt, kann sich der damit verbundene Schaden oft binnen weniger Stunden oder gar Minuten zu einem echten Risiko aufschaukeln. Woanders nutzen immer mehr Kriminelle Sicherheitslücken, um gezielt wertvolle Informationen zu stehlen und an Wettbewerber zu verkaufen.

Schnell steht sogar die Reputation des Unternehmens auf dem Spiel, wenn gestohlene Daten wie Kundenpasswörter massenhaft im Internet auftauchen und der Vorfall zum Thema in Presse und sozialen Medien wird. Aber auch ohne einen konkreten IT-Angriff droht bisweilen Ungemach, etwa im Rahmen einer Prüfung auf Einhaltung aktueller datenschutzrechtlicher Vorschriften, wie sie die DSGVO definiert.

IT-Sicherheitsrisiko Mensch

Dabei ist es für eine wirksame Absicherung der IT mit technischen Lösungen allein nicht getan. Ganz im Gegenteil: Es kommt heute noch mehr auf die Menschen an. Das belegt auch die eingangs zitierte Untersuchung: 71 Prozent der Studienteilnehmer benannten unaufmerksame Mitarbeiter als eine der größten Hürden für den eigenen IT-Schutz. Das kann schon das unbedarfte Öffnen einer infizierten E-Mail sein, die sich in der allgemeinen Mail-Flut als Korrespondenz von Kunden, Lieferanten oder Kollegen tarnt. Damit rankt dieser Punkt an erster Stelle, gefolgt von zu geringer Aufmerksamkeit durch das Führungspersonal (57 Prozent) und dem aktuellen Fachkräftemangel, den 52 Prozent der Befragten angaben.

Auch gefragt nach den aktuell größten IT-Schwachstellen gaben 60 Prozent der befragten Entscheider ein mögliches Fehlverhalten von Mitarbeitern an. Technische Defizite rangieren im Vergleich hingegen deutlich abgeschlagen, etwa ungenügender Passwortschutz (34 Prozent) oder Mängel in der IT-Infrastruktur (19 Prozent). Ein erster Schritt zur Verbesserung des IT-Schutzes ist vor diesem Hintergrund das Schaffen einer eigenen Position, die das Thema IT-Sicherheit federführend verantwortet – konkret in Form eines Chief Information Security Officers (CISO).  Der oder die ist laut der Studie heute erst in gut jedem dritten Unternehmen anzutreffen. Nur von hier aus können entsprechende Aktionen gegenüber der Mitarbeiterschaft mit der nötigen Verve konzipiert, gesteuert und in ihrem Erfolg kontrolliert werden.

Regelmäßiger Schulungs- und Weiterbildungsbedarf

Mit Aktionen ist weit mehr als eine bloße IT-Sicherheitsrichtlinie gemeint, auch wenn eine solche in immerhin 80 Prozent der befragten Unternehmen bereits vorhanden ist. Es reicht nicht aus, wie von 85 Prozent der Studienteilnehmer angegeben, E-Mails und Flyer zu verschicken und zu verteilen, um auf sicherheitsrelevante Verhaltensweisen im Umgang mit IT aufmerksam zu machen. Gefordert werden von den Machern der Umfrage stattdessen regelmäßige Schulungen über alle Abteilungen und Bereiche hinweg. Zum einen kann so auf nachhaltige Art und Weise das notwendige grundlegende Verständnis aufgebaut werden, was IT-Sicherheit bedeutet und wo dieses Thema überall greift. Auch können Mitarbeiter so zuverlässig über aktuelle Gefahren und Bedrohungen informiert werden. Gerade hier ist noch reichlich Luft nach oben: Nur 37 der befragten Unternehmen gaben an, derartige anlassunabhängige Schulungen bereits durchzuführen.

Führungskräfte müssen IT-kompetent sein

Weiteres Potenzial zeigt sich auch bei den Führungskräften: 39 Prozent der Studienteilnehmer attestierten ihren Executives lediglich durchschnittliche IT-Kenntnisse. Weitere 23 Prozent beurteilten diese sogar als unterdurchschnittlich oder gar mangelhaft. Mit insgesamt 62 Prozent hat damit eine klare Mehrheit unter den deutschen Führungskräften noch deutlichen, mitunter sogar massiven Nachholbedarf, was den Umgang mit Bedrohungen aus den Weiten des Netzes angeht.

Umgekehrt heißt das aber auch: Vorgesetzte, die das Thema IT-Sicherheit selbst verstanden haben und auch sichtlich vorleben, können eine entsprechende Arbeits- und Kommunikationskultur stark mitprägen. In der Schulung und Ausbildung von IT-Sicherheitskompetenzen auf allen Ebenen gibt es somit einen wirksamen Hebel. Ein Punkt, der auch für die Personalabteilung und das Recruitment relevanter werden wird – denn ein solides Grundverständnis von IT und IT-Sicherheit wird mehr denn je ein wichtiges Kriterium auch bei der Auswahl neuer Führungskräfte sein, unabhängig vom Ressort.