Abbildung 1: Die Cybersicherheit in vielen Unternehmen ist nach Expertenmeinung nicht ausreichend. Bildquelle: @ FLY:D / Unsplash.com Was sagt die Studie aus?
Die von Statista und G Data herausgegebene Studie befasste sich mit der Sicherheitslage in Unternehmen. Die Ansage ist klar, denn drei Viertel der Menschen mit einer höheren IT-Sicherheitskompetenz wollen einen höheren Stellenwert der IT-Sicherheit in Unternehmen. Und das ist wichtig. Allerdings gibt die Studie auch Einiges zu bedenken:
- IT-Kompetenz – diejenigen, die eine höhere IT-Kompetenz aufweisen, sind allgemein kritischer der Sicherheit gegenüber eingestellt und erwarten eine deutliche Verbesserung.
- Laien – eher weniger mit der IT vertraute Personen hingegen sind weniger kritisch. Das kann sich in Unachtsamkeit ausweisen und für den Betrieb zu einem großen und teuren Problem werden.
Die Erklärung ist relativ einfach, denn IT-affine Personen verstehen beispielsweise die Hintergründe rund um VPN, Zwei-Faktor-Authentifizierung und anderen Sicherheitsmöglichkeiten. Viele weniger vertraute Menschen nicht. Und das schafft wiederum Probleme:
- Risikofaktor – bis heute werden in Unternehmen Phishing-Attacken erfolgreich durchgeführt, weil weniger mit der IT vertraute Mitarbeiter unbedarft auf Links oder Anhänge klicken.
- Rollenverteilung – viele Mitarbeiter fühlen sich nicht verantwortlich für die IT-Security, sondern legen sie vollständig in die Hände der IT-Experten. Das Problem: Viele Sicherheitslücken entstehen am bloßen Arbeitsplatz, nicht dort, wo die IT arbeitet.
- Fehlende Schulung – bis heute gibt es Unternehmen, die der gesamten IT keinen besonderen Stellenwert zumessen und keinerlei Fachleute im Betrieb haben. Somit schulen sie auch die Mitarbeiter nicht anständig. Auch externe Fachberater werden kaum genutzt.
Welche Maßnahmen zur Cybersicherheit können Unternehmen ergreifen?
Generell muss sich jedes Unternehmen von der Idee lösen, dass die Cybersicherheit ausschließlich in den Händen eines IT-Experten liegt. Sicherlich ist er dafür zuständig, dass das ganze IT-Konstrukt reibungslos funktioniert, Programme ordentlich installiert sind und ein Sicherheitsnetz gespannt ist, doch im Endeffekt liegt die Sicherheit in den Händen jedes einzelnen Mitarbeiters. Aber was ist nun wichtig?
- Absicherung – aktuell gibt es ein deutschlandweit agierendes Dienstleistungsunternehmen, welches bis heute nicht mehr ordentliche Abrechnungen schreiben kann. Der Grund: Ein Hackerangriff mit Lösegeldforderung und der vollständige Verlust der Serverdaten. Jedes Unternehmen muss heute die Datensicherung an oberste Stelle setzen. Dabei müssen die gesicherten Daten vollständig unabhängig vom eigentlichen System liegen, denn nur so können sie im Ernstfall genutzt werden. Eine tägliche Datensicherung ist natürlich ebenfalls notwendig.
- Architektur – jedes Unternehmen benötigt eine auf den Betrieb abgestimmte Sicherheitsarchitektur. Hierfür kann es hilfreich sein, einen Experten von außerhalb mit ins Boot zu holen.
- Tests – die Systeme und Server sollten regelmäßig auf Schwachstellen hin überprüft werden. Der Pentest hilft dabei weiter. Wird er durchgeführt, sucht die entsprechende Software gezielt in der Infrastruktur nach Schwachpunkten und zeigt diese auf. Die Prüfung von IT-Systemen auf diese Weise hilft letztlich, die Sicherheit dauerhaft zu erhöhen.
- Homeoffice – auch bei remote Arbeitsplätzen muss die Sicherheitsvorkehrung zu jeder Zeit greifen. Das bedeutet mitunter, dass ein Mitarbeiter ausschließlich über VPN Zugang zum Unternehmensserver hat. Sehr fragwürdig ist die Praxis, Angestellte den privaten Laptop oder PC nutzen zu lassen. Da kein Arbeitgeber ein Anrecht auf den Schutz dieses Geräts hat und niemand weiß, inwieweit das Gerät sonst genutzt wird, stellen solche Geräte immer ein Risiko dar.
All dies ist aber nicht ausreichend. Der Kern des Problems liegt leider häufig bei den Mitarbeitern, die nicht entsprechend geschult wurden oder denen mitgeteilt wurde, dass sich darum etwas die IT kümmert. Unternehmen müssen unbedingt ihre Mitarbeiter effizient schulen:
- Gefahrenpunkte – Mitarbeiter müssen lernen, welche Gefahren im Netz oder im E-Mail-Postfach lauern. Viele Menschen glauben heute auch im Privatbereich noch, dass Phishing-E-Mails auf einen Blick erkennbar wären. Dabei sind die E-Mails heute so perfekt gestaltet, dass sogar Fachleute auf den ersten Blick nicht sagen können, ob es eine Kopie ist. Wichtig ist, dass Mitarbeiter von sich aus so vorsichtig agieren, dass sie lieber einmal zu viel Rücksprache halten.
- Anlaufstelle – die Mitarbeiter benötigen eine feste Anlaufstelle, an die sie sich sogleich wenden können.
- Verständnis – die IT-Schulungen von Mitarbeitern müssen auf das Verständnis für die Problematik abgestimmt werden. Jeder Mensch versteht eine Gefahr eher, wenn er begreift, wie diese sich auswirkt. Teilweise hilft es, die Schulung auf eine private Ebene zu hieven, denn oft wirkt eine Gefahr realer, wenn sie auch den Laptop daheim treffen kann.
- Problemerkennung – in etlichen Betrieben wird die Gefahr an sich nicht erkannt. Dies geht bis hoch in die Geschäftsführung. Dabei kann ein Hackerangriff, der einen Betrieb lahmlegt, einen Betrieb vollständig ruinieren. Ein Beispiel: Kann ein Betrieb weder Angebote erstellen, noch Produkte einkaufen oder verkaufen, sind die Kundendaten vollständig verschwunden und lässt sich das Problem nicht schnell lösen, so entsteht ein wahnsinniger Schaden, der nur noch vom Vertrauensverlust der Kunden eingeholt werden kann.
Das Problem, insbesondere im öffentlichen Bereich, ist, dass viele Unternehmen oder Behörden bis heute keinen IT-Experten haben. So ist es in etlichen Behörden der Fall, dass beispielsweise ein halbwegs fitter Lehrer die IT einer ganzen Schule installiert und wartet. Auch in kleineren Unternehmen ist die Problematik nicht selten. Kleine mittelständische Betriebe wie Anwaltskanzleien haben überhaupt keine IT-Fachleute an Bord, sondern regeln die gesamte Security selbst. Die Cybersicherheit in diesen Betrieben muss somit vollständig aufgebaut werden.
Abbildung 2: Grundzüge der IT-Sicherheit sollten alle Mitarbeiter in einem Unternehmen kennen. Bildquelle: @ Christina-woceintechchat.com / Unsplash.com Fazit – IT-Sicherheit an die erste Stelle setzen
Was früher reale Einbrecher waren, sind heute Hacker. Und diese können enormen Schaden anrichten, denn entweder fordern sie Lösegeld, wobei nie gesagt ist, dass die Daten wieder freigegeben werden, oder aber, sie vernichten schlichtweg alle Daten. Für ein Unternehmen ist das ein absolutes Fiasko, welches mit einem großen Vertrauensverlust einhergeht. Die Cybersicherheit muss daher an erster Stelle stehen.