Obwohl Unternehmen immer mehr in IT-Sicherheit investieren, bleibt der wichtigste Teil einer sinnvollen Security-Strategie oft auf der Strecke: Die Ausbildung der eigenen Mitarbeiter beziehungsweise die Awareness-Bildung für die Folgen eines Cyber-Angriffes. [...]
Viele Unternehmen haben in den vergangenen Jahren kräftig investiert, um sich besser vor Cyber-Angriffen zu schützen. Trotzdem sind 87 Prozent der 1.700 IT-Sicherheitsexperten, die von der Prüfungs- und Beratungsorganisation EY für die 19. Global Information Security Survey befragt wurden, der Meinung, dass ihre Security-Aktivitäten nicht ausreichen. 86 Prozent gehen zudem davon aus, dass ihr Budget für Cyber-Sicherheit um mehr als 50 Prozent erhöht werden müsste, um ausreichend geschützt zu sein.
Großer Nachholbedarf besteht vor allem in der Ausbildung von Mitarbeitern: „So wichtig Analysen und Software auch sind, in einer Krisensituation kommt es nach wie vor auf den Menschen an. Häufig sind Unternehmen jedoch schlecht auf den Ernstfall vorbereitet und schulen ihre Mitarbeiter nicht ausreichend“, sagt Gunther Reimoser, Partner bei EY Österreich. „Im Fall eines Cyber-Angriffes müssen die Abläufe sitzen, sonst nutzt selbst die beste Software nichts. So wie Piloten im Simulator den Ernstfall üben, müssten auch Mitarbeiter im IT-Bereich denkbare Szenarien durchgehen.“
Sorglose Mitarbeiter
Doch nicht nur die IT-Mitarbeiter sind zu wenig dafür ausgebildet, sich sicher in einer zunehmend digitalen Welt zu bewegen. Das noch weit größere Gefahrenpotenzial geht von den nicht-IT-Mitarbeitern aus, die mit Unternehmensdaten oft zu sorglos umgehen. Wie wichtig die Schulung der Mitarbeiter und entsprechende Richtlinien sind, belegt ein weiteres Ergebnis der 19. Global Information Security Survey: 73 Prozent der Unternehmen bereitet das unzureichende Bewusstsein und Verhalten der Mitarbeiter im Zuge der steigenden Verbreitung von mobilen Endgeräten große Sorgen.
Dass vielen Mitarbeitern nicht bewusst ist, warum der vorsichtige Umgang mit Unternehmensdaten so wichtig ist, ist allerdings wenig verwunderlich. Schließlich sind sich auch die Unternehmen selbst nicht darüber im Klaren, welche Schäden Cyber-Angriffe verursachen können: Die überwiegende Mehrheit von 89 Prozent der befragten Unternehmen nimmt keine Bewertungen der finanziellen Folgen eines Cyber-Angriffs vor. Die Hälfte hat laut eigenen Angaben überhaupt keine Vorstellung über den finanziellen Schaden einer Cyber-Attacke.
Auch KMU sind gefährdet
Neben dieser fehlenden Awareness für die finanziellen Schäden, die eine Cyber-Attacke nach sich ziehen kann, hält sich auch der gerade im KMU-Land Österreich weit verbreitete Irrglaube, dass man als kleines oder mittleres Unternehmen für Hacker ohnehin nicht interessant ist, weiter hartnäckig. Aufgrund ihrer starken internationalen Ausrichtung und ihrem immer höheren Digitalisierungsgrad sind KMU durch Lieferanten und Kunden weltweit vernetzt. Das macht sie besonders anfällig für Cyber-Angriffe, da sie im Vergleich zu großen Konzernen oft schlecht geschützt sind.
Ein System zur Abwehr von Cyber-Kriminalität solle umfassend aufgebaut sein, empfiehlt Reimoser: „Es gibt drei zentrale Säulen beim Schutz vor Cyber-Attacken: Gefahren frühzeitig erkennen, mit entsprechenden Programmen vorsorgen und ein Krisenmanagement für Angriffe aufbauen.“ Das sei die Basis, damit ein Unternehmen im Falle eines Angriffs seine Geschäftstätigkeit weiter aufrechterhalten kann. Für viele KMU ist der Aufbau und Unterhalt eines komplett eigenen Sicherheitssystems sowie die Schulung der Mitarbeiter jedoch mit zu hohen Kosten verbunden. Diesen Unternehmen empfiehlt Reimoser vor dem Hintergrund der EU-Datenschutz-Grundverordnung, spezialisierte Dienstleister zu beauftragen. Denn ab 2018 muss der Diebstahl von personenbezogenen Daten innerhalb von 72 Stunden gemeldet werden. Bei Verstößen droht eine Strafe von bis zu vier Prozent des Umsatzes.
Be the first to comment