Rawpixel.com - stock.adobe.com
Unternehmen im Visier: Mitarbeiter als Sicherheitsfaktor
Deutsche Unternehmen sind für Cyberkriminelle ein attraktives Ziel, mit wirtschaftlichen Folgen. Geschulte Mitarbeiter können die Sicherheit einer Organisation erheblich stärken.
Laut dem aktuellen Hiscox Cyber Readiness Report 2019 (PDF) waren deutsche Unternehmen zumindest kostentechnisch in den letzten zwölf Monaten besonders hart von Cyberangriffen betroffen. Durchschnittlich kostete laut der britischen Versicherung ein Schadensfall bei einem deutschen Unternehmen 900.000 US-Dollar (zirka 800.000 Euro) und war demnach mehr als doppelt so hoch wie in den anderen sieben untersuchten Ländern.
In einem Fall hatte ein Unternehmen sogar Kosten in Höhe von 48 Millionen US-Dollar und damit den höchsten Fall aller von der Versicherung betreuten Unternehmen.
Für die Studie wurden 5.392 IT-Sicherheitsexperten in Großbritannien, den USA, Deutschland, Belgien, Frankreich, Spanien und den Niederlanden befragt. Zu den Negativergebnissen aus Deutschland passt, dass bei den 1.000 deutschen Befragten die Einstufung in das Cyber-Readiness-Modell im Vergleich zum Vorjahr von 20 auf 14 Prozent gesunken ist.
Immaterielle und materielle Wertanlagen
Gleichzeitig verändern sich in Unternehmen die Werte von materiellen und immateriellen Gütern. Eine Grafik der Schweizer UBS zeigt, dass sich von 1975 bis 2025 der Wert von Sachanlagen von 83 auf 16 Prozent verringern, und umgekehrt die immateriellen Vermögenswerte von 17 auf 84 Prozent steigern werden.
Eine frühere Studie von Ocean Tomo (2015) zeigt, dass sich immaterielle Vermögenswerte als wichtigste Determinante für die Berechnung des Wertes eines Unternehmens herausgestellt haben. Investoren unterstützen oder wenden möglicherweise nicht die volle Werteberechnung auf Unternehmen an, die als risikoreicher oder mit schlechten Nachhaltigkeitskriterien wahrgenommen werden.
Aus der Sicht der Cybersicherheits-Community gehört IT-Sicherheit zu den nachhaltigen Investitionen, da sie eine Schlüsselrolle bei der Absicherung der Werte eines Unternehmens spielt. Sie ist also Wert und Werteanlage in einem.
IT-Sicherheit ist entscheidend für den Fortschritt der Technologie in einer Welt, die zunehmend auf Computersysteme angewiesen ist. Der Ransomware-Angriff aus dem Jahr 2017, bei dem unter anderem der Betrieb in 16 Krankenhäusern in Großbritannien eingestellt werden musste, verdeutlicht die Bedeutung von IT.
IT-Sicherheitsrichtlinien und Datenschutz als positive Geschäftsfaktoren
Unternehmen müssen immer neue und verschärfte Vorschriften einhalten, was zu erhöhten Prüfungs- und Compliance-Kosten führt. Daraus können aber auch Risiken entstehen. Letztlich werden die Unternehmen einen Vorteil haben, die die wichtigsten Richtlinien einführen und einhalten sowie über eine Unternehmenskultur verfügen, die eine starke IT-Sicherheit fördern.
Sie sollten darüber hinaus in Datensicherheitsprozesse investieren und ihre Mitarbeiter angemessen über Datensicherheit und privatrechtliche Risiken und Verfahren aufklären und kontinuierlich schulen. Unternehmen, die Produkte und Dienstleistungen anbieten, um Datenschutzfunktionen zu verbessern, werden Vorteile gegenüber denen haben, die den Datenschutz vernachlässigen oder aber mit personenbezogenen Daten Geld verdienen. In diesem Zusammenhang wirken sich die Gesetze und Richtlinien wie DSGVO, PSD2 oder das IT-Sicherheitsgesetz positiv aus.
Ungeschulte Mitarbeiter als größtes Sicherheitsrisiko
Während die Analystenfirma Ponemon in der Vergangenheit die Mitarbeiter als das größte Kapital eines Unternehmens angesehen hat, benennt der aktuelle Report den Menschen als das schwächste Glied. Laut dem Ponemon's Cost of Cybercrime Report 2019 (PDF) transformieren sich fast 80 Prozent der Unternehmen schneller, als sie sich gegen Cyberangriffe schützen können.
Das ist eine beunruhigende Statistik, besonders wenn genau derselbe Bericht besagt, dass sie sich gleichzeitig auch um ihre Mitarbeiter sorgen sollten. Heute ist die IT-Sicherheit in den Unternehmen weitgehend zentralisiert und Mitarbeiter werden selten einbezogen, wenn neue Produkte, Dienstleistungen und Prozesse entwickelt werden, obwohl sie alle mit einem gewissen Cyberrisiko verbunden sind.
Ein solcher Ansatz kann zu einem Mangel an Verantwortungsgefühl in der gesamten Organisation und zu der Einstellung führen, dass Sicherheit eben nicht in der Verantwortung aller liegt. Nur 16 Prozent der CISOs gaben in der Studie an, dass Mitarbeiter in ihren Unternehmen heute für die Cybersicherheit mit verantwortlich gemacht werden.
„Um IT-Sicherheit in das Unternehmensgefüge einzubetten und gegen Insider-Bedrohungen wirksam zu sein, müssen Unternehmen Personal- und Entwicklungsteams, Rechtsabteilungen- und IT-Teams zusammenbringen.“
Jelle Wieringa, KnowBe4
Neben der Aus- und Weiterbildung ist die kontinuierliche Schulung – zum Beispiel durch Phishing-Tests – unerlässlich. Die Mitarbeiter benötigen Instrumente und Anreize, um Risiken zu definieren und anzugehen.
Neue Arbeitsvereinbarungen – verstärkter Einsatz von Dienstleistern, Mitarbeitermobilität und Heimarbeit – machen die Notwendigkeit von Mitarbeiterschulungen dringlicher. Dennoch ist die Schulung der Mitarbeiter, sicherheitsgerecht zu denken und zu handeln, die am meisten unterfinanzierte Tätigkeit in den Budgets für IT-Sicherheit.
Um IT-Sicherheit in das Unternehmensgefüge einzubetten und gegen Insider-Bedrohungen wirksam zu sein, müssen Unternehmen Personal- und Entwicklungsteams, Rechtsabteilungen- und IT-Teams zusammenbringen.
Fazit
Das rasante Wachstum von IT-Sicherheitsverletzungen und Datenverlusten in den letzten Jahren ist ein beunruhigender Trend. Neuere Vorschriften, wie die DSGVO zielen darauf ab, Unternehmen und ihre Führungskräfte stärker für den Schutz von immateriellen Werten wie IT-Informationen und den verantwortungsvollen Umgang mit personenbezogenen Daten von Kunden verantwortlich zu machen.
Zukünftige Vorfälle von Datenverlusten durch Diebstahl könnten die finanziellen Auswirkungen dieser Angriffe erheblich verstärken, besonders, wenn Regulierungs- und Aufsichtsbehörden die gesetzlich vorgesehenen Geldstrafen auch durchzusetzen. Die Kosten von nicht verfügbaren Services oder nicht funktionierenden Webshops – einschließlich verminderter Mitarbeiterproduktivität und Geschäftsstörungen, die nach einem Cyberangriff auftreten – steigen letztlich kontinuierlich an.
Unternehmen sollten aus diesen Entwicklungen ihre Schlüsse ziehen und als wichtigste Schutzmaßnahme vor Datenschutzverletzungen und Sicherheitsverstößen ihre Mitarbeiter ausgiebig mit Hilfe eines Security-Awareness-Training-Programms schulen. Teil dieser Programme sollten regelmäßig durchgeführte simulierte Phishing-Tests mit guten Beispielen von Social-Engineering-Angriffen sein.
Die Trainings unterstützen die geschulten Mitarbeiter dabei, bösartige E-Mails und Webinhalte zu erkennen. Werden die Lerninhalte kontinuierlich wiederholt und getestet, steigt die Chance, Cyberattacken via Phishing und anderen Angriffsformen zu erkennen und mit Hilfe der IT-Abteilung zu neutralisieren, bevor Gefahr entsteht. In diesem Fall verfügt das Unternehmen über eine Art von „menschlicher Firewall“.
Über den Autor:
Jelle Wieringa ist Security Awareness Advocate bei KnowBe4.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder und entsprechen nicht unbedingt denen von ComputerWeekly.de.