Um für Cyber-Sicherheit zu sorgen, gehört es in deutschen Unternehmen inzwischen zum Standard eigene Cyber-Sicherheitsrichtlinien aufzustellen, beim Implementieren solcher Leitlinien in den Unternehmensalltag und bei der Schulung und Risiko-Sensibilisierung der Mitarbeiter scheint es aber noch immer zu hapern. Denn nach wie vor beginnen die weitaus meisten Cyberangriffe auf Unternehmenssysteme damit, dass einzelne Mitarbeiter dazu verleitet werden, etwas zu tun, das letztendlich die Sicherheitsprozesse gefährdet. Die eigne Selbsteinschätzung bzw. das Überschätzen der eigenen Cyber-Kompetenzen, das legt eine aktuelle Studie des Marktforschungsinstituts Censuswide nahe, spielt dabei eine Rolle. Im Auftrag des Sicherheitsanbieters Kaspersky hatte das Institut 6.382 Kinder und Jugendliche im Alter von 11 bis 15 Jahren sowie 6.665 Personen ab 16 Jahren in acht europäischen Ländern nach ihrem Wissen über Cyber-Gefahren befragt. In beiden Gruppen kamen jeweils 1.000 Teilnehmer aus Deutschland. [1]
Laut der Studie sind bereits 25 Prozent der Erwachsenen einer Phishing-Attacke zum Opfer gefallen. Nichtsdestoweniger ist mehr als die Hälfte der Erwachsenen in Deutschland der Meinung, überdurchschnittliche Kenntnisse in Sachen Cyber-Sicherheit zu besitzen. Da sich der Trend inzwischen durchgesetzt hat, viele Mitarbeiter zumindest teilweise von zu Hause aus arbeiten zu lassen und dafür Firmengeräte bereitzustellen, die dann teils auch für private Zwecke genutzt werden, gefährdet eine nachlässige Einstellung zur Cybersicherheit die Unternehmen. Unvorsichtige Mitarbeiter laufen Gefahr, ihr Unternehmensnetzwerk den Attacken von Trojanern, Spyware oder Phishing-Kampagnen auszusetzen, die es darauf abgesehen haben, sensible und/oder vertrauliche Informationen zu kompromittieren und zu stehlen.
Die Einfallstore für Kriminelle im Cyberraum sind durchaus bekannt, erstaunlicherweise verleugnen trotzdem 50 Prozent der Befragten das allgegenwärtige Risiko, selbst Opfer von Phishing-Attacken und ähnlichen Angriffen zu werden. Sie bescheinigen sich überdurchschnittliche Kenntnisse in Fragen der Cyber-Sicherheit, jeder zehnte verfügt nach eigener Ansicht sogar über Profi-Kenntnisse in diesem Bereich. Dennoch ist eine Mehrheit der befragten Erwachsenen in Deutschland tatsächlich bereit, persönliche Daten wie Namen oder Wohnort in Sozialen Medien zu teilen. Rund die Hälfte nehmen zudem an Quizspielen teil, bei denen beispielswiese der Name ihres Haustiers abgefragt wird. So etwas geschieht meist nicht ohne Hintergedanken, denn 47 Prozent der Befragten nutzen genau dies als Gedächtnisstütze, um sich Passwörter leichter zu merken – eine Verhaltensweise, die privat als auch beruflich genutzte Passwörter gleichermaßen gefährdet.
„Obwohl sie sich der Risiken bewusst sind, entscheiden sich viele Erwachsene sowohl im Privat- als auch im Berufsleben immer noch für eine zu lasche Einstellung hinsichtlich Cybersicherheit“, so Christian Funk, Leiter des Global Research and Analysis Teams der DACH-Region bei Kaspersky. „Die Sicherheit der eigenen Daten zu gefährden ist das eine, ein nachlässiger Umgang mit Unternehmensdaten hingegen gefährdet den Arbeitgeber und möglicherweise auch den eigenen Arbeitsplatz. Während jeder Einzelne in der Pflicht steht, verantwortungsbewusst zu handeln und cybersicher zu agieren, haben Unternehmen die Aufgabe aufzuklären.“ Für eine nachhaltige Unternehmenssicherheit ist wichtig, das Bewusstsein aller Beteiligten zu schärfen, was sie zur Cybersecurity im (Firmen-)Alltag beitragen können. Zum einen geht es dabei darum, auch tatsächliche Kompetenzen zu vermitteln, sodass Mitarbeiter mögliche Cyber-Sicherheitsrisiken realistischer einschätzen, hilfreich ist aber auch eine positive Atmosphäre zu schaffen, die einen vertrauensvollen Umgang bei Fehlern erlaubt, denn der Faktor Mensch wird weiterhin zu den Angriffsflächen der Unternehmen gehören. Unternehmen, die es schaffen, eine solche Fehlerkultur zu
implementieren, in der Mitarbeiter einen Fehlklick melden, ohne sich vor Konsequenzen zu fürchten, ermöglichen es ihrer IT-Abteilung und den für die Cyber-Sicherheit Zuständigen einer gefährlichen Kompromittierung durch Cyber-Kriminelle schnellstmöglich entgegenzuwirken.