In einem Pharmaunternehmen arbeiteten jeden Tag hunderte Mitarbeiter mit viel Einsatz, um neue Medikamente zu entwickeln und Menschen von Krankheiten zu heilen. Eines Tages fiel ein Teil des IT-Systems aus: Anstelle von Messergebnissen sahen die Forscherinnen und Forscher im Labor auf den Bildschirmen jetzt eine Lösegeldforderung für die Wiederfreigabe ihrer Daten und einen Totenkopf auf rotem Grund. An Weiterarbeiten war nicht mehr zu denken und die Arbeit der letzten drei Monate stand auch noch auf der Kippe. Was war passiert? Ein Kollege hatte vor zwei Monaten eine E-Mail von der IT-Abteilung erhalten, in der man freundlich darum bat, die Windows-Anmeldedaten auf einer bestimmten Webseite zu bestätigten. Gesagt, getan. Dummerweise stammte die Nachricht in Wirklichkeit gar nicht von der IT und jetzt hatte man es offensichtlich mit einer Ransomware-Infektion zu tun. Es funktionierte nichts mehr.
In vielen Unternehmen ist dieses oder ein ähnliches Szenario bereits bittere Realität. Die Umfrage von G DATA im deutschen Mittelstand zeigt: Die Hälfte der befragten Firmen hatte mit mindestens einem Cyberangriff zu kämpfen, der aufgrund eines Fehlers eines Mitarbeiters oder einer Mitarbeiterin erfolgreich war. Befragt wurden Unternehmen mit 50 – 1.000 Mitarbeiter*innen. Diese Zahl ist erschreckend hoch und es stellt sich die Frage, ob ein solcher Vorfall sich nicht auch verhindern lässt. Die Antwort lautet klar „ja“ und das richtige Stichwort an dieser Stelle ist: Security Awareness Trainings. Hier schließt sich aber direkt eine zweite Frage an: Nutzen Unternehmen das Potenzial dieser Maßnahme auch, um ihre Mitarbeiter*innen für IT-Sicherheit zu sensibilisieren? Sie so zu schulen, dass das am Anfang beschriebene Szenario nicht zur Realität wird?
Wenn Mitarbeitende die Tür zum Netzwerk aufmachen
Jedes Unternehmen wird täglich unzählige Male von Kriminellen angegriffen. Im vergangenen Jahr zählten unsere G DATA Security-Spezialisten durchschnittlich 76 neue Schadprogramme pro Minute. In jeder Sekunde taucht demnach mindestens eine neue Malware auf. Oft setzen die Täter dabei auf gezieltes Social-Engineering, um Unternehmen über ihre Angestellte zu attackieren. Hierbei versuchen die Angreifer Angestellte so zu manipulieren, dass sie sensible Informationen preisgeben. Mit Hilfe von täuschend echt aussehenden und vertrauenswürdig erscheinenden E-Mails bewegen die Täter ihre Opfer beispielsweise zur Preisgabe von Anmeldedaten für Dienste oder auch das Klicken auf schädliche Dateianhänge oder Malware-Webseiten-Links. Viele Mitarbeitende öffnen den Tätern so ungewollt eine Tür zur IT-Infrastruktur, die diese ausnutzen.
Daher ist es keine Überraschung, dass acht von zehn Mittelständler ihre Belegschaft in IT-Sicherheit schulen und dabei auf Security Awareness Trainings setzen. Dieses Ergebnis klingt großartig, der Schein trügt aber. Ein genauer Blick zeigt, dass der Mittelstand das Thema gar nicht richtig angeht. In einigen Unternehmen wird ein Training nur einmal durchgeführt. So können nur wenige Inhalte vermittelt werden. Einige Mittelständler schulen zudem nicht alle Mitarbeitende. Dies bedeutet, dass die Schulungen nicht effektiv und nachhaltig sind. Das Wissen geht schnell wieder verloren. Nötig sind umfassende Awareness Trainings, die regelmäßig absolviert werden und Inhalte auch wiederholen, um das Wissen zu festigen. Wer erinnert sich ansonsten im Ernstfall daran, was zu tun ist? Zudem haben wir alle damit zu kämpfen, dass IT-Sicherheit unglaublich abstrakt ist und es Zeit braucht, bis Probleme und Handlungsweisen verstanden und verinnerlicht sind. Generell sollte das Ziel darin bestehen, alle Mitarbeitende – von der Geschäftsführung bis zum Auszubildenden - fit im Umgang vom Onlinegefahren zu machen, so dass sie im Ernstfall richtig reagieren und Schäden verhindern.
Rund 20 Prozent der Unternehmen lehnen IT-Security Schulungen für ihre Mitarbeiter ab, weil hierfür kein Budget zur Verfügung steht oder IT-Sicherheit bereits gut aufgestellt sei. Das sind die Hauptgründe und sie machen eines deutlich: Security hat nicht den nötig hohen Stellenwert, den sie haben müsste. Schnell führt diese Denkweise zur Bewältigung eines erfolgreichen Cyberangriffs mit all seinen fatalen Konsequenzen. Leicht gerät ein Unternehmen in wirtschaftliche Schwierigkeiten oder muss mit einen Vertrauensverlust dem Kunden und Geschäftspartnern gegenüber kämpfen. Eines steht aber auf jeden Fall fest: Ein erfolgreicher Cyberangriff ist für Unternehmen richtig teuer, schnell bewegen sich die Schäden im fünfstelligen Bereich. Die IT-Verantwortlichen sollten diese Haltung daher noch einmal gründlich überdenken und Mitarbeitende zum Teil der Cyberabwehr machen.
Ein anderes Problem: Unter dem Thema Security Awareness Schulungen verstehen nicht alle Umfrageteilnehmer das Gleiche. Gerade bei kleineren Unternehmen mit einem Jahresumsatz von bis zu fünf Millionen Euro ist die kostengünstige Vermittlung von Informationen per Mail oder Intranet die am häufigsten genutzte Trainingsform zur Steigerung der Awareness. Dabei kann dies nur eine ergänzende Maßnahme sein, um die Belegschaft zum Beispiel auf aktuelle Phishing-Kampagnen aufmerksam zu machen. Umfassende Awareness Trainings werden durch alleinige Informationskampagnen per E-Mail keinesfalls ersetzt und die vermeintlich günstige „Trainingsform“ hat schnell einen teuren Cyberangriff zur Folge.
Wenn es um das liebe Geld geht
Unsere Umfrage zeigt deutlich die Abhängigkeit von IT-Sicherheit vom Budget. Gerade kleinere Mittelständler lehnen Security Awareness Trainings ab, weil die nötigen Gelder nicht zur Verfügung stehen. Oft gibt es nur ein allgemeines IT-Budget, IT-Sicherheitsmaßnahmen werden aus diesem Topf mitfinanziert. Wenn aber beispielsweise viel Hardware ausgetauscht werden muss, bleibt die IT-Security oft auf der Strecke, weil nicht mehr finanziert werden können. Aber warum ist das so? Die Antwort lautet: IT-Sicherheit hat im deutschen Mittelstand immer noch nicht den hohen Stellenwert, den sie eigentlich klar haben müsste. Security sollte nicht in erster Linie eine Frage des Budgets, sondern des Bedarfes sein. Das bedeutet, dass jedes Unternehmen seine IT-Security passend planen und umsetzen sollte. Dies funktioniert aber nur dann, wenn die nötigen Gelder zur Verfügung stehen. Viele Geschäftsführer denken, dass IT-Sicherheit weder Profit noch einen Return-of-Invest generiert. Das ist schlicht falsch, denn IT-Security sichert Gewinne und refinanziert sich sofort, sobald auch nur ein einziger Cyberangriff erfolgreich abgewehrt wurde. Security Awareness Trainings rechnen sich dadurch schnell.
Nachholbedarf hat der Mittelstand auch bei der Überlegung, welches Format zur Wissensvermittlung am besten geeignet ist. Die beliebteste Form ist immer noch die Präsenzveranstaltung, die viel Zeit in Anspruch nimmt und oft so gestaltet ist, dass die Teilnehmer in möglichst kurzer Zeit, viele Informationen erhalten sollen. Diese werden nur leider nach kurzer Zeit oft wieder vergessen und die Mitarbeitenden kehren wieder zu ihrem Kerngeschäft zurück. Gerade die Geschäftsführer favorisieren die Schulung vor Ort. Dabei gibt es nicht nur in Zeiten einer Covid-19-Pandemie eine sinnvollere Form: E-Learning. Darauf setzen allerdings nur 41 Prozent der Mittelständler.
Mehr Compliance und mehr IT-Sicherheit
Die Steigerung der IT-Sicherheit ist längst nicht das einzige Ziel, dass der Mittelstand mit der Durchführung von Security Awareness Trainings erreichen möchte. Gerade die Umfrageteilnehmer, die aus dem HR-Bereich stammen, möchten in erster Linie Compliance-Ziele erreichen. Mitarbeiter sollen bei ihrer Arbeit, zum Beispiel beim Umgang mit Kundendaten, gesetzliche Bestimmungen und Regularien einhalten. Die EU-Datenschutzgrundverordnung übt dabei einen hohen Druck auf die Unternehmen aus, sich umfassend vor Cyberbedrohungen zu schützen. Halten sich die Mitarbeiter an die Regeln, vermeiden Verantwortliche teure Strafzahlungen für Verstöße. Das Thema „Datenschutz und Compliance“ ist daher auch wenig überraschend auf dem zweiten Platz der bedeutendsten Themen von Security Awareness Trainings. Am wichtigsten ist für die Mittelständler allerdings der Bereich „Sicherheitsvorfälle“, zum Beispiel der Befall der IT-Infrastruktur mit einem Schadprogramm und was danach zu tun ist.
Fazit: So wird das nichts mit der Security Awareness – Handeln ist gefragt!
In vielen Mittelständler sind die eigenen Mitarbeitende immer noch nicht ein integraler Teil des IT-Sicherheitskonzeptes. Die Unternehmen gehen das Thema Security Awareness so nicht ganzheitlich an. Dabei bieten Security Awareness Trainings eine sehr gute Möglichkeit, die IT-Sicherheit im Unternehmen, um eine weitere entscheidende Komponente zu erweitern und so ein höheres Schutzniveau zu erreichen. Verantwortliche sollten sich endlich von der Lernen-durch-Schmerz-Methode trennen und ihre Sicherheit selbst in die Hand nehmen. Entscheidendes Handeln ist gefragt. Nötig ist ein umfassendes Security-Konzept und eine bedarfsgerechte finanzielle Ausstattung, am besten in Form eines speziellen IT-Sicherheitsbudgets. IT-Sicherheit muss endlich den nötigen hohen Stellenwert im Unternehmen haben, denn wirtschaftlicher Erfolg ist stark davon abhängig.