Eine von Sharp unter 1.001 Arbeitnehmern in Schweizer KMU durchgeführte Studie bestätigt zwar, dass das Bewusstsein für Cyberbedrohungen insgesamt gestiegen ist, dies sich aber noch nicht im tatsächlichen Verhalten der Angestellten widerspiegelt.
65 Prozent der Befragten gaben nämlich zu, regelmässig Verhaltensweisen an den Tag zu legen, die in Sachen Cybersicherheit als riskant gelten – und diese vor ihren Vorgesetzten zu verheimlichen. Dazu zählt beispielsweise, Updates für Firmen-Laptops nur sporadisch durchzuführen (17 Prozent), sich in ungesicherte WLAN-Netzwerke einzuloggen (16 Prozent), nicht autorisierte Software herunterzuladen oder sich am Ende des Arbeitstages nicht aus dem System auszuloggen (je 15 Prozent).
Noch schlimmer: Rund ein Viertel der Befragten sind der Meinung, dass die Cybersicherheit ihres Unternehmens gar nicht in ihrer Verantwortung liegt, sondern ausschliesslich Aufgabe der IT-Abteilung sei. Und knapp 10 Prozent gaben sogar an, dass es ihnen egal wäre, wenn ihr Unternehmen gehackt würde – im Rahmen der Studie war dies der höchste Wert unter allen befragten Ländern in Europa.
Security Awareness Trainings zur Sensibilisierung
Damit wird klar: Viele Mitarbeiter nehmen aus Bequemlichkeit oder Gleichgültigkeit vermeidbare Risiken in Kauf und gefährden damit die Cybersicherheit ihres Unternehmens. Firmen sollten also daran arbeiten, ein stärkeres Bewusstsein für die Gefahren und Folgen von Cyberbedrohungen zu schaffen, damit jeder einzelne Mitarbeiter versteht: Cybersicherheit im Geschäftsalltag ist nicht nur die Aufgabe der IT-Abteilung, sondern beginnt beim eigenen, verantwortungsvollen Verhalten.
Hierfür eignen sich sogenannte Security Awareness Trainings. Dabei handelt es sich um kurze, leicht verständliche Trainingseinheiten, die regelmässig durchgeführt und einfach in den Arbeitsalltag integriert werden können. Ziel dieser Trainings ist einerseits eine Sensibilisierung der Nicht-IT-Mitarbeiter, um nach und nach eine sicherheitsbewusste Unternehmenskultur zu etablieren, aber auch praktische Aufklärung darüber, wie sich Cyberbedrohungen erkennen lassen.
Idealerweise umfassen diese Trainings sowohl theoretische als auch praxisbezogene Module, einschliesslich der Simulation von typischen Cyberbedrohungen und Angriffsmethoden wie Phishing oder Social Engineering. Ausserdem empfiehlt es sich, für die Organisation und Durchführung der Trainings einen externen Partner an Bord zu holen, um die IT-Experten im Unternehmen nicht zusätzlich zu belasten.
Der Autor
Torsten Bechler ist Manager Product Marketing DACH bei Sharp Business Systems Deutschland und in dieser Funktion unter anderem für das Thema Security bei Sharp in der DACH-Region zuständig.
