Kundenservice Veranstaltungen: 02234-9894940
Kundenservice Bücher: 089-21837921
Aboservice Zeitschriften: 089-21837110

IT-Sicherheit: Weiterhin großer Nachholbedarf bei Mitarbeitern und Führungskräften

Phishing-Mails, Social Engineering, Krypto-Trojaner und Co. – die Anzahl der Cyberangriffe auf deutsche Unternehmen nimmt immer weiter zu. Dennoch sind viele Mitarbeiter nach wie vor nicht ausreichend auf solche Situationen vorbereitet. Aber nicht nur sie weisen bedeutende Wissenslücken auf – auch auf Führungsebene herrscht erheblicher Nachholbedarf, wenn es um Fragen zur IT-Sicherheit geht. Das ist das Ergebnis einer aktuellen Studie der Personalberatung Rochus Mummert in Zusammenarbeit mit der Cyber Akademie Berlin zum Thema IT-Security. Nun liegt es nicht zuletzt auch im Aufgabenbereich der Personalverantwortlichen, hier Abhilfe zu schaffen.

Die Bedrohung durch Cyberangriffe steigt. Egal, ob Großkonzern oder Mittelstand, fast jedes zweite deutsche Unternehmen ist bereits zur Zielscheibe für Industriespionage, Cyberkriminalität oder Konkurrenzausspähung geworden. Mit der Zunahme von intelligenter Vernetzung und der Digitalisierung von Arbeitsabläufen innerhalb eines Unternehmens steigt auch die Zahl gezielter Cyberattacken. Die Folgen eines Angriffs sind dabei oft schädlicher als die Attacke selbst. Werden wertvolle Daten und Informationen wie beispielsweise Patente, vertrauliche Dokumente oder Ideen gestohlen und an wettbewerbsfähige Organisationen weitergegeben, kann das erhebliche finanzielle Schäden nach sich ziehen. Schadenersatzforderungen von betroffenen Kunden, die bei einem Hack schnell in Millionenhöhe schießen können, sind nur ein Beispiel von vielen.

Nicht weniger gravierend ist es allerdings, wenn solche Vorkommnisse an die breite Öffentlichkeit gelangen. Wird der Zwischenfall publik und in der Presse oder in den Sozialen Medien zum Thema, steht schnell auch die Reputation eines Unternehmens auf dem Spiel. Im digitalen Zeitalter sollte das Thema IT-Sicherheit daher auf der Agenda jedes Entscheiders in einem Unternehmen stehen.

Sicherheitslücke: Mensch

Jedoch sind es in den seltensten Fällen fehlende Tools, die das IT-Sicherheitssystem schwächen. Eine wesentliche Rolle spielen – neben falsch konfigurierten Netzwerkinfrastrukturen, fehlenden Sicherheits- oder Softwareupdates – die eigenen Mitarbeiter und Führungskräfte. Geht es nämlich um gelebte Cybersicherheit zum Schutz vor Cyberkriminalität, klafft in vielen deutschen Betrieben zwischen Wunsch und Realität weiterhin eine große Lücke. Zufriedenstellende IT-Kompetenzen sind sowohl auf Mitarbeiter- als auch auf Entscheiderebene noch immer nicht die Regel. Das zeigt eine aktuelle Umfrage der Personalberatung Rochus Mummert in Zusammenarbeit mit der Cyber Akademie Berlin zum Status quo der IT-Sicherheit in deutschen Unternehmen.

Der größte Risikofaktor in der IT-Infrastruktur innerhalb eines Betriebs sind demnach die eigenen Angestellten (71 Prozent), dicht gefolgt von der Führungsriege selbst (57 Prozent). Hier fehlt es nicht zuletzt an ausreichendem Know-how und der nötigen Sensibilisierung für IT-Sicherheitsfragen. Die Zahlen sind besorgniserregend: Mehr als die Hälfte der Befragten bewertet das IT-Sicherheitsbewusstsein der Beschäftigten in ihrer Firma nur als „teilweise“ gegeben. Ein geringer Anteil der Studienteilnehmer empfindet es sogar als „kaum vorhanden“ und nur knapp ein Viertel kann dem eigenen Unternehmen „angemessene“ Kenntnisse attestieren. Ähnlich verhält es sich bei den IT-Kompetenzen der Führungsriege.

Die Anzahl der Befragten, die die IT-Kompetenzen der Führungskräfte in ihrem Unternehmen mit „gut“ und „sehr gut“ benoten, ist genauso hoch wie die, die ihren Entscheidern gerade einmal einen durchschnittlichen Kenntnisstand zutrauen (39 Prozent). Knapp ein Viertel der Studienteilnehmer empfindet den Wissenstand der Chefetage sogar als unterdurchschnittlich 

bis mangelhaft. Daher ist es nicht verwunderlich, dass überwiegend IT-Fachkräfte die IT-Sicherheitsstrategien in Betrieben definieren – die digitale Transformation hingegen wird in jedem zweiten befragten Unternehmen durch die Geschäftsführung oder von Führungspositionen im Allgemeinen angetrieben.

Angesichts der mangelnden Fachkenntnisse auf mehreren Ebenen gilt es nun, die IT-Kompetenzen in deutschen Betrieben an den richtigen Stellen weiter auszubauen.

Sensibilisierung der Mitarbeiter- und Führungsebene

Dass das IT-Sicherheitsbewusstsein im Jahr 2019 in deutschen Unternehmen weiterhin ausbaufähig und die Kluft zwischen erwünschter und gelebter Cybersicherheit noch immer groß ist, lässt sich besonders gut an internen Weiterbildungsmaßnahmen sichtbar machen. Zwar verfügen fast alle der befragten Unternehmen über eine offizielle IT-Sicherheitsrichtlinie oder planen und realisieren sie gerade. Die praktische Umsetzung der formulierten Leitsätze und Maßnahmen hinkt allerdings deutlich hinterher. Während die große Mehrheit der Mitarbeiter notdürftig per E-Mail oder Flyer über Cybersicherheitsthemen informiert wird (85 Prozent), besuchen lediglich 37 Prozent der Befragten regelmäßig Fortbildungen, die teilweise noch nicht mal an reale Vorfälle geknüpft sind. Darüber hinaus erhält die Hälfte der Studienteilnehmer erst dann IT-Trainings, wenn es bereits einen konkreten Zwischenfall gegeben hat.

Auch die Überprüfung, wie Sicherheitsvorgaben in der firmeninternen Realität eingehalten werden, lässt zu wünschen übrig. Nur knapp jeder zweite Studienteilnehmer verpflichtet sich schriftlich, die Sicherheitsvorgaben einzuhalten. In einigen befragten Unternehmen gibt es dagegen überhaupt keine Überprüfung oder schriftliche Vereinbarung. Eine wirksame Möglichkeit, Mitarbeiter zu evaluieren, könnten in Zukunft angekündigte oder unangekündigte Stichproben sein. Momentan bedient sich noch weit weniger als die Hälfte der befragten Firmen dieser Methodik. Der Großteil der Überprüfungen läuft überwiegend über interne oder externe Audits.

Die Botschaft der Studie ist deutlich: Bei der Menge an technischen und organisatorischen Sicherheitsmaßnahmen, die gerade implementiert oder bereits umgesetzt wurden, ist es zwingend notwendig, sowohl die eigenen Beschäftigten als auch die Führungsebene regelmäßig für die Themen Cybersicherheit und Online-Gefahren zu sensibilisieren. Mitarbeiter sind und bleiben das schwächste Glied in der Kette. Hacker wissen das und nutzen gerne die gezielte soziale Manipulation (Social Engineering), um sich über ahnungslose Angestellte in ein Firmennetz einzuschleusen. Ein wichtiger Schritt für jedes Unternehmen sollte es daher sein, grundlegende IT-Kenntnisse zu schaffen und bereits vorhandene Kenntnisse mit kontinuierlichen Workshops weiter auszubauen. Das ist nicht zuletzt auch Aufgabe des HR-Bereichs.  

Neue Strukturen generieren

Ein weiterer entscheidender Schritt, um dem Risiko für Cyberbedrohungen entgegenzuwirken, ist die Schaffung neuer Strukturen und neuer Positionen. Was ein digitalisiertes Unternehmen zukünftig braucht, sind Fachleute, die die Rolle als Gesamtverantwortliche für Informationssicherheit in sämtlichen Betriebsbereichen übernehmen.

Firmen, die Cyber Security ernst nehmen, setzen daher verstärkt auf sogenannte Chief Information Security Officers (CISO) oder Chief Information Officers (CIO). Ein CISO hat eine Vielzahl an Aufgaben zu erfüllen, die von Unternehmen zu Unternehmen unterschiedlich ausfallen können. Im Kern liegt sein Fokus aber klar auf der Sicherheit von Informationen und Daten. CIOs sind hingegen für den reibungslosen Betrieb der gesamten Infrastruktur der Informations- und Kommunikationstechnik zuständig. In vielen Firmen ist der CIO auch für die IT-Security verantwortlich, so dass der CISO an ihn berichtet.

Dass der Fachkräftemangel häufig eine Hürde für wirksameren Schutz der IT-Sicherheit im Unternehmen ist, bestätigt auch die aktuelle Umfrage. Rund zwei Drittel der befragten Firmen lassen ihre IT-Sicherheitsstrategien bereits durch CISOs und CIOs definieren. In den übrigen Fällen übernehmen diese Aufgabe CEOs oder niedrigere Management-Level.

Die Studie zeigt auch: Mehr als die Hälfte der Befragten nannte den herrschenden IT-Fachkräftemangel als großes Problem. Hinzu kommt, dass das bereits vorhandene IT-Personal häufig nicht qualifiziert genug und den gegenwertigen cybertechnologischen Herausforderungen nicht ausreichend gewachsen ist.

Hier wird erneut deutlich, dass Unternehmen ihren Fokus zukünftig verstärkt auf ihre eigenen Arbeitskräfte und Führungspositionen legen und das Fachkräftepersonal im Bereich Informationstechnik weiter aufstocken müssen. Erst dann wird es ihnen möglich sein, Cyberkriminalität erfolgreich entgegenzuwirken.

hrp315_Bild_Linus-Gemmeke 

Autor:

Dr. Linus Gemmeke, Partner Rochus Mummert Executive Consultants GmbH

Passende Artikel
Zeitschrift HR Performance
149,00 €

Preis für Jahresabonnement Inland