Die menschliche Seite der Sicherheit

Sie kommen am helllichten Tag, in der Regel zu Büro- und Öffnungszeiten. Sie wollen Daten oder geheime Geschäftspapiere, sabotieren oder einfach nur Lösegeld. Dabei treten die modernen Gauner nicht einmal persönlich auf: Mit allerlei Tricks versuchen sie, in die Rechner eines Unternehmens einzudringen. Und das beste IT-Sicherheitssystem nützt nichts, wenn die Mitarbeiter nicht mitmachen. Wenn sie gedankenlos E-Mail-Anhänge öffnen, 123456 als Passwort festlegen oder einen vermeintlich verlorenen USB-Stick auf dem Parkplatz aufheben, der dann Schadsoftware ins Firmennetz einspeist. 70 Prozent der IT-Verantwortlichen sehen den Faktor Mensch als ­größtes Risiko.

Insgesamt 136.585 Angriffe auf Unternehmen, Behörden und andere Einrichtungen hat das Bundeskriminalamt 2022 verzeichnet. Allerdings schätzen die Ermittler, dass nur einer von zehn Fällen überhaupt angezeigt wird. Der Digitalwirtschaftsverband Bitkom gab die Schäden 2022 mit 203 Milliarden Euro an. Tendenz steigend. Und das trotz hoher Investitionen in IT-Sicherheit und immer ausgeklügelter Sicherheitssysteme.

„Das Wichtigste, das ein Unternehmer oder eine Unternehmerin beachten sollte, ist, dass Cybersecurity nicht nur eine technische, sondern auch eine menschliche Herausforderung ist“, sagt Jannik Schumann, Chef des Beratungsunternehmens Basec. „Es geht darum, eine Kultur der Wachsamkeit und des Lernens zu schaffen.“ Und die Beschäftigten müssen überhaupt wissen, wie sie sich richtig verhalten. Knapp 30 Prozent der Belegschaft in einer Firma sagen von sich, sie hätten nur geringe oder sehr geringe Kompetenz bei IT-Sicherheit, rund 39 Prozent bescheinigen sich mittlere Kompetenz. Die Zahlen stammen aus dem Bericht „Cybersicherheit in Zahlen 2023/24“, den der Sicherheitsspezialist G Data aus Bochum herausgibt. Da gibt es offenbar noch einiges zu tun. 

Viele Firmen setzen vor allem auf Technik, um sich zu schützen, etwa Passwortschutz, Computersteckkarten und Antivirenprogramme. Das hat Grenzen. „Technologische Schutzmaßnahmen allein erzeugen ein falsches Sicherheitsgefühl“, sagt Andreas Lüning, Vorstand von G Data Cybersecurity. Aus Sicht der Mitarbeiter liege die Verantwortung für die IT-Sicherheit bei den Fachleuten, die mit teuren Systemen schützten. „Daher denken viele Beschäftigte gar nicht daran, dass sie Teil eines Sicherheitskonzepts sind. Die Investition in Technik allein steigert nicht unbedingt die IT-Sicherheit eines Unternehmens.“

Die Experten empfehlen deshalb zusätzlich Maßnahmen:

• Klare Richtlinien: Sie müssen regelmäßig aktualisiert und vor allem auch allen bekannt gemacht werden, damit jeder auf dem neusten Stand ist. Außerdem muss klar sein: „Regeln sind da, um uns zu schützen, nicht um uns einzuschränken“, sagt Basec-Chef Schumann. Wer genervt ist, versucht eher, eine Regel zu umgehen, um schneller etwas tun zu können.
• Offene Firmenkultur: „Es bedarf einer Firmenkultur, die Angestellte schützt, die einer Phishingmail oder einem Social-Engineering-Angriff zum Opfer gefallen sind“, sagt Lüning. Es helfe keinem, diese Mitarbeitenden bloßzustellen. „Nur, wer offen über dieses Verhalten spricht und es nicht sanktioniert, schafft innerhalb der Belegschaft ein Bewusstsein für das bestehende Risiko.“ Auch sollten die Führungskräfte Vorbild sein, sagt Lüning. „Es wäre gut, wenn beispielsweise der Chef im Onlinemeeting ein Passwort mit vielen Stellen verwendet und so IT-Sicherheit vorlebt.“ Zudem könnten Mitarbeiter für gutes Verhalten belohnt werden, etwa wenn sie potenzielle Bedrohungen meldeten, sagt Schumann.
• Regelmäßiges Training: „Mit Security-Awareness-Trainings lässt sich gezielt ein generelles Umdenken erreichen“, sagt Lüning. „Mitarbeitende verstehen, welchen Beitrag sie für die IT-Sicherheit des eigenen Unternehmens leisten können. Sie erkennen dabei, dass sie mit dem richtigen Verhalten nicht nur sich selbst schützen, sondern ihren Arbeitgeber und damit auch die Arbeitsplätze der Kolleginnen und Kollegen.“ Die Beschäftigten müssen zudem regelmäßig über die aktuellen Risiken informiert werden, unterstützt durch reale Beispiele von Cyberangriffen auf Firmen. Oft empfinden Mitarbeiter und Mitarbeiterinnen solche Schulungen langweilig. Inzwischen gibt es spezielle Apps, die das Thema spielerisch vermitteln.

Derzeit schulen 46,1 Prozent der Unternehmen nur ausgewählte Beschäftigte, nicht alle. „Unsere Studie belegt, dass Führungskräfte bei Schulungen bevorzugt werden“, sagt Sicherheitsexperte Lüning. „Das halten wir für einen schweren Fehler. Cyberkriminelle können Mitarbeitende auf allen Ebenen für Cyberattacken ausnutzen.“ Letztlich seien alle im gleichen Netz unterwegs. Und da lauern die Cyberkriminellen, denen egal ist, welche Position ein Opfer hat.
Dass viele Unternehmen hier nicht ausreichend vorbeugen, ist auch für den Nachhaltigkeitsbericht wichtig: Zum einen gehört es zum sozialen Teil, dass sich Beschäftigte möglichst sicher fühlen können. Zum anderen ist Risikomanagement Teil einer guten Governance, es sind also sowohl das „S“ als auch das „G“ in ESG betroffen.