Sicherheit auf dem Schirm

Sicherheitsunternehmen mahnen seit Jahren, spektakuläre Medienberichte über Cyberattacken und Datenklau bei großen Unternehmen tun ihr Übriges: Cyberkriminalität und IT-Sicherheit scheinen keine Nischen-Themen für Fachpublikum mehr zu sein, sondern auch im Bewusstsein einer breiten Öffentlichkeit angekommen. Wie stellt sich die Situation in KMU bei deren Mitarbeitern dar? Eine Studie von Sophos und techconsult hat dies untersucht.

Immer wieder ließen sich in der Vergangenheit menschliche Fehler als Ursachen für IT-Sicherheitsvorfälle in Unternehmen identifizieren: Mitarbeiter, die unachtsam oder ungeschult waren im Umgang mit Datensicherheit. Hier bestand Handlungsbedarf für Unternehmen.  Die Studie von Sophos zeigt, dass sich eine positiv stimmende Entwicklung vollzogen hat was das Bewusstsein von Mitarbeitern in KMU für Cybergefahren und die Notwendigkeit von IT-Sicherheitsmaßnahmen angeht.  So vermeldeten im Rahmen der Befragung immerhin rund 66 Prozent der Unternehmen, dass ihre Mitarbeiter in den vergangenen Jahren sowohl sensibler für das Thema Datensicherheit als auch zuverlässiger im Einhalten der entsprechenden Unternehmensrichtlinien geworden seien. Etwas mehr als die Hälfte der Unternehmen konnte zudem feststellen, dass die Mitarbeiter das Thema IT-Sicherheit häufiger als früher von sich aus thematisieren.

Schulungen, Poster, Honeypots

Auch die Unternehmen selbst tun etwas, um den Faktor Mensch als Fehlerquelle so klein wie möglich zu halten. Schulungen sind hierbei offensichtlich das Mittel der Wahl. Gut 65 Prozent der Unternehmen gaben an, ihre Mitarbeiter regelmäßig hinsichtlich der möglichen Gefahren durch Cyberkriminalität zu schulen. Aber auch Plakatives ist beliebt: 54 Prozent der Unternehmen weisen der Studie zufolge ihre Mitarbeiter per Poster oder E-Mai-Newsletter auf mögliche Gefahren hin. Und 11 Prozent der Unternehmen gehen noch einen plakativen Schritt weiter und starten sogar Honeypot-Aktionen, um den Mitarbeitern die Gefahren zu veranschaulichen. Hierbei werden gezielt gesicherte Umgebungen als Fallen für Hacker eingerichtet, um zu sehen wie Angreifer vorgehen und welcher Art die Angriffe sind. Nur wenige Unternehmen, 6,7 Prozent, setzen auf Mitarbeitergespräche zum Thema IT-Sicherheit und noch weniger, nämlich nur gut 3 Prozent, fahren interne Awareness-Kampagnen für den Schutz der Unternehmensdaten.

Datendiebstahl, Cloud-Server, Schusseligkeit: Die großen Ängste

Was die Bedrohungsszenarien angeht, so zeigt sich, dass alle Unternehmen zu jeweils gleichen Teilen in vier Bereichen eine mittelgroße Bedrohung für Unternehmen sehen. Interessant ist dabei, dass zwei Szenarien Bedrohungen von außen darstellen und zwei Szenarien mögliche interne Schwachstellen beschreiben.
Auf die Agenda der Bedrohungen von extern haben die Unternehmen zum einen den Diebstahl personenbezogener oder produktionstechnischer Daten (etwa Passwörter, Adressen etc.) durch Cyberkriminelle gesetzt. Zum anderen besorgt die Unternehmen ein möglicher Verlust von Daten durch deren Speicherung auf externen Cloud-Diensten. Hier bestätigt sich einmal mehr das anhaltende Misstrauen gegenüber Cloud-Services bei KMU im deutschsprachigen Raum.
Misstrauen besteht aber offenkundig auch gegenüber den eigenen Mitarbeitern. Zwei Bereiche haben die Unternehmen hier als Bedrohungsszenarien identifiziert: Man fürchtet einerseits die Schusseligkeit von Mitarbeiten in Form von verlorenen Daten auf verlorenen Geräten. Andererseits erwägt man aber auch die Möglichkeit der Absicht. Die Gefahr, dass Mitarbeiter z.B. auf USB-Sticks o.ä. Daten stehlen könnten bewerten die Unternehmen als ebenso hoch wie die übrigen genannten Bedrohungsszenarien.

Über die Studie

Für die Studie, die unter anderem Aspekte wie Handhabung und Zugriff auf Unternehmensdaten, den Einsatz von Sicherheitsprodukten oder eben das Sicherheitsbewusstsein der Mitarbeiter beleuchtet wurden 305 Unternehmen der unterschiedlichsten Branchen wie Industrie, Dienstleistungen oder Telekommunikation in Deutschland, Österreich und der Schweiz befragt.

Quelle: Sophos von Jörg Schindler

Tags: KMU, Honeypots