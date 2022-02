In den vergangenen Monaten wurden etliche Verwaltungen und Unternehmen Opfer digitaler Angriffe. Viele der Angriffe gingen so weit, dass einzelne Landkreise oder auch Firmen für Tage bis hin zu Wochen keine Chancen hatten, zu arbeiten. Eine Studie brachte jetzt heraus, dass knapp 75 Prozent der IT-affinen Personen eine erhöhte Sicherheit fordern. Aber wie lässt sich das umsetzen?

Was sagt die Studie aus?

Die von Statista und G Data herausgegebene Studie befasste sich mit der Sicherheitslage in Unternehmen. Die Ansage ist klar, denn drei Viertel der Menschen mit einer höheren IT-Sicherheitskompetenz wollen einen höheren Stellenwert der IT-Sicherheit in Unternehmen. Und das ist wichtig. Allerdings gibt die Studie auch Einiges zu bedenken:

– diejenigen, die eine höhere IT-Kompetenz aufweisen, sind allgemein kritischer der Sicherheit gegenüber eingestellt und erwarten eine deutliche Verbesserung. Laien – eher weniger mit der IT vertraute Personen hingegen sind weniger kritisch. Das kann sich in Unachtsamkeit ausweisen und für den Betrieb zu einem großen und teuren Problem werden.

Die Erklärung ist relativ einfach, denn IT-affine Personen verstehen beispielsweise die Hintergründe rund um VPN, Zwei-Faktor-Authentifizierung und anderen Sicherheitsmöglichkeiten. Viele weniger vertraute Menschen nicht. Und das schafft wiederum Probleme:

– viele Mitarbeiter fühlen sich nicht verantwortlich für die IT-Security, sondern legen sie vollständig in die Hände der IT-Experten. Das Problem: Viele Sicherheitslücken entstehen am bloßen Arbeitsplatz, nicht dort, wo die IT arbeitet. Fehlende Schulung – bis heute gibt es Unternehmen, die der gesamten IT keinen besonderen Stellenwert zumessen und keinerlei Fachleute im Betrieb haben. Somit schulen sie auch die Mitarbeiter nicht anständig. Auch externe Fachberater werden kaum genutzt.

Welche Maßnahmen zur Cybersicherheit können Unternehmen ergreifen?

Generell muss sich jedes Unternehmen von der Idee lösen, dass die Cybersicherheit ausschließlich in den Händen eines IT-Experten liegt. Sicherlich ist er dafür zuständig, dass das ganze IT-Konstrukt reibungslos funktioniert, Programme ordentlich installiert sind und ein Sicherheitsnetz gespannt ist, doch im Endeffekt liegt die Sicherheit in den Händen jedes einzelnen Mitarbeiters. Aber was ist nun wichtig?

– die Systeme und Server sollten regelmäßig auf Schwachstellen hin überprüft werden. Der Pentest hilft dabei weiter. Wird er durchgeführt, sucht die entsprechende Software gezielt in der Infrastruktur nach Schwachpunkten und zeigt diese auf. Die Prüfung von IT-Systemen auf diese Weise hilft letztlich, die Sicherheit dauerhaft zu erhöhen. Homeoffice – auch bei remote Arbeitsplätzen muss die Sicherheitsvorkehrung zu jeder Zeit greifen. Das bedeutet mitunter, dass ein Mitarbeiter ausschließlich über VPN Zugang zum Unternehmensserver hat. Sehr fragwürdig ist die Praxis, Angestellte den privaten Laptop oder PC nutzen zu lassen. Da kein Arbeitgeber ein Anrecht auf den Schutz dieses Geräts hat und niemand weiß, inwieweit das Gerät sonst genutzt wird, stellen solche Geräte immer ein Risiko dar.

All dies ist aber nicht ausreichend. Der Kern des Problems liegt leider häufig bei den Mitarbeitern, die nicht entsprechend geschult wurden oder denen mitgeteilt wurde, dass sich darum etwas die IT kümmert. Unternehmen müssen unbedingt ihre Mitarbeiter effizient schulen:

– die IT-Schulungen von Mitarbeitern müssen auf das Verständnis für die Problematik abgestimmt werden. Jeder Mensch versteht eine Gefahr eher, wenn er begreift, wie diese sich auswirkt. Teilweise hilft es, die Schulung auf eine private Ebene zu hieven, denn oft wirkt eine Gefahr realer, wenn sie auch den Laptop daheim treffen kann. Problemerkennung – in etlichen Betrieben wird die Gefahr an sich nicht erkannt. Dies geht bis hoch in die Geschäftsführung. Dabei kann ein Hackerangriff, der einen Betrieb lahmlegt, einen Betrieb vollständig ruinieren. Ein Beispiel: Kann ein Betrieb weder Angebote erstellen, noch Produkte einkaufen oder verkaufen, sind die Kundendaten vollständig verschwunden und lässt sich das Problem nicht schnell lösen, so entsteht ein wahnsinniger Schaden, der nur noch vom Vertrauensverlust der Kunden eingeholt werden kann.

Das Problem, insbesondere im öffentlichen Bereich, ist, dass viele Unternehmen oder Behörden bis heute keinen IT-Experten haben. So ist es in etlichen Behörden der Fall, dass beispielsweise ein halbwegs fitter Lehrer die IT einer ganzen Schule installiert und wartet. Auch in kleineren Unternehmen ist die Problematik nicht selten. Kleine mittelständische Betriebe wie Anwaltskanzleien haben überhaupt keine IT-Fachleute an Bord, sondern regeln die gesamte Security selbst. Die Cybersicherheit in diesen Betrieben muss somit vollständig aufgebaut werden.

Fazit – IT-Sicherheit an die erste Stelle setzen

Was früher reale Einbrecher waren, sind heute Hacker. Und diese können enormen Schaden anrichten, denn entweder fordern sie Lösegeld, wobei nie gesagt ist, dass die Daten wieder freigegeben werden, oder aber, sie vernichten schlichtweg alle Daten. Für ein Unternehmen ist das ein absolutes Fiasko, welches mit einem großen Vertrauensverlust einhergeht. Die Cybersicherheit muss daher an erster Stelle stehen.