Nur 12 Prozent der Mitarbeiter kennen die Sicherheitsrichtlinien im Unternehmen
16. Januar 2018Lediglich 12 Prozent der Mitarbeiter ist sich über Regeln und Richtlinien zur IT-Sicherheit in ihren Unternehmen vollkommen bewusst; damit kennt fast jeder Neunte Mitarbeiter (88 Prozent) die Richtlinien nicht. Das geht aus einer aktuellen Studie von Kaspersky Lab hervor.
Circa ein Viertel der Angestellten glauben, es gebe in ihren Unternehmen keine bestehenden Richtlinien zur IT-Sicherheit. Trotzdem ist die Hälfte der Befragten der Ansicht, dass alle Mitarbeiter Verantwortung für den Schutz der IT-Ressourcen von Unternehmen vor Cyberbedrohungen übernehmen sollten – sie selbst eingeschlossen.
Dass diese (gute) Absicht nicht mit dem tatsächlichen Handeln der Mitarbeiter deckungsgleich ist, zeigt eine weitere Studie von Kaspersky Lab: Im vergangenen Jahrließen sich knapp die Hälfte der Cybersicherheitsvorfälle auf unachtsame Mitarbeiter zurückzuführen.
Diese Diskrepanz ist besonders für mittelständische Unternehmen gefährlich: Oftmals sind keine spezifischen IT-Sicherheitsaufgaben an entsprechend geschulte Mitarbeiter delegiert. Damit ergeben sich Unklarheiten bezüglich der Zuständigkeiten. Oftmals werden zentrale Security-Stellen (wie etwa der Datenschutzbeauftragte) an Personen übertragen, die diesen Job zusätzlich zu ihren bereits vorhandenen Aufgaben stemmen sollen. Dies geschieht oftmals aus Kostengründen, wirkt sich aber auf die IT-Systemsicherheit gravierend aus. So kommt es leicht zur Vernachlässigung einfacher „Basics“. Dazu gehört etwa das regelmäßige Ändern von Kennwörtern – oder die Installation notwendiger Security Patches für Anwendungen oder Betriebssystem.
„Das Problem mit Mitarbeitern, die sich der Risiken nicht bewusst sind, kann eine große Herausforderung sein, insbesondere für kleinere Unternehmen, in denen eine Cybersicherheitskultur noch in der Entwicklung steckt“, so Vladimir Zapolyansky (Head of SMB Business bei Kaspersky Lab). „Die Mitarbeiter selbst können nicht nur zum Opfer von Cyberbedrohungen werden; sie sind in erster Linie auch verpflichtet, ihr Unternehmen vor diesen Bedrohungen zu schützen. Daher sollten Unternehmen darauf achten, Mitarbeiter zu schulen und einfach zu bedienende und zu verwaltende, aber dennoch leistungsstarke Lösungen einzuführen, die dies für diejenigen, die keine Experten für IT-Sicherheit sind, möglich machen.“