Security Awareness Geiz in der IT-Security ist nicht geil

Autor: Melanie Staudacher

Eine effektive Sicherheitsstrategie im Unternehmen zu erarbeiten, ist schwierig. Noch schwerer und vor allem teuer wird es, wenn Mitarbeiter auf Phishing E-Mails hereinfallen. Deswegen sollten Firmen in die Security Awareness investieren.

Firmen zum Thema

Viele Unternehmen sparen an der Sensibilisierung ihrer Mitarbeiter für Sicherheitsrisiken. Doch das kann teuer werden.
Viele Unternehmen sparen an der Sensibilisierung ihrer Mitarbeiter für Sicherheitsrisiken. Doch das kann teuer werden.
(Bild: Minerva Studio - stock.adobe.com)

Rechnungen, Bewerbungen, Lieferscheine und Co. – werden solche Dokumente auf dem digitalen Weg per E-Mail ausgetauscht, können sie für Cyberkriminelle zum Einfallstor in das Unternehmensnetzwerk werden. Wie Security-Hersteller G Data warnt, sind E-Mails nach wie vor der Angriffswegs Nummer eins in IT-Systeme. Denn Angestellte jeder Branche, auch IT-Mitarbeiter, können schnell auf gefälschte Nachrichten hereinfallen und Opfer eines Phishing-Angriffs werden.

Nikolas Schran, Product Owner Cyber Defense Academy bei G Data, appelliert an Unternehmen, die Security Awareness ihrer Mitarbeiter ernst zu nehmen.
Nikolas Schran, Product Owner Cyber Defense Academy bei G Data, appelliert an Unternehmen, die Security Awareness ihrer Mitarbeiter ernst zu nehmen.
(Bild: G Data)

Dieses Problem lösen sollen Security Awareness Trainings. Dabei werden die Mitarbeiter für IT-Gefahren bei der täglichen Arbeit sensibilisiert und somit Teil der Security-Strategie. „Wer IT-Sicherheit ganzheitlich denkt, kann nicht allein auf technische Lösungen setzen, sondern sollte seine Angestellten zum integralen Teil seines Sicherheitskonzeptes machen“, appelliert Nikolas Schran, Product Owner Cyber Defense Academy bei G Data. Wie Schran berichtet, würden gerade kleinere Unternehmen keine umfassenden Schulungen über einen längeren Zeitraum hinweg anbieten, sondern nur einmalige Veranstaltungen durchführen. Alternativ würden hin und wieder E-Mails über aktuelle Bedrohungen versendet oder Informationen über das firmeneigene Intranet bereitgestellt werden.

Unternehmen sparen an der falschen Stelle

Mit dieser Einstellung können Unternehmen zwar Kosten sparen. Denn ein einmaliger Workshop ist günstiger als die Anschaffung einer E-Learning-Plattform für die Mitarbeiter. Doch eine nachhaltige Verhaltensänderung und wirkliche Sensibilisierung findet so nicht statt, wie G Data warnt. Um die Opportunitätskosten von Security Awareness Trainings zu berechnen, sollten Unternehmen die Kosten eines mehrtägigen Betriebsausfalls durch einen Cybervorfall den Investitionen gegenüberstellen. Ganz zu schweigen von möglichen Reputationsschäden und Verstößen gegen den Datenschutz. „Gerade in der aktuellen Homeoffice-Situation ist eine gute Security Awareness wichtiger denn je. Mitarbeiterinnen und Mitarbeiter sind durch die Pandemie, Homeschooling und Vereinsamung einem besonderen Druck ausgesetzt. In solchen Situationen sind sie besonders anfällig für Social Engineering. Wir stärken die Mitarbeiter, damit sie auch in Stresssituationen die richtigen Entscheidungen treffen und steigern damit die IT-Sicherheit im Unternehmen“, sagt Schran.

Wie sich zeigt, lohnen sich die Maßnahmen und Investitionen. In einer Umfrage hat das Marktforschungsunternehmen Omniquest im Auftrag von G Data im Herbst 2020 insgesamt 200 mittelständische Unternehmen zu ihrer Security Awareness befragt. Die teilnehmenden Firmen beschäftigten zu diesem Zeitpunkt zwischen 50 und 1.000 Mitarbeiter. Für die Befragung spielten die Branche und das Tätigkeitsfeld keine Rolle. Insgesamt 78 Prozent der Mittelständler haben durch entsprechende Schulungen ihre IT-Sicherheit gesteigert und geben an, dass die Mitarbeiter vorsichtiger mit den IT-Systemen umgehen.

(ID:47379036)

Über den Autor

 Melanie Staudacher

Melanie Staudacher

Volontärin, Vogel IT-Medien GmbH