Vor dem Hintergrund zunehmender Gefahren aus dem Cyberraum gerät die Sensibilisierung der Mitarbeiter vermehrt in den Blick. Wie es um entsprechende Schulungen zur ‚IT-Sicherheit‘ in den Unternehmen bestellt ist, untersuchte eine Studie des Digitalverbands Bitkom. Demnach setzt die Mehrzahl der Organisationen bereits auf eine präventive Aufklärung der Beschäftigten. Allerdings erfolgen die Maßnahmen oft nur partiell.
„IT-Sicherheit beginnt bei den Menschen. Wer weiß, wie Cyberangreifer vorgehen, fällt nicht so leicht auf deren Tricks rein. Und regelmäßig geschulte Mitarbeiter können einen erfolgreichen Angriff frühzeitiger erkennen und so den Schaden für das Unternehmen begrenzen“, begründet Dr. Ralf Wintergerst, Präsident des Bitkom e.V. in Berlin, die Notwendigkeit von Mitarbeiter-Schulungen.
Für die Bitkom-Studie wurden rund 1.000 Unternehmen ab 10 Beschäftigten Branchen-übergreifend konsultiert. Der Befragung zufolge investiert die große Mehrheit der Unternehmen inzwischen in die Schulung der Beschäftigten, um Cyberattacken abzuwehren. Jedes dritte Unternehmen schult grundsätzlich alle Beschäftigten zu IT-Sicherheitsfragen (-> Grafik 2). Etwa die Hälfte konzentriert sich nur auf bestimmte Positionen und Bereiche. 15 Prozent der Organisationen führen hingegen überhaupt keine Kurse zur IT-Sicherheit durch.
Viele Unternehmen, die ihre Belegschaft zum Thema ‚IT-Sicherheit‘ weiterbilden, tun das jedoch nicht regelmäßig. Nur rund jedes vierte dieser Unternehmen führt mindestens einmal pro Jahr Schulungen durch. Weitere 37 Prozent bieten zwar entsprechende Maßnahmen an. Diese finden aber seltener als einmal pro Jahr statt. Zudem geben 70 Prozent der Befragten an, dass sie die Beschäftigten nach Bedarf informieren. Bei 23 Prozent sind Unterweisungen nur beim Eintritt ins Unternehmen vorgesehen.
Warum eine Schulung aller Beschäftigten wichtig ist, zeigt ein weiteres Ergebnis der Studie: Bei immerhin vier von zehn Unternehmen gab es in den vergangenen zwölf Monaten Versuche, über ‚Social Engineering‘ weitere Delikte wie Datendiebstahl, Industrie-Spionage oder Sabotage anzubahnen. Beim ‚Social Engineering‘ versuchen Kriminelle zum Beispiel, sich am Telefon als Kollege aus einer anderen Abteilung oder als Support-Mitarbeiter auszugeben. Ziel ist es, sensible Daten wie Passwörter, aber auch grundsätzliche Informationen wie etwa eingesetzte Software oder Namen von anderen Beschäftigten herauszufinden. 28 Prozent der Unternehmen berichten hier von vereinzelten Versuchen, 14 Prozent sogar von mehrfachen.
„Social Engineering kann auf den ersten Blick harmlos wirken. Durch Informationen aus dem Innenleben der Unternehmen können Cyberkriminelle ihre Attacken aber gezielt vorbereiten und ihre Erfolgschancen massiv erhöhen. Der beste Schutz gegen Social Engineering sind wachsame und gut vorbereitete Mitarbeiter“, folgert Wintergerst.
