Eine umfassende Cybersicherheit setzt nicht nur eine zeitgemäße IT voraus. Unternehmen müssen zudem eine moderne Sicherheitskultur etablieren. Bisher ist das allerdings in den wenigsten Unternehmen geschehen – so der aktuelle “Cybersecurity Culture Report”.
3. Januar 2019
|
Lesedauer: ca. 2 Min.
Bild: © ChristophMeinersmann/pixabay.com
Angesichts zunehmender Cyberangriffe, die immer größere Schäden verursachen (CANCOM.info berichtete), sind Firmen quasi zum Handeln gezwungen. Neben einer modernen IT müssen sie das Thema Cybersicherheit in die Unternehmenskultur verankern, schreibt die Computerwoche. Dies gelinge nur, wenn Mitarbeiter in Sachen Security ausgebildet und solide Richtlinien für die Cybersicherheit erstellt werden.
Gerade unaufmerksame Mitarbeiter werden häufig von Hackern ins Visier genommen. Deshalb ist eine echte Cybersecuritykultur notwendig, bei der Mitarbeiter ein Bewusstsein für Cyberbedrohungen entwickeln und Verdachtsmomente frühzeitig melden. Damit das gelingt, ist es vor allem nötig, die Führungsebene miteinzubeziehen und Mitarbeiter regelmäßig zu schulen.
In vielen Unternehmen fällt der Status quo allerdings ernüchternd aus. Das besagt der aktuelle “Cybersecurity Culture Report” des unabhängigen, globalen Berufsverbands ISACA sowie vom CMMI Institute. Für den Report wurden weltweit über 4.800 Fachleute für Business und Technologie befragt.
Demnach sehen über 90 Prozent der Studienteilnehmer eine Diskrepanz zwischen der realen und gewünschten Cybersicherheitskultur in ihrem Unternehmen: Sie bewerten die dortige Sicherheitskultur als unzureichend, um für interne und externe Bedrohungen gewappnet zu sein.
Die meisten Befragten wissen laut Studie nicht, welche Funktionen und Zuständigkeiten sie haben, wenn es darum geht, die Sicherheit ihrer Firma und der Kundendaten zu gewährleisten. So geben nur 3 von 10 Befragten an, ihre Rolle in der Cyberkultur ihres Unternehmens zu kennen. Der Report betont: Um Cyberattacken effektiv abzuwehren, muss sich das schleunigst ändern. Nötig sei ein Ansatz, der die Mitarbeiter weitreichend einbindet.
Dies sei bei den wenigen Unternehmen mit einer “guten” Cybersicherheitskultur auch der Fall: Der Studie zufolge wissen in diesen Unternehmen 84 Prozent der Mitarbeiter genau, welche Rolle sie in der Cybersicherheit einnehmen.
Laut Studie fehlt in 42 Prozent der Unternehmen ein klar definierter Managementplan oder eine Richtlinie für eine Cybersicherheitskultur. Dies sei jedoch der erste und wichtigste Schritt, um eine Sicherheitskultur einzuführen.
Unternehmen, die einen größeren Anteil ihres Jahresbudgets für Cybersicherheit in Schulungen und Tools investieren, haben eine bessere Cybersicherheitskultur. Das geht aus dem Report hervor. Bei Firmen mit einer “guten” Sicherheitskultur beträgt dieser Anteil demnach 42 Prozent – deutlich mehr als bei Firmen mit einer schlechten Bewertung (19 Prozent).
“Zentrale Gründe für Unternehmen, ihre Investitionen in eine Cybersicherheitskultur zu verzögern, sind ein fehlendes Bewusstein über die Bedrohungen und ständigen Risiken sowie ein fehlendes Bewusstsein darüber, welche Vermögenswerte einem Risiko durch Cybersicherheitsbedrohungen ausgesetzt sind”, so Rob Clyde, Leadership Fellow des NACD Board und Vorsitzender der ISACA. “Einzelpersonen neigen jedoch dazu, die potentiellen Schäden zu unterschätzen und die Fähigkeit der Technologie, derartige Vorfälle einzugrenzen, zu überschätzen. Damit setzen sie ihre Unternehmen einem ernsthaften Risiko aus.”