Mitarbeiter im deutschen Mittelstand: G DATA sieht Belastungsprobe für IT-Sicherheit

Umfrage von G DATA zeigt Probleme auf und stellt Nutzen von Security Awareness dar

[datensicherheit.de, 21.04.2021] Jedes zweite Unternehmen im deutschen Mittelstand kenne die Situation, wenn ein Cyber-Angriff erfolgreich war: Ungeschulte Mitarbeiter spielten dabei häufig eine wichtige Rolle. E-Mails seien der Angriffsweg Nummer 1 in IT-Systeme, weil Angestellte schnell auf gefälschte Rechnungen oder Bewerbungen reinfielen. G DATA CyberDefense stellt in einer Meldung dar, welche Fallstricke laut einer aktuellen Umfrage beim Thema „Security Awareness“ lauerten. Für die zugrundeliegende „Security Awareness Trainings“-Umfrage hat OmniQuest demnach im Auftrag von G DATA CyberDefense AG im Herbst 2020 insgesamt 200 mittelständische Unternehmen befragt: „Die befragten deutschen Firmen hatten zwischen 50 und 1.000 Mitarbeiter. Die Branchenzugehörigkeit und das Tätigkeitsfeld spielten dabei keine Rolle.“

Abbildung: G DATA

Umfrageergebnisse: „Security Awareness Trainings im deutschen Mittelstand – Sind Mitarbeiter Teil der Cyberabwehr?“

Viele Mitarbeiter unsicher im Umgang mit der IT und anfällig für Fehler, warnt G DATA

IT-Sicherheit sei bei den meisten Mitarbeitern nicht das Kerngeschäft – insbesondere, wenn diese nicht aus dem IT-Umfeld stammen. Das habe Folgen: „Bei der Hälfte der befragten Mittelständler war eine Cyber-Attacke durch den Fehler eines Angestellten erfolgreich. Das wird teuer und kann schnell existenzbedrohlich werden.“
Nikolas Schran, „Product Owner Cyber Defense Academy“ bei G DATA CyberDefense, erläutert: „Viele Mitarbeiter sind unsicher im Umgang mit der IT und anfällig für Fehler. Cyber-Kriminelle nutzen das konsequent aus und greifen über die Mitarbeiter an.“ Er betont: „Wer IT-Sicherheit ganzheitlich denkt, kann nicht allein auf technische Lösungen setzen, sondern sollte seine Angestellten zum integralen Teil seines Sicherheitskonzeptes machen.“

G DATA rät zur Analyse der Opportunitätskosten, wenn das Budget zum Problem wird

Das Potenzial zu einer signifikanten Verbesserung der IT-Sicherheit sei da. Viele Mittelständler nutzten diese Chance aber nicht. Gerade kleinere Unternehmen dächten bei „Security Awareness Trainings“ nicht an umfassende Schulungen über einen längeren Zeitraum, sondern führten nur einmalige Veranstaltungen durch. Alternativ würden hin und wieder E-Mails über aktuelle Bedrohungen versendet oder Informationen über das firmeneigene Intranet bereitgestellt. „Dies ist weder zielführend noch nachhaltig!“
Durch eine solche Vorgehensweise könnten zwar im Vergleich zur Anschaffung einer E-Learning-Umgebung Gelder eingespart werden. Eine nachhaltige Verhaltensänderung und wirkliche Sensibilisierung fänden jedoch nicht statt. Um die Opportunitätskosten von „Security Awareness Trainings“ zu berechnen, sollten Verantwortliche die Kosten eines mehrtägigen Betriebsausfalls auf Grund eines Cyber-Vorfalls den Investitionen gegenüberstellen.

Laut G DATA sollten Unternehmen auf umfassende Security Awareness Trainings setzen

Dies gelte insbesondere in der aktuellen Situation, welche besondere Anforderungen an Unternehmer und Mitarbeiter stelle. „Gerade in der aktuellen Home-Office-Situation ist eine gute Security-Awareness wichtiger denn je. Mitarbeiterinnen und Mitarbeiter sind durch die ,Pandemie‘, Home-Schooling und Vereinsamung einem besonderen Druck ausgesetzt. In solchen Situationen sind sie besonders anfällig für ,Social Engineering‘. Wir stärken die Mitarbeiter, damit sie auch in Stresssituationen die richtigen Entscheidungen treffen und steigern damit die IT-Sicherheit im Unternehmen“, so Schran.
Unternehmen sollten auf umfassende „Security Awareness Trainings“ setzen, um ihre Mitarbeiter nachhaltig im Thema IT-Sicherheit zu schulen und sie mit dem nötigen Wissen auszustatten, um Angriffe sicher abzuwehren. Diese Maßnahme sei sehr wirksam und die Investition lohne sich: „78 Prozent der befragten Mittelständler haben hierdurch ihre IT-Sicherheit gesteigert und die Mitarbeiter gehen vorsichtiger mit den IT-Systemen um.“

Weitere Ergebnisse der Umfrage von G DATA:

• Die Hälfte der Unternehmen schule die gesamte Belegschaft in puncto IT-Sicherheit.
• Bei E-Learning-Dienstleistungen erwarte die Hälfte der Unternehmen eine Phishing-Simulation.
• Ziele von „Security Awareness Trainings“ in Unternehmen seien die Verbesserung der IT-Sicherheit und Compliance.
• Das wichtigste Thema für den Mittelstand bei „Security Awareness Trainings“ seien „Sicherheitsvorfälle“ – d.h. Angriffe zu erkennen und im Ernstfall richtig zu handeln.
• Fast die Hälfte der Mittelständler, die keine „Security Awareness Trainings“ durchführten, glaube, bei IT-Sicherheit gut aufgestellt zu sein.

Weitere Informationen zum Thema:

G DATA
Security Awareness Trainings im deutschen Mittelstand – Sind Mitarbeiter Teil der Cyberabwehr?

datensicherheit.de, 20.04.2021
Faktor Mensch und Unternehmensnetzwerk laut PSW GROUP wesentliche Cyber-Risiken / PSW GROUP rät zu mehr Awareness und Mitarbeitersensibilisierung

datensicherheit.de, 09.09.2020
kaspersky-Training zeigt: Mitarbeiter überschätzen eigene IT-Kenntnisse / Mitarbeiter machen 90 Prozent der Fehler – aber in der Überzeugung, das Richtige zu tun