Das Sicherheitsbewusstsein muss auf allen Ebenen geweckt werden
Cyberrisiken stehen auf der Agenda der Unternehmen weit oben, IT-Sicher- heitsvorfälle füllen die Schlagzeilen der Medien. Trotzdem wäre es verfehlt, das Bewusstsein für IT-Sicherheit und damit die Security Awareness als aus- reichend oder gar zufriedenstellend anzusehen. Ein Blick auf die aktuelle Sensibilisierung in Security-Belangen deckt viele Lücken auf.
Größte Sorge der Unternehmen, aber mangelndes Bewusstsein für Cyberrisiken
Auf den ersten Blick ist es eine gute Nachricht für Security-Verantwortliche: Cybergefahren sind im Jahr 2022 die größte Sorge für Unter- nehmen weltweit, so das Allianz Risk Barometer 2022. Die Bedrohung durch Ransomware- Angriffe, Datenschutzverletzungen oder IT-Ausfälle beunruhigt die Unternehmen sogar noch mehr als Geschäfts- und Lieferketten- unterbrechungen, Naturkatastrophen oder die Covid-19-Pandemie, die alle Unternehmen im vergangenen Jahr stark beeinträchtigt haben. Der Hauptgrund dafür ist die Zunahme von Ransomware-Angriffen, die von den Umfrage- teilnehmern (57 Prozent) als die größte Cyberbedrohung für das kommende Jahr bewertet wurde. Die Befragten erkennen an, dass es notwendig ist, Sicherheitsvorkehrun- gen zu verbessern und für künftige Ausfälle zu planen, da sie sonst mit den zunehmenden Konsequenzen seitens der Regulierungsbe- hörden, Investoren und anderer Interessen- gruppen rechnen müssen. Doch die Besorgnis, Opfer von Cyberattacken zu werden, schlägt sich nicht nachhaltig in den Security-Maßnahmen nieder. Dafür gibt es viele deutliche Anzeichen.
Security-Budgets weiterhin zu niedrig, Security-Schulungen zu selten
Trotz steigender Cyberrisiken in Zeiten von Homeoffice und Corona-Pandemie haben viele Unternehmen nicht so auf die Bedro- hungslage reagiert, wie man es erwarten sollte. So hat die Wirtschaftsumfrage des BSI (Bundesamt für Sicherheit in der Informati- onstechnik) ergeben, dass über 50 Prozent der Unternehmen weniger als zehn Prozent der IT-Ausgaben in Cyber-Sicherheit investie- ren. Das BSI empfiehlt jedoch, bis 20 Prozent des IT-Budgets in Sicherheit zu investieren. Selbst eher kostengünstige Sicherheits- maßnahmen wie Notfallübungen oder der Grundsatz „IT-Sicherheit ist Chefsache“ wer- den nicht genügend umgesetzt, so das BSI. „IT-Sicherheit ist noch zu wenig in Budgets, Abläufen und Köpfen der Unternehmen an- gekommen“, erklärt dann auch Arne Schönbohm, Präsident des BSI.
Auch der Digitalverband Bitkom berichtet, dass die Sicherheitsmaßnahmen der Unter- nehmen nicht der Bedrohungslage entspre- chen, obwohl diese durchaus gesehen wird. Im Zuge der Corona-Pandemie hat besonders die Absicherung von Cloud-Anwendungen an Bedeutung gewonnen. Sie sind vielfach notwendig, um Mitarbeitenden die Arbeit aus dem Homeoffice zu ermöglichen.
Allerdings werden passende Sicherheitsmaß- nahmen von etlichen Unternehmen im Land nicht genutzt, so Bitkom: 60 Prozent setzen zwar auf abhörsicherer Sprachkommunika- tion, nur 46 Prozent allerdings auf erweiterte Verfahren zur Benutzeridentifikation – also etwa die Anmeldung auf einem Gerät mittels Zwei-Faktor-Authentifizierung. Gegen den Datenabfluss von innen sichern sich 43 Pro- zent ab, 42 Prozent separieren Netzwerkzu- gänge für Kunden oder Geschäftspartner und 41 Prozent verschlüsseln ihren Mailverkehr. „Viele Sicherheitsmaßnahmen lassen sich mittlerweile leicht umsetzen und mit wenig Vorlaufzeit im Arbeitsalltag integrieren. Trotz- dem steigt deren Nutzung nur langsam. Die Zuwächse sind zwar grundsätzlich ein postivies Signal, Unternehmen sollten aber keine Zeit verlieren und ihre Sicherheit ausbauen“, kommentierte Bitkom-Geschäftsleiterin Dehmel.
Auch Nutzer sorgen sich, handeln aber nicht entsprechend Umfragen zur IT-Sicherheit wie die des Digitalverbands Bitkom machen deutlich, dass es nicht nur auf Unternehmensebene eine Diskrepanz zwischen der Furcht vor den Cybergefahren und dem tatsächlichen Handeln gibt.
