Anzeige

Security Meeting

Zwei Fragen: Wer hat die meisten Informationen in einem Unternehmen, die weitesten Rechte zum Datenzugriff und wird deshalb bevorzugt gehackt? Klar, das Topmanagement. Wer sollte sich daher konsequent schützen und schützen lassen? Eben. 

Doch Sicherheit kann unbequem sein und neue Untersuchungen zeigen einen gefährlichen Trend: Viele leitende Angestellte weichen Cybersicherheits-Richtlinien auf oder ignorieren sie einfach.

Die weltweite Studie „Hacked Off!“ von Oktober 2019 untersucht detailliert den Druck, unter dem IT-Sicherheits-Profis stehen und wie sich dieser auf die Wirksamkeit von Sicherheitsmaßnahmen auswirkt. Auch geht sie der Frage nach, was die Befragten als die besten Strategien zur Gewährleistung der IT-Sicherheit von Unternehmen ansehen. Die von Bitdefender in Auftrag gegebene Studie berücksichtigt die Einschätzungen und Meinungen von mehr als 6.000 IT-Sicherheitsexperten in acht Ländern, 515 davon in Deutschland.

Eines der brisantesten Ergebnisse ist, dass es nicht nur die externe Bedrohungslandschaft ist, mit der die Security-Experten zu kämpfen haben. Mehr als ein Viertel der deutschen Befragten (28 Prozent) gibt an, dass es am Verständnis für Cybersicherheit bei den Beschäftigten mangelt. Noch weit mehr sehen ein Problem an der Spitze ihrer Organisationen: 44 Prozent der deutschen IT-Security-Experten (international sogar 57 Prozent) geben an, dass das Top-Management IT-Sicherheits-Regeln entweder aufweicht oder vollständig missachtet (siehe Grafik). Unter anderem deshalb machen sich 51 Prozent der deutschen Befragten Sorgen um die Einsatzbereitschaft ihrer Organisation im Falle eines großangelegten globalen Cyberangriffs.

Das Topmanagement diskutiert IT-Security, aber praktiziert sie nicht

Ein derart mangelhaftes Zeugnis für die Einhaltung von Sicherheitsrichtlinien überrascht. Bleibt ein anhaltender Sicherheitsverstoß im Unternehmen unbemerkt, wären die Konsequenzen laut der deutschen Befragten massiv: Sie befürchten Betriebsunterbrechung (48 Prozent), Umsatzverlust (39 Prozent) und Reputationsverlust (37 Prozent). Mit zahllosen Schlagzeilen über millionenfachen Datenklau, große Ransomware- und Sabotagesoftware-Kampagnen und digital betriebene Wirtschaftsspionage schien Cybersecurity in den letzten Jahren mit Verspätung in das Blickfeld des Topmanagements gerutscht zu sein.

Gesetzliche Richtlinien wie die europäische Datenschutzgrundverordnung mit der Androhung von Strafen im Wert von bis zu vier Prozent des weltweiten Jahresumsatzes einer Firma taten ein Übriges, um der IT-Sicherheit einen nie gekannten Stellenwert in Unternehmen zu geben. Eine hohe IT-Sicherheit gilt heute als Chefsache, die im Vorstand großer Unternehmen aufgehängt, in den Aufsichtsräten diskutiert und bei Geschäftsführern und Vorstandsvorsitzenden verantwortet wird.

Doch nun stellt sich heraus, dass sich dies mitnichten durchgängig im alltäglichen Verhalten und den wirtschaftlichen Entscheidungen der Führungskräfte niederschlägt. Zahlreiche Führungskräfte, leitende Angestellte und Topmanager gehen nicht etwa mit bestem Beispiel voran, sondern höhlen im Gegenteil die IT-Sicherheit ihrer Unternehmen von innen her aus und enthalten IT-Sicherheitsverantwortlichen die Werkzeuge vor, die aus fachlicher Sicht notwendig sind, um für umfassenden Schutz zu sorgen: Gerade einmal vier von hundert deutschen Befragten der „Hacked Off“ Studie vermuten, dass sie mit ihren derzeitigen Security-Werkzeugen alle Advanced Attacks effizient erkennen und isolieren können.

Die Vorbilder versagen

IT-Sicherheitsrichtlinien mögen manche Vorgänge komplizierter machen und manche Neuerungen verlangsamen: Die Mitarbeiter müssen zum Beispiel bei E-Mails wachsam bleiben, neue Software und Online-Services prüfen und absichern lassen, mit eingeschränkten Zugriffsrechten auskommen oder dürfen nicht jedes mobile Endgerät benutzen. Schlecht abgestimmte Security-Systeme bremsen teilweise die Hardware-Ressourcen aus. Die Einführung IoT-basierter Prozesse erfordern teilweise neue Sicherheitstechnologien und in manche organisatorischen Abläufen müssen zusätzliche Schleifen eingebaut werden. Das ist unbequem. Doch die Folgen mangelnder Cybersicherheit sind weitaus gravierender, sie bedrohen Unternehmen in ihrer Existenz. Deshalb sind Führungskräfte gut beraten, sich ebenso penibel an die Richtlinien der Verantwortlichen zu halten wie sie von jedem ihrer Mitarbeiter erwarten, ihre eigenen Anordnungen umzusetzen.

Gerade die Führungskräfte sollten ihrer Vorbildfunktion gerecht werden und gemeinsame Lösungen mit den Sicherheitsverantwortlichen suchen. Wenn eine Cybersecurity-Richtlinie das Geschäft einengt, sollten sie den Dienstweg gehen, um mit der IT-Abteilung bessere Wege zu finden und die Richtlinie zu aktualisieren.

Gute Argumente artikulieren

IT-Verantwortliche wiederum tun gut daran, nicht nur selbstgerecht auf die zu zeigen, die die Gesamtverantwortung für das Unternehmen tragen, sondern auch ihre eigene Verantwortung als Aufklärer sehr ernst zu nehmen. Die neuen Daten zeigen, dass sie eine vorbildliche Einstellung von Führungskräften nicht länger vorauszusetzen und genauso wenig die Aushöhlung von Richtlinien stillschweigend hinnehmen können. Die guten Argumente sind auf ihrer Seite - wenn sie denn nur zur Sprache kommen. Wer seinen Job als Security-Experte ernst nimmt, belässt es nicht bei technischer Fachkenntnis, sondern versucht, Führungskräfte im Gespräch zu möglichen Risiken zu überzeugen: Es geht bei IT-Sicherheit um nicht weniger als Umsatz, Produktivität und den guten Ruf eines Unternehmens. Die Bedeutung dieser Faktoren versteht jeder Manager. IT-Sicherheitsrichtlinien, die wir nur für die anderen ausarbeiten, schützen ein Unternehmen nicht.

Bildunterschrift: Laut der Bitdefender-Studie „Hacked Off“ beklagen international 57 Prozent der Security-Experten, dass das Top-Management Regeln missachtet – in Deutschland sind es 44 Prozent.

Die Studie „Hacked Off!“ mit den internationalen Ergebnissen sollte hier zum Download stehen. 

 

 

Herbert Mayer, Sales Engineer
Herbert Mayer
Sales Engineer, Bitdefender

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Weitere Artikel

Hacker Corona

Covid-19 Impfstoff als Thema unterschiedlicher Cyberattacken

Proofpoint, Inc., ein Next-Generation Cybersecurity- und Compliance-Unternehmen, warnt aktuell vor einer Vielzahl verschiedener Cyberattacken, die sich die Unsicherheit vieler Menschen rund um das Thema Covid-19-Impfstoff zunutze machen.
Hacker

Identitätsbetrug: Darauf müssen sich Unternehmen 2021 vorbereiten

Zum Jahresbeginn prognostizieren die Security-Experten von ForgeRock und Onfido weitere Zunahmen von Betrugsversuchen im Internet. Vor allem Deepfakes werden zunehmend raffinierter. Unternehmen müssen daher zukünftig auf alternative Überprüfungsmethoden von…
Hacker

Ende von DarkMarket: So reagiert das Dark Web

Mit dem Aus von DarkMarket ist den deutschen und internationalen Ermittlern ein wichtiger Schlag im Kampf gegen Cyberkriminalität gelungen. Im Dark Web selbst hat die Nachricht vom Ende des „größten illegalen Marktplatzes“ jedoch nur verhaltene Reaktionen…
Hacker

5 Sicherheitsrisiken, die uns dieses Jahr erwarten

Das Jahr 2020 hat Geschichte geschrieben: Die globale Covid-19-Pandemie hat so ziemlich alle Lebensbereiche auf den Kopf gestellt – inklusive die Welt der Cyber-Kriminalität.
COVID-19-Impfstoff

Cyberangriffe auf die Supply Chain für COVID-19-Impfstoffe

Warum sind Cyberkriminelle daran interessiert, die COVID-19-Impfstoff-Lieferkette zu unterbrechen? Was haben wir bereits an COVID-19-bezogenen Cyberangriffen gesehen?
Hacker

Digitaler Service des US-Militärs lädt Hacker ein Schwachstellen zu entdecken

Der Defense Digital Service (DDS) und Hackerone, Sicherheitsplattform für ethisch motivierte Hacker – die so genannten White Hat Hacker, gaben den Start ihres elften Bug-Bounty-Programms bekannt. Zudem ist es das dritte Bug-Bounty-Programm mit dem U.S.…

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!