Wenn Mitarbeiter Trojaner ins Unternehmen lassen

Angriffe auf deutsche Industrieunternehmen haben in den letzten beiden Jahren laut einer Bitkom-Studie 43,4 Milliarden Euro Schaden verursacht. Von den rund 500 befragten Unternehmen wurden mindestens 32 Prozent IT- oder Telekommunikationsgeräte, 23 Prozent sensible digitale Daten beziehungsweise Informationen gestohlen. „Illegaler Wissens- und Technologietransfer, Social Engineering und auch Wirtschaftssabotage sind keine seltenen Einzelfälle, sondern ein Massenphänomen“, betonte Thomas Haldenwang, Vizepräsident des Bundesamtes für Verfassungsschutz.

Die Mitarbeiter sind die Schwachstelle in der IT-Sicherheit

Die Schwachstelle ist dabei oft nicht die Technik, sondern der Mensch. Das gilt ganz besonders für Social Engineering. Dabei handelt es sich um die gezielte Beeinflussung von Mitarbeitern, um sie beispielsweise zur Preisgabe von vertraulichen Informationen zu bewegen. Von den von Bitkom befragten Unternehmen gab mehr als jedes fünfte an, sicher oder vermutlich von analogem oder digitalem Social Engineering betroffen gewesen zu sein.

Zu ähnlichen Ergebnissen kommt eine Studie der Personalberatung Rochus Mummert, für die 100 Entscheider in Unternehmen befragt wurden. 60 Prozent der Studienteilnehmer schätzen mögliches Fehlverhalten der Mitarbeiter als hohes bis sehr hohes Risiko ein. Zum Vergleich: Mängel in der IT-Infrastruktur oder beim Passwortschutz halten nur 19 beziehungsweise 34 Prozente der Entscheider für ein hohes Sicherheitsrisiko.

Unaufmerksame Kollegen und Führungskräfte verhindern einen besseren IT-Schutz

Dementsprechend gelten Unaufmerksamkeiten bei den Mitarbeitern und Führungskräften sowie der Personalmangel im IT-Bereich als größte Hürden für einen wirksameren Schutz: „Unaufmerksame Mitarbeiter“ nennen 71 Prozent der von Rochus Mummert Befragten als größtes Hindernis für eine bessere IT-Sicherheit. „Zu geringe Aufmerksamkeit durch das Führungspersonal“ identifizieren 57 Prozent und „Fachkräftemangel in der IT-Branche“ erkennen 52 Prozent als Herausforderungen. Dagegen stellen „zu wenige finanzielle Mittel“ oder „gesetzliche Vorgaben“ nur aus Sicht weniger Unternehmen Probleme dar.

Zu wenige Schulungen für die IT-Sicherheit

Schulungen von Mitarbeitern zu IT-Sicherheit sind auch 2019 noch kein Standard. Zwar haben fast alle Unternehmen eine IT-Sicherheitslinie (80 Prozent) oder planen und implementieren sie gerade (15 Prozent). Auch informiert die Mehrheit der Unternehmen die Mitarbeiter, etwa per E-Mail oder Flyer (85 Prozent). Aber dabei bleibt es in den meisten Fällen. Lediglich 50 Prozent der Unternehmen setzen auf Schulungen – und meist nur dann, wenn es einen konkreten Vorfall gegeben hat. Anlassunabhängige, regelmäßige Schulungen gibt es nur bei 37 Prozent der befragten Unternehmen.

Fehlende Kompetenzen bei den Führungskräften

Auch die Fachkompetenz des Führungspersonals beim Thema IT-Sicherheit wird häufig als ausbaufähig angesehen: 38 Prozent der Studienteilnehmer benoten sie zwar mit „gut“ oder „sehr gut“, aber genauso viele (39 Prozent) der Befragten attestieren den Führungskräften gerade einmal durchschnittliche, 23 Prozent sogar unterdurchschnittliche oder mangelhafte Kenntnisse.

IT-Sicherheit ist auch ein Thema für HR

Mit der Verantwortung des HR-Bereichs für Sicherheitsthemen im Unternehmen beschäftigt sich der Artikel „Warum IT-Sicherheit ein Thema für HR ist“ im Personalmagazin 05/2019. Der Beitrag zeigt auf, welche Maßnahmen Personalverantwortliche für mehr IT-Sicherheit im eigenen Bereich und bei den Mitarbeitern ergreifen sollten. 

Lesen Sie auch:

Mitarbeiter sind das IT-Sicherheitsrisiko Nummer 1

Mitarbeiter fühlen sich mit dem Thema IT-Sicherheit allein gelassen

Tipps: Das "Sicherheitsrisiko Mitarbeiter" reduzieren