Cybersecurity in Unternehmen: Expertenwissen vor Erfahrungswerten

5. August 2016

4 Min. Lesezeit

Studien zeigen: Nicht nur veraltete Technologien sind ein Risiko für Cybersecurity in Unternehmen. Der unsachgemäße Umgang von Mitarbeitern mit Daten zählt zu den größten Sicherheitsrisiken. Wie kann das Management dem entgegenwirken?

Cybersecurity in Unternehmen: Expertenwissen vor Erfahrungswerten (Desktop)

 

Vor einigen Jahren arbeitete ich für eine Beratungsfirma. Das Unternehmen, das wir berieten, war Zulieferer für einen größeren Industriekonzern. Eine Kollegin, ich nenne sie hier Sabine*, hatte ihren Arbeitsplatz direkt bei unserem Auftraggeber im Hause. Sie war eine der erfahrensten Mitarbeiterinnen der Firma, allseits beliebt und man konnte viel von ihr lernen. Ein Problem jedoch erschwerte die Zusammenarbeit mit ihr beizeiten: Sie sperrte sich gegen jegliche Art der Veränderung. Das betraf insbesondere Computersysteme und digitale Medien. Schwierig wurde es besonders dann, wenn neue Versionen und Updates installiert werden mussten.

Sabine wollte ihre Komfortzone am Arbeitsplatz nicht verlassen, was diesen zu einem Sicherheitsrisiko machte. Der Auftraggeber hatte ein argwöhnisches Auge auf ihren Arbeitsplatz und ihre Ablehnung wichtiger System-Updates, denn Sabine hatte umfangreichen Zugriff auf wichtige Kundendaten – für Hacker besonders interessant, da sie Zugang zu Konten gewähren können.

Zahl der Cyberattacken steigt

Der Argwohn des Auftraggebers war nicht unberechtigt: Unternehmen sind zunehmend Cyberangriffen ausgesetzt. In der ersten Jahreshälfte 2015 wurden weltweit mehr als 245 Millionen elektronische Daten gestohlen, wie die Unternehmensberatung Deloitte bekanntgab. Laut einer Umfrage des Marktforschungsinstitutes Bitkom Research wurde 2015 die Hälfte aller befragten deutschen Unternehmen Opfer von Cyberangriffen.

Die daraus resultierenden Kosten betrugen im vergangenen Jahr branchenübergreifend im Schnitt mehr als 6,6 Millionen Euro pro Hackerangriff, so der Report „2015 Cost of Cyber Crime Study: Germany“ des US-amerikanischen Ponemon Institutes. Dies bedeutet ein Anstieg gegenüber dem Vorjahr um mehr als eine halbe Million Euro.

Eigene Mitarbeiter eines der größten Sicherheitsprobleme

Auch wenn erfahrene Mitarbeiter wie Sabine für jedes Unternehmen wichtig sind, eine ablehnende Haltung gegenüber Innovation und Neuerungen der IT-Systeme kann fatale Folgen haben. Wie aus der Ponemon-Studie hervorgeht, wurden die größten Kosten durch Störungen im Servicebereich, Phishing und kriminelle Handlungen eigener Mitarbeiter verursacht. Sie allein waren für 42 Prozent aller durch Cyberangriffe ausgelösten Probleme verantwortlich.

Zwar verfolgte Sabine keinerlei kriminelle Absichten, dennoch: Die Cybersecurity eines Unternehmens ist nur so stark wie der schwächste Mitarbeiter, so ein Fazit von Deloitte. Hacker suchen zunächst den Weg über unerfahrene, naive oder weniger technologieaffine Angestellte, um an wichtige Daten zu gelangen. Mitarbeiter mit einer Ablehnung innovativer IT-Systeme sind vor allem deshalb ein idealer Angriffspunkt für Hacker, weil bei ihnen die aus der Verhaltensökonomie bekannte Verfügbarkeitsheuristik (availability bias) zutage tritt.

Sie erachten Szenarien, die auf ihren eigenen Erinnerungen und Erfahrungswerten basieren, als deutlich wahrscheinlicher, als Szenarien – wie beispielsweise eine Hackerattacke – denen sie noch nie begegnet sind. Um es auf den Punkt zu bringen: Vielen Mitarbeitern fehlt die Erfahrung mit Cyberangriffen, um die dadurch entstehenden Gefahren überhaupt einschätzen zu können. Sie erachten es für höchst unwahrscheinlich, dass jemand ihre Computer infiltrieren und wichtige Daten stehlen könnte.

Damit sich solch folgenschwere Urteilsfehler umgehen lassen können, benötigen diese Mitarbeiter die Unterstützung von Kollegen und Experten, die anhand relevanter Beispiele konkrete Gefahren aufzeigen. Diese Informationen dann in den Arbeitsalltag einzubauen ist jedoch oftmals leichter gesagt als getan.

Cybersecurity als fester Bestandteil der Compliance

Deshalb sind vor allem Vorstand und Management gefordert, das Thema aktiv in ihre Sicherheitsstrategie aufzunehmen. So ist es in vielen Unternehmen bereits fester Bestandteil der Compliance-Strategie, Mitarbeiter einzustellen, die ausschließlich für Cybersecurity zuständig sind.

Die Berater von Deloitte empfehlen auch zu einer engen Kooperation zwischen Unternehmen und Behörden, um Hackerangriffen schnell und effizient begegnen zu können. Seit 2015 verpflichtet das deutsche Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme die Betreiber wichtiger IT-Infrastrukturen, IT-Sicherheitsstandards einzuhalten. Hackerangriffe und andere Sicherheitsvorfälle müssen künftig gemeldet werden.

Eine besondere Rolle kommt nach Auffassung der Berater den Aufsichtsräten zu. Diese sollten die Cybersecurity-Strategie ihrer Unternehmen regelmäßig auf den Prüfstand stellen und gegebenenfalls zu Maßnahmen auffordern. Mit gezielten Schulungen etwa können alle Mitarbeiter auf die allgegenwärtigen Gefahren durch Cyberangriffe aufmerksam gemacht und über das breite Spektrum von Hackerattacken aufgeklärt werden.

    • Datenmanipulation:

Die Daten von Unternehmen werden gestohlen oder so manipuliert, dass sie für den weiteren Gebrauch im Unternehmen nicht mehr geeignet sind.

    • Identitätsdiebstahl:

Hacker stehlen Konto- oder Kreditkartendaten, um sie für eigene Zwecke zu verwenden.

    • Sabotage:

Dienstleistungen von Unternehmen werden manipuliert, so dass sie nicht mehr funktionstüchtig sind und dem Unternehmen und seinen Kunden schaden.

    • Wirtschaftsspionage:

Angriffe auf vertrauliche Unternehmensdaten und deren Weitergabe an Dritte, die diese dann für eigene Zwecke nutzen.

Der „Blick von außen“ ermöglicht Perspektivenwechsel

Die Zusammenarbeit mit externen Experten schärft aber nicht nur das Bewusstsein von Mitarbeitern wie Sabine für Cybersecurity. Sie können auch lernen, potenzielle Fehleinschätzungen basierend auf ihren persönlichen Erfahrungswerten beim Umgang mit sensiblen Kundendaten zu vermeiden. Der „Blick von außen“ kann häufig zu einem Perspektivenwechsel innerhalb des gesamten Unternehmens führen.

Die Verfügbarkeitsheuristik ist grundsätzlich nicht falsch und in der menschlichen Informationsverarbeitung allgegenwärtig. Dabei dient der Rückgriff auf Erfahrungen und Erinnerungen als wichtiger Faktor für die Entscheidungsfindung – ein Prozess, der in vielen Bereichen durchaus sinnvoll ist. Geht es allerdings um technische Innovationen, die von Spezialisten entwickelt, deren Umsetzung im Arbeitsalltag jedoch von Nichtspezialisten abhängt, dann kann sie sich vor allem im Bereich der Cybersecurity als gravierend erweisen.

* Personenname und Informationen über die Firma wurden aus Datenschutzgründen geändert

Kerstin Kubanek ist Finanzmarkt-Journalistin und Behavioral-Economics-Expertin

Drucken
Cyber Security eBook