Menschliches Fehlverhalten bleibt eines der größten Risiken für kleine und mittelständische Betriebe im Bereich Cybersicherheit. Trotzdem behandeln Schulungen grundlegende Themen wie Phishing und Passwortsicherheit nur unzureichend. Das zeigt eine Studie von Sharp.
Fehleinschätzung: Obwohl menschliches Fehlverhalten für vier von zehn (39 Prozent) Deutschen in kleinen und mittelständischen Unternehmen die größte Gefahr in Sachen Cybersicherheit darstellt, decken die IT-Sicherheitsschulungen der Mitarbeiter in diesen Betrieben viele grundlegende sicherheitsrelevante Themen nicht ab. Damit besteht eine Diskrepanz zwischen der realen Bedrohungslage und dem Risikobewusstsein der Angestellten. Zu diesem Ergebnis kommt eine Studie von Sharp unter mehr als 500 IT-Entscheidern und -Beschaffungsverantwortlichen aus KMU verschiedener Branchen in ganz Deutschland.
Die Befragung ist Teil einer groß angelegten europaweiten Studie von Censuswide im Februar dieses Jahres. Interviewt wurden 5.770 IT-Entscheidungsträger und IT-Beschaffungsverantwortliche in Mittelstandsbetrieben, davon 501 aus Deutschland. Die befragten Unternehmen stammen aus elf Märkten: Deutschland, Österreich, Schweiz, Großbritannien, Schweden, Niederlande, Frankreich, Italien, Spanien, Polen und Belgien.
Fehlanzeige bei den Grundlagen der IT-Sicherheit
Nach Meinung der befragten Entscheider stellen Mitarbeiter, die in Sachen IT-Sicherheit unzureichend informiert sind, den zweitgrößten Risikofaktor (39 Prozent) für ihr Unternehmen dar – noch vor gezielten Angriffen oder mangelnden Schutzmaßnahmen. Schwerer wiegen nur noch fehlende Software- und System-Updates (40 Prozent).
Trotz dieser Bedenken und der Wichtigkeit, die umfangreichen IT-Sicherheitsschulungen zugemessen wird, zeigt die Studie, dass mittelständische Unternehmen in ihren Mitarbeitertrainings einige der wichtigsten Themen nur unzureichend behandeln. So werden Bedrohungen wie Viren und Phishing nur selten oder gar nicht besprochen. Gleiches gilt für Datenverluste und Angriffe, die aufgrund schwacher Passwörter erfolgen – obwohl rund ein Drittel der deutschen Mittelstandsbetriebe genau davon betroffen ist.
Homeoffice gilt vielerorts nicht als Security-Thema
Nur etwa vier bis fünf von zehn Sicherheitsschulungen befassen sich mit Passwortsicherheit (41 Prozent), dem Herunterladen von Dateien (42 Prozent), dem sicheren Umgang mit Daten (48 Prozent), Netzwerksicherheit (40 Prozent) oder mit den Grundlagen des An- und Abmeldens (41 Prozent). Beunruhigend ist zudem, dass trotz einer Zunahme von hybriden Arbeitsmodellen mit entsprechend komplexerer Cyberbedrohungslage nur knapp die Hälfte (44 Prozent) der deutschen Mittelstandsbetriebe ihre Sicherheitsschulungen daran angepasst haben. Lediglich bei 37 Prozent der befragten Unternehmen spielt das Thema hybrides Arbeiten in Schulungen überhaupt eine Rolle.
„Cybersicherheit ist nicht nur eine technische Herausforderung, auch der menschliche Faktor entscheidet“, erläutert Kai Scott, Geschäftsführer Sharp Business Systems Deutschland. „Unternehmen müssen daher eine Kultur schaffen, die IT-Sicherheit als Aufgabe für jeden Mitarbeiter definiert. Fehlen kontinuierliche Schulungen zu Themen wie dem Ändern von Passwörtern und dem Erkennen von Phishing-E-Mails, entsteht ein Sicherheitsrisiko.“ Jürgen Frisch