IT-Sicherheit (k)eine Chefsache?

Führungskräfte wie Geschäftsführer oder Vorstände zählen bei Cyber-Attacken oft zu den beliebtesten Zielen. Aus Sicht von Kriminellen auch durchaus verständlich: Denn im Posteingang oder auf dem Rechner des Managements werden sich im Regelfall deutlich sensiblere Daten als auf dem Notebook des Praktikanten finden lassen. Und auch die Zugangsrechte sind häufig sehr weit reichend.

Angesicht dieser Tatsache könnte man also eigentlich davon ausgehen, dass gerade das Top-Management in höchstem Maße für IT-Sicherheitsrisiken sensibilisiert ist. Eigentlich. Denn – und man ahnt es fast schon – in der Realität scheint das Gegenteil der Fall zu sein. Zumindest legen das die Ergebnisse einer aktuellen Studie von Bitdefender nahe. Der Anbieter hat dabei im Rahmen seiner Umfrage „Hacked off!“ rund 6.000 IT-Security-Experten aus verschiedenen Ländern unter anderem zu genau diesem Thema befragt – darunter Mitarbeiter von kleinen Unternehmen ebenso wie von börsennotierten Konzernen. Die Ergebnisse sind, vorsichtig ausgedrückt, einigermaßen ernüchternd.

In über 50 % der Unternehmen missachtet das Management Sicherheits-Richtlinien
Deutlich mehr als die Hälfte der Befragten (57 % weltweit) gibt an, dass es in ihren Firmen genau jenes Top-Management ist, das Sicherheits-Richtlinien komplett missachtet oder zumindest aufweicht. Brisanz gewinnt dies vor allem auch durch den Blick auf das gesamte Unternehmen: Denn „nur“ 36 % geben an, dass die Mitarbeiter in ihren Firmen insgesamt zu wenig vom Thema Cybersecurity verstehen.
Folgt man der Studie, deutet dies darauf hin, dass gerade im Management also erhebliche Defizite in Sachen IT-Sicherheit bestehen – oder aber dort zumindest eine deutlich erhöhte Risikobereitschaft besteht, entsprechende Richtlinien nach eigenem Ermessen auszulegen.

Viele Security-Experten fühlen sich schlecht vorbereitet
So ist es dann auch nicht weiter verwunderlich, dass sich die Security-Experten alles andere als bestens gewappnet fühlen: Mehr als jeder Zweite (58 %) bezweifelt, dass sein Unternehmen für die Abwehr einer größeren Cyber-Attacke wirklich gerüstet ist. Und gerade einmal 3 % der Befragten, also drei (!) von hundert, sind davon überzeugt, mit ihren bestehenden IT-Security-Lösungen sämtliche modernen Angriffe erkennen und isolieren zu können.
Dabei steht sehr viel auf dem Spiel. Gefragt nach den negativen Folgen eines anhaltenden Sicherheitsverstoßes nennen Befragte in Deutschland vor allem Aspekte wie eine Unterbrechung des Betriebs (48 %), einen Umsatzverlust (39 %) sowie einen Image- bzw. Reputationsschaden (37 %). Allesamt also schwerwiegende Konsequenzen, die ein Unternehmen in seiner Existenz bedrohen können.

Data Loss Prevention (DLP)
Ein oft zu Unrecht übersehener Aspekt ist dabei Data Loss Prevention (DLP). Denn mit einer passenden Lösung lassen sich Datenlecks und -verluste sehr wirksam verhindern. Auch die Nutzung sicherer, hardwareverschlüsselter Speichermedien –vom USB-Stick bis hin zur schnellen SSD-Festplatte – ist ein Ansatzpunkt, mit dem sich verhältnismäßig einfach und schnell ein deutliches Plus an IT-Sicherheit schaffen lässt. Dass eine gute Anti-Malware-Lösung als Basis zudem Pflicht ist, versteht sich darüber hinaus eigentlich von selbst.

Fazit: Die Ergebnisse der aktuellen Studie zeigen eines überdeutlich: Kein IT-Verantwortlicher oder Security-Experte sollte sich darauf verlassen, dass im gesamten Unternehmen das nötige Wissen und/oder die nötige Vorsicht vorhanden sind, um Cyber-Angriffe zu erkennen und abzuwehren. Geeignete technische Maßnahmen – gerade mit Blick auf die Führungsebene – stehen zur Verfügung und sollten auf jeden Fall verwendet werden.