Security-Awareness

Zwar weisen Cyberattacken eine große Vielfalt auf, die meisten erfolgen jedoch über verseuchte E-Mails und Phishing. Laut Trend Micro liefen 2019 über 40 Prozent der Attacken auf deutsche Unternehmen via Phishing ab. Die Angreifer versuchen in der Regel, den PC des Anwenders zu verseuchen oder den Nutzer auf Webseiten zu locken und ihm durch Täuschung diverse Zugangsdaten zu entlocken.

Dessen sind sich nicht nur die Unternehmen, sondern auch die Mitarbeiter bewusst. Allerdings haben laut Bitdefender-Studie nur etwas mehr als 22 Prozent der Mitarbeiter umfassende Leitfäden zur Cybersicherheit, zur Arbeit im Home­office, zu genehmigten Anwendungen und zur Inhaltsfilterung erhalten. In Sachen Sicherheitsschulungen geben fast alle Befragten an, in irgendeiner Weise eine Schulung erhalten zu haben. Aber bei vielen wurden nur grundsätzliche Sicherheitsprobleme geklärt. Weitere Schulungen bezüglich veränderter Bedrohungslagen finden meist nicht statt. Immerhin belegen die Umfragen, dass bereits durch einfache Schulungen ein merklicher Rückgang erfolgreicher Social-Engineering-Angriffe fest­zu­stel­len ist.

Da sich bereits mit Basis-Schulungen die Mitarbeiter relativ gut sensibilisieren lassen, empfehlen Experten, hier am Ball zu bleiben und fortwährend Schulungen anzubieten. Der Bitdefender-Studie zufolge sind dieser Empfehlung bereits 19 Prozent der Unternehmen gefolgt und haben ihre Cybersicherheitsschulungen für Mitarbeiter aktualisiert - sogar für die im Homeoffice. Zudem wollen 30 Prozent der Firmen künftig die Zahl der IT-Sicherheitsschulungen für Mitarbeiter erhöhen.

Der größte Teil der Sicherheitsstudien wertet verstärkt die IT-Sicherheitsprobleme während der Corona-Krise aus. Allerdings zielen nur wenige Fragen darauf ab, wie die Unternehmen die Sicherheit in Zukunft gestalten wollen. Lediglich in der Bitdefender-Studie finden sich hierzu konkrete Aussagen der Unternehmen: Einer von drei Befragten (31 Prozent) in Deutschland gibt an, dass er beabsichtigt, den IT-Support rund um die Uhr aufrechtzu­erhalten. 30 Prozent wollen die Zahl der IT-Sicherheitsschulungen für Mitarbeiter erhöhen, 27 Prozent für eine bessere Sichtbarkeit von Schwachstellen in ihrer In­frastruktur sorgen. 26 Prozent haben sich vorgenommen, die Inventarisierung der Geräte, die auf die Unternehmensinfrastruktur zugreifen, zu vervollständigen. Und 25 Prozent wollen mit neuen Sicherheitsrichtlinien einem größeren Anteil von Mitarbeitern ermöglichen, dauerhaft remote zu arbeiten.

Alle weiteren Lehren aus der Krise ziehen die Unternehmen nicht selbst, sondern diese werden von den Security-Anbietern formuliert. Eine zentrale Aussage dabei: Der Schlüssel, die IT-Security in der neuen Normalität zu verbessern, ist, die Sicherheitsteams durch den Einsatz neuer Technologien zu entlasten.

Alles andere, was Sicherheitstechnologie nicht direkt lösen kann, muss per Security-Awareness-Schulungen gelöst werden. Hier ist besonders die Trend-Micro-Studie „Head in the Clouds“ interessant, weil sie zusätzlich die Psychologie des Verhaltens von Menschen in Bezug auf Cybersicherheit einschließlich ihrer Einstellung zu Risiken in den Blick nimmt. Basierend auf den Studienergebnissen hat man Nutzertypen (Personas) identifiziert. Das Wissen um deren Einstellungen und Verhaltensweisen soll Unternehmen dabei helfen, ihre Cybersicherheitsstrategie auf ihre jeweiligen Mitarbeiter zuzuschneiden.