Herausforderungen im Unternehmensalltag: Wenn Mitarbeiter Informationssicherheitsregeln missachten
Bequemlichkeit kennen wir alle. Die guten Vorsätze vom 1. Januar 2024 sind längst vergessen, ohne dass es größere Konsequenzen nach sich zieht. Aber es gibt auch Fälle, in denen Bequemlichkeit brandgefährlich werden kann. Ein jüngstes Beispiel dafür liefert die Studie des Cybersicherheitsunternehmens Proofpoint. „Die Studienergebnisse sind nach unseren gemachten Erfahrungen nicht überraschend. Sie sind ein Weckruf für Unternehmen, Organisationen und Behörden“, erklärt der Fachmann für Informationssicherheit Dr. Jörn Voßbein anlässlich der Veröffentlichung der Resultate. Die Studie basiert auf einer Befragung von 7.500 Mitarbeitern und 1.050 Sicherheitsexperten aus 15 verschiedenen Ländern. Kernaussage: Mitarbeiter missachten in großem Umfang die Regeln der Informationssicherheit. Dieses Verhalten geschieht dabei nicht unbewusst oder zufällig, sondern im vollen Bewusstsein der Vorgaben. Grund hierfür ist aber weniger die Böswilligkeit, sondern die eigene Bequemlichkeit. Die genauen Resultate, wo Deutschland im Vergleich zu anderen Ländern liegt und was getan werden kann, um die Bequemlichkeit zu bekämpfen, sind einige Themen mit denen eine Auseinandersetzung lohnt.
In der zunehmend digitalisierten Arbeitswelt ist der Schutz sensibler Daten und der unternehmerischen DNA von entscheidender Bedeutung. Trotzdem sehen sich viele Unternehmen mit dem Problem konfrontiert, dass Mitarbeiter Informationssicherheitsregeln ignorieren. Folge: Ernsthafte Risiken für die Informationssicherheit, für den gesetzlichen Datenschutz und für die Unternehmensintegrität. Der Proofpoint-Studie zufolge missachten rund zwei Drittel aller Angestellten bewusst gängige und bekannte Sicherheitspraktiken und setzen ihr Unternehmen dadurch erhöhten Risiken für Cyberangriffe aus. Deutschland liegt dabei mit 64 Prozent nur leicht unter Durchschnitt. Weltweit liegt dieser Anteil laut Befragung bei 68 Prozent.
Die Gründe für dieses Verhalten sind laut Studie zwar vielfältig, aber Bequemlichkeit gaben 46 Prozent der Befragten als Begründung für ihr gefährliches Verhalten an. Bei 44 Prozent ging es um Zeitersparnis und 22 Prozent verspürten ein Gefühl der Dringlichkeit. Die Auswirkungen solcher Nachlässigkeiten können von Datenlecks über Malware-Infektionen bis hin zu schwerwiegenden Cyberangriffen reichen.
Besonders bemerkenswert ist das Auseinanderfallen von Ergebnissen zwischen den befragten Gruppen Mitarbeiter vs. Sicherheitsexperten. Während 65 Prozent der Angestellten angaben, nicht für die Sicherheit ihres Unternehmens verantwortlich zu sein, glauben 86 Prozent der befragten Sicherheitsexperten hingegen, dass den meisten Mitarbeitern ihre Verantwortung für die Unternehmenssicherheit sehr wohl bewusst ist.
Was ist im Wissen solcher Studienergebnisse nun aus Unternehmenssicht zu tun? Eine gezielte und vor allem auch kontinuierliche Sensibilisierung der Belegschaft mit Schulungen und Aufklärungskampagnen ist dabei, so die Erfahrung der UIMC, von entscheidender Bedeutung. Dabei gilt es den Fokus neben den potenziellen Risiken auch auf konkrete Handlungsanweisungen zu richten. „Diese Hinweise sollten aber auch praxisgerecht sein, damit die Bequemlichkeit nicht so schnell siegt. Die Rolle und Bedeutung des einzelnen Mitarbeiters in einer Gesamtsicherheitsstrategie des Unternehmens sollte dabei ebenfalls verdeutlicht werden“, empfiehlt der Informationssicherheitsexperte Dr. Jörn Voßbein. Neben den klassischen Schulungsangeboten erfreuen sich auch E-Learning-Angebote einer wachsenden Beliebtheit. Möglicherweise auch deshalb, weil sie eine individuelle Qualifizierung gewährleisten und einfacher im Rahmen eines kontinuierlichen Prozesses im Unternehmen umsetzen zu können.
In jedem Fall sollten Unternehmen proaktiv handeln und Strategien entwickeln, um das Bewusstsein für Informationssicherheit zu stärken und gleichzeitig Mitarbeiter in diesem Prozess zu unterstützen. „Nur durch eigene Anstrengungen können Unternehmen ihre digitale Infrastruktur vor den vielfältigen Cyber-Bedrohungen schützen, die durch das Missachten von Regeln entstehen können“, appelliert UIMC-Geschäftsführer Dr. Jörn Voßbein, mehr für die eigene Informationssicherheit zu tun. „Dabei ist es auch wichtig, nicht nach Schuldigen, sondern nach Lösungen zu suchen.“