Lediglich 19,5 Prozent der IT-Entscheider in Deutschland stimmen voll und ganz der Aussage zu, dass ihre Mitarbeiter bei Fehlern, die die IT-Sicherheit gefährden könnten, keine Konsequenzen fürchten müssen. In einigen Fällen würden IT-Entscheider den entsprechenden Mitarbeitern sogar kündigen.
Diese Erkenntnisse gehen aus der aktuellen Kaspersky-Studie: „Incident Response zur Prävention – Warum Unternehmen in Deutschland schlecht auf Cyberangriffe vorbereitet sind und wie sie dank Incident-Response-Methoden cyberresilienter werden“ hervor.
Eine gute Fehlerkultur, wenn es um cybersicherheitsrelevantes Verhalten geht, ist ein Schlüsselfaktor in der präventiven Cyberabwehrstrategie von Unternehmen. Bei einem erfolgreichen Phishing-Versuch ist es beispielsweise essenziell, dass dieser umgehend und umfassend gemeldet wird, um Folgeschäden zu minimieren.
Allerdings zeigt die Kaspersky-Studie Defizite beim Umgang mit Fehlverhalten in einigen Unternehmen in Deutschland. Zwar geben 67,5 Prozent an, ihr Unternehmen verfüge über eine gute Fehlerkultur. Jedoch sagen lediglich 19,5 Prozent, dass Mitarbeiter bei einem Fehlverhalten keine Konsequenzen zu fürchten hätten.
Im Rahmen der Studie hatten die befragten IT-Entscheider auch die Gelegenheit, die möglichen Auswirkungen eines fehlerhaften Verhaltens von Mitarbeitern zu beschreiben, das die Cybersicherheit des Unternehmens gefährden könnte. Dabei zeigte sich, dass Mitarbeitern, die auf eine Phishing-E-Mail hereinfallen oder auf einen Malware-Link klicken, teils drastische Konsequenzen drohen. So tauchten in den offenen Antworten Aussagen wie „wird gefeuert“, „bekommt eine Abmahnung“ oder „[s]ie werden zur Rechenschaft gezogen“ auf. Müssen Mitarbeitende bei einem Fehlverhalten Konsequenzen fürchten, werden sie jedoch weniger geneigt sein, offen damit umzugehen und den Vorfall an einen Vorgesetzten beziehungsweise IT-Beauftragten melden.
Ein Teil der IT-Entscheider würde bei einem Fehlverhalten auf Schulungen und Trainings setzen, um das Bewusstsein für Bedrohungen und Schutzmaßnahmen zu stärken: „Es werden entsprechende Schulungen für den Mitarbeiter gemacht, bei einmalige[n] Fehlern […]“, „Es werden Gespräche geführt und geprüft ob [eine] neue Schulung angesetzt werden muss“, oder es findet die „Unmittelbare Kontaktaufnahme, Schulung, Sensibilisierung des Mitarbeiters“ statt.
„Eine gute Fehlerkultur im Unternehmen ist essenziell, damit Mitarbeiter Sicherheitsvorfälle sofort melden, denn bei einem IT-Sicherheitsvorfall kommt es auf eine schnelle Reaktion an“, erklärt Kai Schuricht, Lead Incident Response Specialist bei Kaspersky. „Wenn Mitarbeiter mit Konsequenzen rechnen müssen, ist die Wahrscheinlichkeit hoch, dass sie Vorfälle unterschätzen oder verschweigen. Allerdings ist es wichtig, dass Verantwortliche zeitnah über Fehlverhalten oder Fehler informiert werden, um den Schaden so gering wie möglich zu halten, indem effizient auf die Attacke reagiert wird.“
Die vollständige Kaspersky-Studie „Incident Response zur Prävention – Warum Unternehmen in Deutschland schlecht auf Cyberangriffe vorbereitet sind und wie sie dank Incident-Response-Methoden cyberresilienter werden“ ist hier verfügbar.
www.kaspersky.de