KnowBe4, Anbieter einer Plattform für Security Awareness Training und Phishing-Simulationen, untersuchte die Verbreitung von Security Culture in Deutschland.
Die Umfrage, an der 202 Anwender aus Deutschland teilgenommen haben, zeigt, dass Security Culture für die meisten noch unbekanntes Terrain ist. Ebenso wurde untersucht, was die Verbraucher sich unter Security Culture vorstellen.
Security Culture bezeichnet, wie der Name schon sagt, die Sicherheitskultur in Unternehmen und Institutionen. Dazu gehört das Bewusstsein über unterschiedliche Cyber-Angriffsformen, Sicherheitslücken und mögliche Einfallstore in die IT-Systeme.
Social Distancing ließ viele Arbeitnehmer vom Homeoffice aus arbeiten Damit geht einher, dass vermehrt private Endgeräte in die berufliche Kommunikation eingebunden sind – so vergrößern sich Perimeter und die Angriffsfläche der Unternehmens-IT. Laut dem Hiscox Cyber Readiness Report 2021 erfolgen 51 Prozent der erfolgreichen Attacken über Mitarbeiter (davon 23 Prozent über das Mobiltelefon des Mitarbeiters und sogar 28 Prozent über den Computer oder Laptop des Angestellten) – beispielsweise über Phishing.
Arbeitnehmer verfügen sehr häufig nicht über das technische Know-how über unternehmensweite Schutzmaßnahmen, deshalb entstehen Lücken in den Sicherheitsmaßnahmen des Unternehmens. Dieser Fakt ist den Angreifern wohl bekannt: Angriffsversuche über Phishing-Mails und Berichte über das Ausnutzen von Schwachstellen in Software über Supply-Chain-Angriffe mehren sich. Im Fall der Fälle haben die Angreifer über ein kompromittiertes Privatgerät Zugriff auf das Unternehmensnetzwerk.
Die Ergebnisse der Umfrage von KnowBe4 machen deutlich, dass Security Culture noch weitestgehend unbekannt ist. 53 Prozent haben noch nie von dem Begriff gehört. Knapp 27 Prozent gaben an, bereits von Security Culture gehört zu haben, jedoch nichts damit anfangen können. Die restlichen 20 Prozent haben über Security Culture bereits öfters gehört.
Ebenfalls untersucht wurde, wo die Befragten das erste Mal davon hörten. 55 Prozent gaben die Umfrage als ersten Berührungspunkt an. Ungefähr 37 Prozent hörten das erste Mal durch die Medien den Begriff „Security Culture“. Fast acht Prozent gaben an, sie hatten die erste Erfahrung mit Security Culture im eigenen Unternehmen. Die dritte Frage sollte klären, was sich die Befragten unter Security Culture vorstellen. Ungefähr 22 Prozent hielten Security Culture für ein neues Sicherheitssystem für Safes. Circa sechs Prozent hielten Security Culture für eine neue Netflix-Serie. Immerhin lagen 72 Prozent der Befragten richtig mit der Annahme, dass es sich dabei um die Basis der Verteidigung gegen Cyberbedrohungen in Unternehmen handelt.
Darüber hinaus wurde abgefragt, welche Maßnahmen die Verbraucher als Erstes treffen würden, um eine Sicherheitskultur im Unternehmen zu schaffen und es so vor Cyberangriffen zu schützen. Fast 12 Prozent gaben an, neue Hardware zu besorgen. 29 Prozent fanden, dass Schulungen für Mitarbeiter zum Thema „Security Awareness“ als wichtigster Baustein umgesetzt werden sollten. Knapp 18 Prozent würden eine Firewall installieren und damit auf eher traditionelle Sicherheitssysteme setzen. 41 Prozent gaben an, sie glaubten damit sei der Einsatz eines neuen Sicherheitssystems gemeint.
Die letzte Frage behandelte das Thema Zuständigkeit. Die Befragten mussten angeben, wen sie zuständig für die Aufrechterhaltung einer Sicherheitskultur hielten. 17 Prozent gaben die Geschäftsführung an. Fast exakt 48 Prozent gaben dem IT-Team die Zuständigkeit. Und fast 35 Prozent gaben richtigerweise „Jeder Mitarbeiter in der Organisation an“.
„Security Culture sollte als kultureller Wert in Unternehmen anerkannt und gelebt werden. Firmen müssen sich klar positionieren und beim Thema Sicherheit Prioritäten setzen und diese organisieren. Ziel von Security Culture sollte sein, pro-aktives und gemeinschaftliches Verhalten zu fördern. Es ist in diesem Zusammenhang auch wichtig, welche Fehlerkultur das Unternehmen lebt und wie Insider Threats, also Bedrohungen durch frustrierte Mitarbeiter, verhindert werden können. Unternehmenseigene Multiplikatoren müssen immer gut erreichbar und vertrauenswürdig sein. Alle diese Faktoren sollten gefördert werden – gerade auch dann, wenn immer mehr Mitarbeiter das Homeoffice beibehalten wollen,“ sagt Javvad Malik, Lead Security Awareness Advocate bei KnowBe4.
Zusammenfassend lässt sich festhalten, dass Security Culture noch ein relativ unbekannter Begriff in der Wirtschaft ist. Trotzdem gehört Security Culture zu den grundlegenden Säulen von Cyber-Sicherheit in Firmen und Institutionen. Für Unternehmen ist es deshalb wichtig, die „Last line of defense“, den Mitarbeiter, zu schulen und für jeden im Unternehmen ein allgemeines Sicherheitsbewusstsein zu schaffen.
www.knowbe4.de