Wer über die Cybersecurity seines Unternehmens spricht, stellt meistens die technischen Details in den Vordergrund: Sind die Systeme auf dem neuesten Stand? Welche Schwachstelle im Programm muss gepatcht werden?
Ist letztendlich doch ein Cyberangriff erfolgreich, konzentrieren sich Unternehmen vor allem auf Sachschäden wie monetäre Verluste, Imageschäden und Betriebsstillstand. Zu selten werden in solchen Situationen auch die psychischen Auswirkungen auf die IT-Verantwortlichen beachtet – doch gerade die trifft es oft am schlimmsten. Denn sie stehen an vorderster Front, wenn es um die Cybersicherheit des Unternehmens geht.
Mehr Druck auf CISOs, mehr Personalausfälle
Mit der stetig wachsenden Zahl von Cyberangriffen auf Unternehmen steigt auch der Druck auf die IT-Sicherheitsverantwortlichen. Dass die Belastungsgrenze vieler CISOs erreicht ist, zeigt der aktuelle State of Ransomware Readiness Report von Mimecast: Fast die Hälfte der befragten Cybersecurity-Verantwortlichen deutscher Unternehmen gab an, dass ihr Job von Jahr zu Jahr stressiger werde. Über ein Viertel der Studienteilnehmenden erwägt außerdem, in den nächsten zwei Jahren aufgrund von Stress oder Burnout aus ihrem aktuellen Job auszuscheiden. Schon jetzt herrscht im IT-Sektor akuter Fachkräftemangel, der für die Unternehmen kaum noch zu kompensieren ist. Um ihre dringend benötigten Arbeitskräfte zu halten, müssen Unternehmen vermehrt auch die mentale Gesundheit ihrer Mitarbeitenden in diesem Bereich in den Fokus nehmen.
Ransomware-Angriffe: IT-Sicherheitsbeauftragte fühlen sich persönlich verantwortlich
Besonders die akute Bedrohungslage durch vermehrte Ransomware-Angriffe lässt die Sicherheitsbeauftragten der Unternehmen an ihre Grenzen stoßen. Die aktuelle Befragung zeichnet ein Bild von starkem persönlichen Verantwortungsgefühl im Falle einer erfolgreichen Attacke: Über die Hälfte der Befragten würde sich persönlich dafür verantwortlich fühlen, einen Angriff nicht verhindert zu haben. Ein Drittel fürchtet sogar, der eigene Job könne in so einem Fall auf dem Spiel stehen. Kaum verwunderlich ist es daher, dass viele CISOs die mentalen Auswirkungen eines Ransomware-Angriffs als nicht mehr tragbar empfinden. Dieses Empfinden spiegelt sich auch in den tatsächlichen personalen Ausfällen in den Unternehmen wider: 38 % der befragten IT-Teams verzeichnete eine erhöhte Anzahl von Fehlzeiten aufgrund von Burnout nach einem Angriff. 34 % der Fachkräfte gaben an, dass Ransomware-Angriffe negative Auswirkungen auf ihre psychische Gesundheit hätten.
Die Geschäftsführung stärker miteinbeziehen
In vielen Unternehmen wird nach wie vor auf eine nachträgliche Schadensbegrenzung im Falle einer Ransomware-Attacke gesetzt. Den Studienergebnissen zufolge gilt in über der Hälfte der befragten Organisationen die Sicherung und Wiederherstellung von Dateien immer noch als effektivste Methode zur Risiko- und Schadensminimierung – ein Trugschluss. Eine robuste Cyberresilienz, die Angriffen zuverlässig vorbeugt, sowie ein ausgearbeiteter Notfallplan, der über das bloße Anlegen von Backup-Dateien hinausgeht, können Unternehmen im Fall der Fälle Zeit, Geld und personale Ressourcen sparen. Individuell angepasste, mehrschichtige Sicherheitsstrategien schützen das Unternehmen effektiv gegen Cyberangriffe und entlasten Führungskräfte und Angestellte.
Das Bewusstsein für die psychischen Auswirkungen solcher Angriffe auf die Mitarbeitenden dringt jedoch oft nicht bis in die Führungsebene vor, wie fast 40 % der befragten CISOs bemängeln. Hier ist eine offene Kommunikationskultur dringend nötig, um den IT-Verantwortlichen zusätzlichen Druck zu nehmen und ihnen zu ermöglichen, sich gewissenhaft und geschützt auf ihre Arbeit zu konzentrieren. Das kann jedoch nur geschehen, wenn die Führungsebene um die psychischen Belastungen weiß, denen ihre IT-Fachkräfte tagtäglich ausgesetzt sind. Nur durch engen Austausch und Zusammenarbeit über alle Hierachiebenen hinweg können Strategien zur Entlastung der CISOs entstehen.
Fazit: Bewusstsein schaffen, Cyberresilienz hochfahren, Mitarbeitende entlasten
Wo also anfangen, um die IT-Teams zu unterstützen und zu entlasten, und dabei gleichzeitig den Schutz des Unternehmens gegen Cyberangriffe zu sichern? Die Quintessenz ist hier: Bedrohungslage analysieren, mögliche Probleme und personelle Engpässe kommunizieren, Lösungen implementieren. Ein besseres Bewusstsein für Cybersicherheit und die möglichen Folgen eines erfolgreichen Angriffs bei allen Mitarbeitenden sowie in der Geschäftsleitung, zusammen mit dem Einsatz einer mehrschichtigen Cyber-Abwehr-Lösung kann dazu beitragen, den Druck auf die stark belasteten CISOs zu verringern. Jedoch sind die technologischen Abwehrmaßnahmen nur die eine Seite der Medaille.
Es braucht hier einen holistischen Ansatz, der auch die Unternehmenskultur in Bezug auf psychischen Druck sowie die aktive Bekämpfung des Fachkräftemangels berücksichtigt. Cybersecurity ist Teamwork: Jedes Mitglied, das ohne zusätzliche Stressbelastung seinem Job nachgehen kann, unterstützt und entlastet gleichzeitig auch die Kolleginnen und Kollegen. Und jede verdächtige E-Mail, die entdeckt und gemeldet wird, jede Phishing-Warnung, die von einer sensibilisierten Belegschaft stammt, ist ein Vorfall weniger, mit dem sich die IT-Teams befassen müssen. Wer gut vorbereitet ist, ist gut gewappnet – gegen technisches Versagen und menschliche Ausfälle.