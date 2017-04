12.4.2017 – Dass Cyber-Schutz in den Chefetagen angekommen sei, kann die VdS Schadenverhütung GmbH nicht bestätigen. Die Auswertung von 2.000 Daten aus ihrem „Quick Check“ zeigt, dass es an eindeutigen und schriftlichen Regelungen für die IT-Sicherheit in den Unternehmen mangelt. Hacker und Angriffe von außen sind dabei nicht das einzige Problem. Auch Mitarbeiter können zum Sicherheitsrisiko für das Netzwerk werden.

Gut zwei Jahre nach der Einführung des kostenlosen Quick Check zur Ermittlung von unternehmerischen Cyber-Risiken (VersicherungsJournal 9.1.2017, 4.11.2016, 29.6.2016) zieht die VdS Schadenverhütung GmbH zum zweiten Mal Bilanz.

Im Zeitraum von Mitte März 2016 bis Februar 2017 wurden insgesamt 2.000 auswertbare Ergebnisse aus dem 39 Fragen umfassenden Online-Check zusammengefasst.

Die Daten stammen von klein- und mittelständischen Unternehmen (KMU) aus Deutschland, Österreich und der Schweiz, die die Selbstüberprüfung vorgenommen haben.

Betriebe nach wie vor unzureichend geschützt

Die Auswertung zeigt, dass sich im Vergleich zur Vorjahreserhebung nur wenig verändert, geschweige denn verbessert hat. In einigen Themenbereichen sind die Sicherheitswerte der teilnehmenden Unternehmen sogar schlechter.

Stefan Haase, Pressesprecher der VdS, weiß, dass Cyber-Sicherheit oft schon an den einfachsten Dingen und Abläufen im Unternehmen scheitert: „Es beginnt damit, dass klare und verbindliche Richtlinien zur IT-Sicherheit oft nur unzureichend dokumentiert sind.“ Das führe dazu, dass diese Richtlinien schnell in Vergessenheit geraten und nicht nachhaltig umgesetzt werden.

Cyber-Sicherheit ist noch kein Chefthema

Dass das Thema Cyber-Sicherheit in den Managementetagen angekommen ist, wie es erst kürzlich eine repräsentative Umfrage der Forsa Gesellschaft für Sozialforschung und statistische Analysen mbH im Auftrag des Gesamtverbands der Deutschen Versicherungswirtschaft e.V. (GDV) behauptet hat (VersicherungsJournal 31.3.2017), kann die VdS nicht bestätigen.

Cyber-Sicherheit ist keine IT- sondern vor allem eine Managementaufgabe. Stefan Haase, VdS-Pressesprecher

Nicht einmal bei der Hälfte der Unternehmen (49 Prozent, 2016: 46 Prozent), die den Quick-Check durchgeführt haben, habe sich das Management schriftlich dazu verpflichtet, die Gesamtverantwortung für die Informationssicherheit wahrzunehmen.

„Cyber-Sicherheit ist nicht nur IT-, sondern vor allem eine Managementaufgabe“, führt Haase an. Er habe es zum Beispiel erlebt, dass ein Unternehmenschef seine EDV-Abteilung angewiesen hat, für mehr Sicherheit zu sorgen. Diese Schutzvorgabe habe der Chef aber selbst wieder zurückgenommen, nachdem er gemerkt hatte, dass die neue Regelung ihn in seinen persönlichen Gewohnheiten eingeschränkt hat.

„Wenn sich beispielsweise Führungskräfte darüber beschweren, dass sie von IT-Sicherheitsmaßnahmen eingeschränkt werden und die Rücknahme von eingeleiteten Maßnahmen fordern, haben es die IT-Verantwortlichen schwer“, so Haase. „Denn IT-Sicherheit muss im ganzen Unternehmen einheitlich gelebt werden.“

Sicherheitsrisiko: Mitarbeiter

Rund zwei Drittel (67 Prozent) der ausgewerteten Quick-Checker haben spezielle IT-Richtlinien für ihre Mitarbeiter definiert, die ihnen vorschreiben, wie mit der Technik und den Daten des Unternehmens umzugehen ist. Auch die private Nutzung der Unternehmenstechnik sei regelt (64 Prozent). Aber nur 53 Prozent gaben an, dass ihre Mitarbeiter diese Regelungen auch kennen würden.

Allerdings: Bisher werden nur knapp 40 Prozent der Angestellten und Dienstleister der Unternehmen regelmäßig über Maßnahmen zur IT-Sicherheit informiert.

„Nicht nur Hacker greifen Unternehmensnetzwerke an. Auch die eigenen Mitarbeiter sind ein wesentlicher Risikofaktor“, verdeutlicht der VdS-Pressesprecher. Dabei werde die Sicherheit nicht unbedingt mutwillig gefährdet – etwa durch gezielten Datenklau. „Viele Mitarbeiter öffnen beispielsweise unbedacht Anhänge von E-Mails und können dadurch einen Virus einschleusen.“

Dass von den Mitarbeitern ein nicht unerhebliches Cyber-Risiko ausgeht, bestätigte auch die internationale Studie „Cyber Readiness 2017“ (PDF, 2,9 MB) von Hiscox Insurance Company Ltd. Ihr zufolge gehen 20 Prozent der IT-Vorfälle auf das Konto von fahrlässigen oder – so heißt es in der Studie – betrügerischen Mitarbeitern (VersicherungsJournal 9.2.2017).

Die Unternehmen müssen ihre Angestellten sensibilisieren, ihnen erklären, was es für Gefahren gibt und sie regelmäßig dazu schulen. Stefan Haase, VdS-Pressesprecher

Sensibilisierung der Mitarbeiter

Bisher müssen 60 Prozent der Mitarbeiter der Quick-Check-Unternehmen eine schriftliche Vertraulichkeits-Erklärung abgeben, heißt es im VdS-Bericht. Gerade in Bezug auf den immer stärker werdenden Trend „Bring your own device“, der Mitarbeitern den Zugriff auf das Firmennetzwerk mit privaten Geräten erlaubt, sieht Haase Handlungsbedarf.

Um die Mitarbeiter auf die Risiken aufmerksam zu machen, seien klare Regeln unabkömmlich. Damit sie sie verinnerlichen, brauche es jedoch noch etwas mehr. „Die Unternehmen müssen ihre Angestellten sensibilisieren, ihnen erklären, was es für Gefahren gibt, und sie regelmäßig dazu schulen“, schlägt Stefan Haase vor.

Datensicherung wird beherrscht

In der VdS-Auswertung sticht ein Aspekt positiv heraus: 94 Prozent der Check-Teilnehmer sichern ihre wichtigsten Unternehmensdaten mit einem Backup. 83 Prozent gaben zudem an, diese Sicherheitskopie örtlich getrennt von anderen Systemen aufzubewahren, so dass bei beispielsweise einem Brand die Kopien nicht betroffen sind.

„Kommt es allerdings zu einem Cyber-Vorfall, ist ein Großteil der Unternehmen nicht darauf vorbereitet“, erzählt Haase weiter. Knapp 60 Prozent der Beteiligten wüssten im Ernstfall nicht, was zu tun wäre, wer zu informieren oder wer überhaupt zuständig ist.

IT-Sicherheit sei jedoch nicht nur für die eigene Netzwerk- und Datensicherheit wichtig, weiß der VdS-Sprecher. „Große Auftraggeber schreiben ihren mittelständischen Zulieferern häufig ein bestimmtes Maß an Cyber-Schutzmaßnahmen vor. Dann heißt es: Entweder sie werden erfüllt oder der Auftrag ist gefährdet.

Um einen Mindeststandard an Cyber-Security zu gewährleisten, können Unternehmen sich zertifizieren lassen. Neben der weltweit anerkannten Anforderungsstufe ISO 27001 bietet VdS eine eigene Richtlinie – die VdS 3473 (PDF-Datei, 238 KB).