Die unterschätzte Rolle der Mitarbeiter für eine tragfähige IT-Security-Strategie
techconsult nimmt mit dem Studienprojekt Security Bilanz Deutschland die IT- und Informationssicherheit im Mittelstand in den Blick. Dazu wurden über 500 Unternehmen mit 20 bis 1.999 Mitarbeitern nach ihrer Einschätzung der wahrgenommenen Bedrohung sowie der aktuellen Umsetzung von Sicherheitsmaßnahmen befragt.
IT- und Informationssicherheit lässt sich nicht zentral anordnen, sondern ist vielmehr ein Prozess, in den jeder Mitarbeiter eingebunden werden muss. Fast jeder Mitarbeiter trifft täglich Entscheidungen, die direkt oder indirekt Einfluss auf die IT- und Informationssicherheit des Unternehmens haben. Nahezu alle Mitarbeiter mit PC-Zugang nutzen auch das Internet und sind damit täglich der Gefahr von z.B. Schadsoftware ausgesetzt und in der täglichen Arbeitskorrespondenz via E-Mail verstecken sich bestens getarnte Phishing-Mails, die vom Spam-Filter nicht als solche erkannt wurden. Für viele Mitarbeiter ist es mittlerweile normal, abends von zuhause noch einmal die beruflichen Mails zu checken, Termine mit dem eigenen Smartphone-Kalender synchron zu halten oder noch einmal schnell eine Präsentation auf dem heimischen Tablet zu überarbeiten. Dadurch ergeben sich Angriffsfelder, bei denen die Zugriffsmöglichkeiten in Form von Absicherungsmaßnahmen durch die IT-Abteilung des Unternehmens begrenzt sind.
Somit übernehmen auch die Mitarbeiter selbst eine zentrale Rolle für die IT- und Informationssicherheit des Unternehmens. Umso wichtiger ist es, dass die Mitarbeiter sich Ihrer Verantwortung bewusst sind und Klarheit darüber herrscht, welche Daten des Unternehmens in welcher Form genutzt werden dürfen. Eine zentrale Aufgabe der Verantwortlichen für die IT- und Informationssicherheit ist es daher, geeignete Regularien für alle sicherheitsrelevanten Aufgabenfelder zu entwickeln und diese dann auch den Mitarbeitern zu vermitteln. Individual- und Betriebsvereinbarungen dienen dabei als Dokumentation, dass Mitarbeiter informiert wurden und bilden damit auch einen geeigneten Indikator, wie es um die Einbeziehung der Mitarbeiter in die IT-Security-Strategie im Unternehmen bestellt ist.
Auf Grundlage der Ergebnisse der Security Bilanz Deutschland 2014 muss dem deutschen Mittelstand aber ein deutliches Defizit bei der Einbeziehung der Mitarbeiter attestiert werden. Nur etwa 40 Prozent der Unternehmen bringen den Mitarbeitern relevante IT-Security-Themen in Schulungen und Awarenesskampagnen näher. Ebenso ist der Anteil der Unternehmen, die Security-relevante Arbeitsbereiche mittels Betriebsvereinbarungen geregelt haben, bedrohlich gering. Besonders sensible Aspekte wie die Nutzung privater Endgeräte und auch die Nutzung sozialer Netzwerke werden in 6 von 10 Unternehmen nicht geregelt. Hier besteht dringender Nachholbedarf, vor allem vor dem Hintergrund der Bedeutung, die die Mitarbeiter für die IT-Security-Strategie im Alltag innehaben.
Wie es insgesamt um die IT- und Informationssicherheit im deutschen Mittelstand bestellt ist, lesen Sie in der aktuellen Studie zur Security Bilanz Deutschland, die als Download verfügbar ist (siehe Link).
Security-Check zur Studie: Der Security Consulter
Zusätzlich zur Studie bietet der individuelle Security-Check Security Consulter jedem mittel-ständischen Unternehmen die Möglichkeit, eigene Stärken und Schwächen im Vergleich zu ähnlichen Unternehmen zu identifizieren. Der Security-Check basiert auf der Studie und ermöglicht so, sich mit den Studienergebnissen zu vergleichen. Der Security Consulter steht ebenfalls auf dem Studienportal zur Verfügung.
Die Studie Security Bilanz Deutschland und der Security Consulter werden unterstützt von Fortinet, baramundi, gateprotect, Microsoft Deutschland, Sophos, Telekom Deutschland, Networkbox, TeleTrust, Symantec und Kaspersky.