Cyber-Sicherheit: Es hapert schon bei der Organisation

 - 

(verpd) Dass Cyber-Schutz in den Chefetagen angekommen sei, kann eine Einrichtung der deutschen Versicherungswirtschaft nicht bestätigen. Die Auswertung von 2.000 Daten aus dem für Unternehmen kostenlosen Test Quick Check, der die Cyber-Risikosituation der jeweiligen Firma aufzeigt, kommt zum Ergebnis, dass es an eindeutigen und schriftlichen Regelungen für die IT-Sicherheit in den Unternehmen mangelt. Hacker und Angriffe von außen sind dabei nicht das einzige Problem. Auch Mitarbeiter können zum Sicherheitsrisiko für das Netzwerk werden.

Gut zwei Jahre nach der Einführung des für Unternehmen kostenlosen Tests Quick Check zur Ermittlung von unternehmerischen Cyber-Risiken zieht die VdS Schadenverhütung GmbH, eine Tochtergesellschaft des Gesamtverbands der Deutschen Versicherungswirtschaft e.V. (GDV) Bilanz. Im Zeitraum von Mitte März 2016 bis Februar 2017 wurden insgesamt 2.000 auswertbare Ergebnisse aus dem 39 Fragen umfassenden Online-Check zusammengefasst.

Die Daten stammen von klein- und mittelständischen Unternehmen (KMU) aus Deutschland, Österreich und der Schweiz, die die Selbstüberprüfung vorgenommen haben. Die zweite Auswertung seit Einführung des Tests zeigt, dass sich im Vergleich zur Vorjahreserhebung nur wenig verändert, geschweige denn verbessert hat. In einigen Themenbereichen sind die Sicherheitswerte der teilnehmenden Unternehmen sogar schlechter.

Aktuelle Tipps zum flexiblen Renteneintritt geben Experten in unserem Ratgeber Die Flexi-Rente: Neue Chancen für Rentenversicherte und Rentner.

Betriebe nach wie vor unzureichend geschützt

Stefan Haase, Sprecher der VdS, weiß, dass Cyber-Sicherheit oft schon an den einfachsten Dingen und Abläufen im Unternehmen scheitert: Es beginnt damit, dass klare und verbindliche Richtlinien zur IT-Sicherheit oft nur unzureichend dokumentiert sind. Das führt dazu, dass diese Richtlinien schnell in Vergessenheit geraten und nicht nachhaltig umgesetzt werden.

Nicht einmal bei der Hälfte der Unternehmen (49 Prozent, 2016: 46 Prozent), die den Quick-Check durchgeführt haben, habe sich das Management schriftlich dazu verpflichtet, die Gesamtverantwortung für die Informationssicherheit wahrzunehmen. „Cyber-Sicherheit ist nicht nur IT-, sondern vor allem eine Managementaufgabe“, führt Haase an. Er habe es zum Beispiel erlebt, dass ein Unternehmenschef seine EDV-Abteilung angewiesen hat, für mehr Sicherheit zu sorgen.

Diese Schutzvorgabe habe der Chef aber selbst wieder zurückgenommen, nachdem er gemerkt hatte, dass die neue Regelung ihn in seinen persönlichen Gewohnheiten eingeschränkt hat. Wenn sich beispielsweise Führungskräfte darüber beschweren, dass sie von IT-Sicherheitsmaßnahmen eingeschränkt werden und die Rücknahme von eingeleiteten Maßnahmen fordern, haben es die IT-Verantwortlichen schwer, denn IT-Sicherheit muss im ganzen Unternehmen einheitlich gelebt werden.

Die wichtigsten Fragen zum Thema "Pflege" beantworten Experten in unserem Ratgeber Der Pflegefall droht: Entscheidungen treffen, Vermögen schützen und Ansprüche durchsetzen.

Sicherheitsrisiko: Mitarbeiter

Rund zwei Drittel (67 Prozent) der ausgewerteten Quick-Check-Tests haben spezielle IT-Richtlinien für ihre Mitarbeiter definiert, die ihnen vorschreiben, wie mit der Technik und den Daten des Unternehmens umzugehen ist.

Auch die private Nutzung der Unternehmenstechnik sei geregelt (64 Prozent). Aber nur 53 Prozent gaben an, dass ihre Mitarbeiter diese Regelungen auch kennen würden. Allerdings: Bisher werden nur knapp 40 Prozent der Angestellten und Dienstleister der Unternehmen regelmäßig über Maßnahmen zur IT-Sicherheit informiert.

Nicht nur Hacker greifen Unternehmensnetzwerke an. Auch die eigenen Mitarbeiter sind ein wesentlicher Risikofaktor. Dabei wird die Sicherheit nicht unbedingt mutwillig gefährdet – etwa durch gezielten Datenklau. Viele Mitarbeiter öffnen beispielsweise unbedacht Anhänge von E-Mails und können dadurch einen Virus einschleusen. Eine andere Studie kommt zu dem Schluss, dass 20 Prozent der IT-Vorfälle auf das Konto von fahrlässigen oder – so heißt es in der Studie – betrügerischen Mitarbeitern geht.

Wie Sie trotz Niedrigzinsen und Inflation Ihr Geld vermehren können, erläutern Experten in unserem Ratgeber Niedrigzinsen und Inflation: So retten Sie Ihre Ersparnisse.

Sensibilisierung der Mitarbeiter

Bisher müssen 60 Prozent der Mitarbeiter der Quick-Check-Unternehmen eine schriftliche Vertraulichkeits-Erklärung abgeben, heißt es im VdS-Bericht. Gerade in Bezug auf den immer stärker werdenden Trend Bring your own device, der Mitarbeitern den Zugriff auf das Firmennetzwerk mit privaten Geräten erlaubt, sieht Haase Handlungsbedarf.

Um die Mitarbeiter auf die Risiken aufmerksam zu machen, seien klare Regeln unabkömmlich. Damit sie sie verinnerlichen, brauche es jedoch noch etwas mehr.

Die Unternehmen müssen ihre Angestellten sensibilisieren, ihnen erklären, welche Gefahren es gibt, und sie regelmäßig dazu schulen.

Wertvolle Expertentipps zur staatlich geförderten Altersvorsorge erhalten Sie in unserem Ratgeber So schließen Sie Ihre Rentenlücke.

Datensicherung wird beherrscht

In der VdS-Auswertung sticht ein Aspekt positiv heraus: 94 Prozent der Check-Teilnehmer sichern ihre wichtigsten Unternehmensdaten mit einem Backup. 83 Prozent gaben zudem an, diese Sicherheitskopie örtlich getrennt von anderen Systemen aufzubewahren, sodass bei beispielsweise einem Brand die Kopien nicht betroffen sind. Kommt es allerdings zu einem Cyber-Vorfall, ist ein Großteil der Unternehmen nicht darauf vorbereite.

Knapp 60 Prozent der Beteiligten wüssten im Ernstfall nicht, was zu tun wäre, wer zu informieren oder wer überhaupt zuständig ist. IT-Sicherheit sei jedoch nicht nur für die eigene Netzwerk- und Datensicherheit wichtig, weiß der VdS-Sprecher: Große Auftraggeber schreiben ihren mittelständischen Zulieferern häufig ein bestimmtes Maß an Cyber-Schutzmaßnahmen vor. Dann heißt es: Entweder sie werden erfüllt oder der Auftrag ist gefährdet.

Um einen Mindeststandard an Cyber-Security zu gewährleisten, können Unternehmen sich zertifizieren lassen. Neben der weltweit anerkannten Anforderungsstufe ISO 27001 bietet VdS eine eigene Richtlinie – die VdS 3473.

Mehr zum Thema Cyber-Schutz

Hilfreiche Informationen zum Thema Cyber-Sicherheit in der eigenen Firma gibt es im Webportal des Bundesamts für Sicherheit in der Informationstechnik (BSI). Unter anderem können hier Warnungen über aktuelle Bedrohungen, aber auch Empfehlungen und Broschüren über Strategien, Tipps und Hinweise für eine sichere IT-Nutzung abgerufen werden.

Auch die Versicherungswirtschaft kennt die Cyber-Risiken, die ein Unternehmen bedrohen können, und bietet mit entsprechenden Cyber-Versicherungen einen konkreten Versicherungsschutz gegen solche Gefahren an. Damit können Unternehmen diverse Kosten, die ihnen beispielsweise infolge eines Hacker- und Spionageangriffs entstehen, absichern.

Darunter fallen zum Beispiel Ausgaben für die Wiederherstellung beschädigter oder zerstörter Daten oder Aufwendungen, um eine Betriebsunterbrechung aufgrund eines geglückten Hackerangriffs zu verhindern. Versicherbar sind aber auch mögliche Kosten für ein notwendiges Krisenmanagement, nachdem Cyberkriminelle beispielsweise geklaute Daten unerlaubt veröffentlicht haben.

Weitere News zum Thema

  • Welche Risiken beim Einsatz eines Mähroboters bestehen

    [] (verpd) Um sich das Rasenmähen zu erleichtern, setzen einige Gartenbesitzer bereits auf einen Robomäher. Meist unbeaufsichtigt mäht er das Gras. Doch das birgt auch Risiken: Verlässt er beispielsweise das Grundstück, kann er Schäden anrichten. Für Diebe wiederum ist so ein meist hochpreisiger Serviceroboter eine begehrte Beute. Es gibt jedoch Versicherungspolicen, die solche Gefahren finanziell absichern können. mehr

  • Sichere Lebensumgebung für Stubentiger

    [] (verpd) Nach Angaben des Zentralverbands Zoologischer Fachbetriebe Deutschlands e.V. gab es 2016 fast 32 Millionen Hunde, Katzen, Ziervögel und andere Kleintiere in Deutschland – Zierfische und Tiere in Terrarien sind hier noch gar nicht eingerechnet. Katzen sind hierbei mit 13,4 Millionen das Heimtier Nummer eins. Es gibt jedoch nicht nur im Straßenverkehr, sondern auch in der Wohnung oftmals zahlreiche Unfallrisiken, die den Samtpfoten zum Verhängnis werden können. mehr

  • Trotz Volljährigkeit bei den Eltern versichert sein

    [] (verpd) Mit Erreichen der Volljährigkeit hat man nicht nur mehr Rechte, sondern trägt auch mehr Verantwortung. Wer beispielsweise fahrlässig bei einem anderen einen Schaden verursacht, muss selbst dafür geradestehen. Die Eltern haften dann nicht mehr für einen. Doch auch für sich selbst ist man verantwortlich, zum Beispiel für eine ausreichende finanzielle Vorsorge für den Krankheitsfall und für das Alter. In bestimmten Fällen kann ein notwendiger Existenzschutz für Volljährige sogar noch über bestehende Versicherungspolicen der Eltern abgedeckt sein. mehr

  • Schutzschirm für den Start in die Selbstständigkeit

    [] (verpd) Wer sich selbstständig machen möchte, sollte alle Faktoren berücksichtigen, die für den Erfolg oder Misserfolg seines Unternehmens entscheidend sein können. Grundsätzlich muss jeder Selbstständige zwar ein gewisses Maß an unternehmerischem Risiko selbst tragen. Aber es gibt auch existenzbedrohende Risiken, die sich durch einen passenden Versicherungsschutz absichern lassen und dadurch kalkulierbar werden. mehr

  • Rechts vor links auf Fahrradwegen

    [] (verpd) Ist die Vorfahrt nicht durch Verkehrszeichen geregelt, so ist auch im Bereich zwei sich kreuzender Radwege die Regel rechts vor links anzuwenden. Das gilt selbst dann, wenn an einem der Wege im Kreuzungsbereich Pfosten aufgestellt sind, welche Fahrradfahrer zu einer Verringerung ihrer Geschwindigkeit veranlassen sollen, so das Landgericht Wuppertal in einem kürzlich bekannt gewordenen Urteil (Az. 9 S 218/15). mehr

Weitere News zum Thema

schließen

Link empfehlen

Mit der Inanspruchnahme des Services willigen Sie in folgende Vorgehensweise ein:

Ihre eigene E-Mail-Adresse und die des Empfängers werden nur zu Übertragungszwecken verwendet - um den Adressaten über den Absender zu informieren, bzw. bei einem Übertragungsfehler eine Benachrichtigung zu übermitteln. Um einen Missbrauch dieses Services zu vermeiden, wird Geldtipps.de die Identifikationsdaten (IP-Adresse) jedes Nutzers der versandten E-Mail in Form eines E-Mail-Header-Record (X-Sent-by-IP) beifügen und für einen Zeitraum von zwei Monaten speichern. Sofern Dritte glaubhaft machen, dass sie durch die Versendung eines Artikels im Rahmen dieses Services in ihren Rechten verletzt wurden, wird Geldtipps.de die Identifikationsdaten zur Rechtsverfolgung herausgeben.