Cyber-Sicherheit: Es hapert schon bei der Organisation

 - 

(verpd) Dass Cyber-Schutz in den Chefetagen angekommen sei, kann eine Einrichtung der deutschen Versicherungswirtschaft nicht bestätigen. Die Auswertung von 2.000 Daten aus dem für Unternehmen kostenlosen Test Quick Check, der die Cyber-Risikosituation der jeweiligen Firma aufzeigt, kommt zum Ergebnis, dass es an eindeutigen und schriftlichen Regelungen für die IT-Sicherheit in den Unternehmen mangelt. Hacker und Angriffe von außen sind dabei nicht das einzige Problem. Auch Mitarbeiter können zum Sicherheitsrisiko für das Netzwerk werden.

Gut zwei Jahre nach der Einführung des für Unternehmen kostenlosen Tests Quick Check zur Ermittlung von unternehmerischen Cyber-Risiken zieht die VdS Schadenverhütung GmbH, eine Tochtergesellschaft des Gesamtverbands der Deutschen Versicherungswirtschaft e.V. (GDV) Bilanz. Im Zeitraum von Mitte März 2016 bis Februar 2017 wurden insgesamt 2.000 auswertbare Ergebnisse aus dem 39 Fragen umfassenden Online-Check zusammengefasst.

Die Daten stammen von klein- und mittelständischen Unternehmen (KMU) aus Deutschland, Österreich und der Schweiz, die die Selbstüberprüfung vorgenommen haben. Die zweite Auswertung seit Einführung des Tests zeigt, dass sich im Vergleich zur Vorjahreserhebung nur wenig verändert, geschweige denn verbessert hat. In einigen Themenbereichen sind die Sicherheitswerte der teilnehmenden Unternehmen sogar schlechter.

Aktuelle Tipps zum flexiblen Renteneintritt geben Experten in unserem Ratgeber Die Flexi-Rente: Neue Chancen für Rentenversicherte und Rentner.

Betriebe nach wie vor unzureichend geschützt

Stefan Haase, Sprecher der VdS, weiß, dass Cyber-Sicherheit oft schon an den einfachsten Dingen und Abläufen im Unternehmen scheitert: Es beginnt damit, dass klare und verbindliche Richtlinien zur IT-Sicherheit oft nur unzureichend dokumentiert sind. Das führt dazu, dass diese Richtlinien schnell in Vergessenheit geraten und nicht nachhaltig umgesetzt werden.

Nicht einmal bei der Hälfte der Unternehmen (49 Prozent, 2016: 46 Prozent), die den Quick-Check durchgeführt haben, habe sich das Management schriftlich dazu verpflichtet, die Gesamtverantwortung für die Informationssicherheit wahrzunehmen. „Cyber-Sicherheit ist nicht nur IT-, sondern vor allem eine Managementaufgabe“, führt Haase an. Er habe es zum Beispiel erlebt, dass ein Unternehmenschef seine EDV-Abteilung angewiesen hat, für mehr Sicherheit zu sorgen.

Diese Schutzvorgabe habe der Chef aber selbst wieder zurückgenommen, nachdem er gemerkt hatte, dass die neue Regelung ihn in seinen persönlichen Gewohnheiten eingeschränkt hat. Wenn sich beispielsweise Führungskräfte darüber beschweren, dass sie von IT-Sicherheitsmaßnahmen eingeschränkt werden und die Rücknahme von eingeleiteten Maßnahmen fordern, haben es die IT-Verantwortlichen schwer, denn IT-Sicherheit muss im ganzen Unternehmen einheitlich gelebt werden.

Die wichtigsten Fragen zum Thema "Pflege" beantworten Experten in unserem Ratgeber Der Pflegefall droht: Entscheidungen treffen, Vermögen schützen und Ansprüche durchsetzen.

Sicherheitsrisiko: Mitarbeiter

Rund zwei Drittel (67 Prozent) der ausgewerteten Quick-Check-Tests haben spezielle IT-Richtlinien für ihre Mitarbeiter definiert, die ihnen vorschreiben, wie mit der Technik und den Daten des Unternehmens umzugehen ist.

Auch die private Nutzung der Unternehmenstechnik sei geregelt (64 Prozent). Aber nur 53 Prozent gaben an, dass ihre Mitarbeiter diese Regelungen auch kennen würden. Allerdings: Bisher werden nur knapp 40 Prozent der Angestellten und Dienstleister der Unternehmen regelmäßig über Maßnahmen zur IT-Sicherheit informiert.

Nicht nur Hacker greifen Unternehmensnetzwerke an. Auch die eigenen Mitarbeiter sind ein wesentlicher Risikofaktor. Dabei wird die Sicherheit nicht unbedingt mutwillig gefährdet – etwa durch gezielten Datenklau. Viele Mitarbeiter öffnen beispielsweise unbedacht Anhänge von E-Mails und können dadurch einen Virus einschleusen. Eine andere Studie kommt zu dem Schluss, dass 20 Prozent der IT-Vorfälle auf das Konto von fahrlässigen oder – so heißt es in der Studie – betrügerischen Mitarbeitern geht.

Wie Sie trotz Niedrigzinsen und Inflation Ihr Geld vermehren können, erläutern Experten in unserem Ratgeber Niedrigzinsen und Inflation: So retten Sie Ihre Ersparnisse.

Sensibilisierung der Mitarbeiter

Bisher müssen 60 Prozent der Mitarbeiter der Quick-Check-Unternehmen eine schriftliche Vertraulichkeits-Erklärung abgeben, heißt es im VdS-Bericht. Gerade in Bezug auf den immer stärker werdenden Trend Bring your own device, der Mitarbeitern den Zugriff auf das Firmennetzwerk mit privaten Geräten erlaubt, sieht Haase Handlungsbedarf.

Um die Mitarbeiter auf die Risiken aufmerksam zu machen, seien klare Regeln unabkömmlich. Damit sie sie verinnerlichen, brauche es jedoch noch etwas mehr.

Die Unternehmen müssen ihre Angestellten sensibilisieren, ihnen erklären, welche Gefahren es gibt, und sie regelmäßig dazu schulen.

Wertvolle Expertentipps zur staatlich geförderten Altersvorsorge erhalten Sie in unserem Ratgeber So schließen Sie Ihre Rentenlücke.

Datensicherung wird beherrscht

In der VdS-Auswertung sticht ein Aspekt positiv heraus: 94 Prozent der Check-Teilnehmer sichern ihre wichtigsten Unternehmensdaten mit einem Backup. 83 Prozent gaben zudem an, diese Sicherheitskopie örtlich getrennt von anderen Systemen aufzubewahren, sodass bei beispielsweise einem Brand die Kopien nicht betroffen sind. Kommt es allerdings zu einem Cyber-Vorfall, ist ein Großteil der Unternehmen nicht darauf vorbereite.

Knapp 60 Prozent der Beteiligten wüssten im Ernstfall nicht, was zu tun wäre, wer zu informieren oder wer überhaupt zuständig ist. IT-Sicherheit sei jedoch nicht nur für die eigene Netzwerk- und Datensicherheit wichtig, weiß der VdS-Sprecher: Große Auftraggeber schreiben ihren mittelständischen Zulieferern häufig ein bestimmtes Maß an Cyber-Schutzmaßnahmen vor. Dann heißt es: Entweder sie werden erfüllt oder der Auftrag ist gefährdet.

Um einen Mindeststandard an Cyber-Security zu gewährleisten, können Unternehmen sich zertifizieren lassen. Neben der weltweit anerkannten Anforderungsstufe ISO 27001 bietet VdS eine eigene Richtlinie – die VdS 3473.

Mehr zum Thema Cyber-Schutz

Hilfreiche Informationen zum Thema Cyber-Sicherheit in der eigenen Firma gibt es im Webportal des Bundesamts für Sicherheit in der Informationstechnik (BSI). Unter anderem können hier Warnungen über aktuelle Bedrohungen, aber auch Empfehlungen und Broschüren über Strategien, Tipps und Hinweise für eine sichere IT-Nutzung abgerufen werden.

Auch die Versicherungswirtschaft kennt die Cyber-Risiken, die ein Unternehmen bedrohen können, und bietet mit entsprechenden Cyber-Versicherungen einen konkreten Versicherungsschutz gegen solche Gefahren an. Damit können Unternehmen diverse Kosten, die ihnen beispielsweise infolge eines Hacker- und Spionageangriffs entstehen, absichern.

Darunter fallen zum Beispiel Ausgaben für die Wiederherstellung beschädigter oder zerstörter Daten oder Aufwendungen, um eine Betriebsunterbrechung aufgrund eines geglückten Hackerangriffs zu verhindern. Versicherbar sind aber auch mögliche Kosten für ein notwendiges Krisenmanagement, nachdem Cyberkriminelle beispielsweise geklaute Daten unerlaubt veröffentlicht haben.

Weitere News zum Thema

  • Damit der Hund nicht zum existenzbedrohenden Risiko wird

    [] (verpd) Wie viele Hunde es hierzulande gibt, darüber gibt es nur Schätzungen. Nach Angaben des Verbands für das Deutsche Hundewesen (VDH) sind es rund fünf Millionen Hunde. Der Industrieverband Heimtierbedarf e.V. hingegen kommt in einer im Mai 2017 veröffentlichten repräsentativen Erhebung sogar auf 8,6 Millionen Hunde. Unabhängig davon, wie viele es denn nun sind, können selbst kleine Hunde teure und unter Umständen sogar für den Hundehalter existenzbedrohende Schäden anrichten. Dennoch gibt es immer noch Hundebesitzer, die keine Tierhalterhaftpflicht-Versicherung, die solche Schäden absichert, haben. mehr

  • Für eine schnelle Regulierung eines Versicherungsschadens

    [] (verpd) Ist ein Schaden versichert, hat der Versicherungskunde, auch Versicherungsnehmer genannt, ein Recht auf die vertraglich vereinbarte Leistung. Allerdings gibt es für den Versicherungsnehmer im Schadenfall auch Pflichten, die er erfüllen muss, damit die Schadenregulierung ohne Schwierigkeiten und Verzögerungen möglich ist. mehr

  • Wenn ein Bauzaun umstürzt

    [] (verpd) Wer einen Bauzaun aufstellt, ist in der Regel bis zu seiner Entfernung für dessen Standfestigkeit verantwortlich. Das hat das Amtsgericht München in einem Gerichtsurteil entschieden (Az. 251 C 15396/16). mehr

  • Kein Mieter kann ein Malheur ausschließen

    [] (verpd) Jedem Mieter kann ein Missgeschick passieren, sei es ein umgestoßenes Glas Rotwein, wodurch ein fest verklebter Teppichboden in der Mietwohnung ruiniert wird oder die versehentlich fallen gelassene Parfümflasche, die das Waschbecken beschädigt. Wer als Mieter jedoch eine Privat-Haftpflichtversicherung hat, ist damit unter anderem vor den Kosten derartiger Mietsachschäden geschützt, die er ohne eine solche Police selbst tragen müsste. Für einen umfassenden Versicherungsschutz ist es allerdings wichtig, dass die vereinbarte Versicherungssumme für derartige Schäden ausreichend hoch ist. mehr

  • Wichtige Kontrolle für einen zeitgemäßen Haftpflichtschutz

    [] (verpd) Wurde die private Haftpflichtversicherung schon lange nicht mehr auf einen zeitgemäßen und den aktuellen Lebensumständen passenden Versicherungsumfang hin überprüft, wiegt sich der Versicherte unter Umständen in einer trügerischen Sicherheit. Ein Check hilft, gefährliche Absicherungslücken zu erkennen. mehr

Weitere News zum Thema

schließen

Link empfehlen

Mit der Inanspruchnahme des Services willigen Sie in folgende Vorgehensweise ein:

Ihre eigene E-Mail-Adresse und die des Empfängers werden nur zu Übertragungszwecken verwendet - um den Adressaten über den Absender zu informieren, bzw. bei einem Übertragungsfehler eine Benachrichtigung zu übermitteln. Um einen Missbrauch dieses Services zu vermeiden, wird Geldtipps.de die Identifikationsdaten (IP-Adresse) jedes Nutzers der versandten E-Mail in Form eines E-Mail-Header-Record (X-Sent-by-IP) beifügen und für einen Zeitraum von zwei Monaten speichern. Sofern Dritte glaubhaft machen, dass sie durch die Versendung eines Artikels im Rahmen dieses Services in ihren Rechten verletzt wurden, wird Geldtipps.de die Identifikationsdaten zur Rechtsverfolgung herausgeben.