Fast die Hälfte der CEOs weiß nicht, was Malware, Phishing und Ransomware ist
- 14 Prozent führen Cybersicherheitsvorfälle auf IT-Führungskräfte zurück
- 43 Prozent sehen unzureichende Schulungen als Problem für ihre IT-Sicherheit
Eine Kaspersky-Studie [1] zeigt: Unternehmensleiter, Führungskräfte und IT-Entscheidungsträger weltweit scheinen nicht zu wissen, wie sie ihr Unternehmen und somit ihr digitales Vermögen wie Daten und Informationen vor Cyberangriffen schützen können. Fast die Hälfte versteht grundlegende Begriffe wie Malware, Phishing oder Ransomware nicht. Neben dieser offensichtlichen Wissenslücke verschärfen der aktuelle Fachkräftemangel in der IT-Sicherheitsbranche, Budgetbeschränkungen sowie ungeschulte Mitarbeiter das Cyberrisiko für Unternehmen und Organisationen.
Weiß die Führungsriege, was sie tut? Dieser Frage geht die Kaspersky-Studie „Enterprise cybersecurity and increasing threats in the era of AI: Do business leaders know what they are doing?“ nach – und stellt grundlegend die Kompetenz von Verantwortlichen im Bereich Cybersicherheit in Frage. Denn: 48 Prozent der CEOs sehen den Fachjargon als das größte Hindernis für das Verständnis und die Bewältigung von Cybersicherheitsfragen. Zudem geben 47 Prozent der CEOs an, dass Budgetbeschränkungen eine große Schwierigkeit darstellen. Darüber hinaus sehen 43 Prozent der Befragten unzureichende Schulungen als ein Problem für ihre IT-Sicherheit.
Schwaches Schutzlevel wegen Personalmangel und ungeschulter Mitarbeiter
Neben der eklatanten Wissenslücke bezüglich elementarer Begriffe von Cyberbedrohungen wirkt sich der Fachkräftemangel in der IT-Branche negative auf das Schutzlevel von Unternehmen aus, was der Führungsriege auch bewusst ist. Immerhin betrachten 75 Prozent der Unternehmen den Fachkräftemangel als ernsthaftes langfristiges Problem für ihre Organisation.
Neben Fachkräftemangel beeinträchtigen ungeschulte Mitarbeiter auf allen Ebenen die Cybersicherheit; so ergab eine Kaspersky-Befragung, dass mehr als zehn Prozent der Cybersicherheitsvorfälle auf Mitarbeiter zurückzuführen sind. Von diesen Vorfällen entfallen
- 16 Prozent auf normale Mitarbeiter,
- 15 Prozent auf IT-Mitarbeiter
- und 14 Prozent sogar auf IT-Führungskräfte.
Hierbei ist zu bedenken, dass Mitarbeiterfehler aus Versehen oder bewusst entstehen können. So machten vorsätzliche Verstöße von Mitarbeitern gegen Informationssicherheitsrichtlinien in den vergangenen zwei Jahren mehr als ein Viertel (26 Prozent) der von Mitarbeitern verursachten Vorfälle aus.
„Im heutigen digitalen Zeitalter, in dem Daten von zentraler Bedeutung sind, muss die Führungsebene die raue Wirklichkeit der Cybergefahren erkennen und adressieren“, fasst Waldemar Bergstreiser, General Manager Central Europe bei Kaspersky, zusammen. „Sie müssen in die Aus- und Weiterbildung von Mitarbeitern investieren, moderne Bedrohungsdienste nutzen, eine Kultur der Cyber-Resilienz fördern und die richtigen Schutztechnologien implementieren, damit sie ihre wertvollen Assets schützen können. Nur durch einen mehrschichtigen Ansatz kann ein umfassender Schutz gelingen – und das schließt alles Mitarbeiter ein; angefangen bei der Führungsriege.“
Kaspersky-Empfehlungen für mehr Cybersicherheit in Unternehmen
Um das Schutzniveau von Unternehmen zu verbessern, sind explizit Schulungen für Führungskräfte und IT-Sicherheitsteams notwendig. Wissenslücken bei Entscheidungsträgern und ein Fachkräftemangel unterstreichen jedoch zudem den Bedarf an automatisierten Cybersicherheits-Lösungen wie Kaspersky Next, die fortschrittlichen Funktionen zur Echtzeiterkennung und Reaktion auf Bedrohungen bieten und unterschiedlichen Geschäftsanforderungen gerecht werden.
- In Weiterbildung investieren: Schulungen und Cybersicherheitsinitiativen für alle Mitarbeiterebenen anbieten, Security-Awareness-Trainings implementieren, um spezifische Sicherheitsanforderungen zu adressieren und das Risiko für interne Cybersicherheitsvorfälle zu reduzieren.
- Auf dem neuesten Stand halten und informieren: In Vorbereitung auf aktuelle und zukünftige Regularien auf nationaler wie europäischer Ebene – zum Beispiel WP.29, NIS-2 sowie der Cyber Resilience Act, das Lieferketten- und der AI Act der EU – alle Mitarbeiter, einschließlich IT- und InfoSec-Experten, regelmäßig über die Cybersicherheitsimplikationen der Gesetze informieren.
- Interaktive Simulatoren einsetzen: Hiermit können das Fachwissen und die Entscheidungsfähigkeit von einzelnen Personen in kritischen Situationen bewertet werden. Zusätzlich können interaktive Lernspiele die Beobachtung von und Reaktion auf Attacken simulieren.
- Kultur der Cyberresilienz integrieren und kultivieren: Diese befähigt die Mitarbeiter aufkommende Bedrohungen effizient zu bewältigen.
- Threat-Intelligence-Dienste einsetzen: Schulungen von Experten für Cybersicherheit, wie beispielsweise die Kaspersky Expert-Schulungen [2] unterstützen Unternehmen dabei, die Fähigkeiten von Infosec-Mitarbeitern mithilfe modernster EDR-, MDR- und XDR-Lösungen, wie etwa Kaspersky Next [3], zu verbessern.
Der Kaspersky-Report „Enterprise cybersecurity and increasing threats in the era of AI: Do business leaders know what they are doing?“ ist verfügbar unter https://media.kasperskydaily.com/wp-content/uploads/sites/86/2024/05/23140825/Enterprise_cybersecurity_Report_23-05-24-1.pdf
[1] Die Studie analysiert die jüngsten Analysen und Reports von Kaspersky zum Thema Unternehmenssicherheit. Hierfür wurden auch Umfrage unter Führungskräften in Europa und weltweit bewertet. Alle Informationen zur Methodologie finden sich in der Studie selbst, die hier verfügbar ist: https://media.kasperskydaily.com/wp-content/uploads/sites/86/2024/05/23140825/Enterprise_cybersecurity_Report_23-05-24-1.pdf
[2] https://xtraining.kaspersky.com/
[3] https://www.kaspersky.com/next
Nützliche Links:
- Kaspersky-Report: https://media.kasperskydaily.com/wp-content/uploads/sites/86/2024/05/23140825/Enterprise_cybersecurity_Report_23-05-24-1.pdf
- Kaspersky Expert-Schulungen: https://xtraining.kaspersky.com/
- Kaspersky Next: https://www.kaspersky.com/next