Die Cybersecurity eines Unternehmens ist nur so stark wie der schwächste Mitarbeiter, so ein Fazit von Deloitte. Wie aus der Ponemon-Studie „The Cost of Cyber Crime“ hervorgeht, werden die grössten Kosten durch Störungen im Servicebereich, Phishing und kriminelle Handlungen durch eigene Mitarbeiter verursacht. Sie allein waren für 42 Prozent aller durch Cyberangriffe ausgelösten Probleme verantwortlich.
Oftmals verfolgen die Mitarbeitenden dabei keine kriminellen Absichten sondern Unwissenheit, unvorsichtiges und ablehnendes Verhalten gegenüber Innovationen und Neuerungen von IT-Systemen können fatale Folgen haben. Hacker suchen zunächst den Weg über unerfahrene, naive oder weniger technologieaffine Angestellte, um an wichtige Daten zu gelangen. Mitarbeiter mit einer Ablehnung innovativer IT-Systeme sind vor allem deshalb ein idealer Angriffspunkt für Hacker, weil bei ihnen die aus der Verhaltensökonomie bekannte Verfügbarkeitsheuristik (availability bias) zutage tritt.
Sie erachten Szenarien, die auf ihren eigenen Erinnerungen und Erfahrungswerten basieren, als deutlich wahrscheinlicher, als Szenarien – wie beispielsweise eine Hackerattacke – denen sie noch nie begegnet sind. Um es auf den Punkt zu bringen: Vielen Mitarbeitern fehlt die Erfahrung mit Cyberangriffen, um die dadurch entstehenden Gefahren überhaupt einschätzen zu können. Sie erachten es für höchst unwahrscheinlich, dass jemand ihre Computer infiltrieren und wichtige Daten stehlen könnte.
Damit sich solch folgenschwere Urteilsfehler umgehen lassen können, benötigen diese Mitarbeiter die Unterstützung von Kollegen und Experten, die anhand relevanter Beispiele konkrete Gefahren aufzeigen. Diese Informationen dann in den Arbeitsalltag einzubauen ist jedoch oftmals leichter gesagt als getan.
Cybersecurity als fester Bestandteil der Compliance
Deshalb sind vor allem die Geschäftsleitung und das Management gefordert, das Thema aktiv in ihre Sicherheitsstrategie aufzunehmen. So ist es in vielen Unternehmen bereits fester Bestandteil der Compliance-Strategie, Mitarbeiter einzustellen, die ausschließlich für Cybersecurity zuständig sind.
Die Berater von Deloitte empfehlen auch zu einer engen Kooperation zwischen Unternehmen und Behörden, um Hackerangriffen schnell und effizient begegnen zu können. So verpflichtet beispielsweise das deutsche Gesetz seit 2015 die Betreiber wichtiger IT-Infrastrukturen, IT-Sicherheitsstandards einzuhalten. Hackerangriffe und andere Sicherheitsvorfälle müssen künftig gemeldet werden.
Eine besondere Rolle kommt nach Auffassung der Berater den Aufsichtsräten zu. Diese sollten die Cybersecurity-Strategie ihrer Unternehmen regelmäßig auf den Prüfstand stellen und gegebenenfalls zu Massnahmen auffordern. Mit gezielten Schulungen etwa können alle Mitarbeiter auf die allgegenwärtigen Gefahren durch Cyberangriffe aufmerksam gemacht und über das breite Spektrum von Hackerattacken aufgeklärt werden. Diese können in folgende Bereiche unterteilt werden:
· Datenmanipulation:
Die Daten von Unternehmen werden gestohlen oder so manipuliert, dass sie für den weiteren Gebrauch im Unternehmen nicht mehr geeignet sind.
· Identitätsdiebstahl:
Hacker stehlen Konto- oder Kreditkartendaten, um sie für eigene Zwecke zu verwenden.
· Sabotage:
Dienstleistungen von Unternehmen werden manipuliert, so dass sie nicht mehr funktionstüchtig sind und dem Unternehmen und seinen Kunden schaden.
· Wirtschaftsspionage:
Angriffe auf vertrauliche Unternehmensdaten und deren Weitergabe an Dritte, die diese dann für eigene Zwecke nutzen.
Der „Blick von aussen“ ermöglicht Perspektivenwechsel
Die Zusammenarbeit mit externen Experten schärft aber nicht nur das Bewusstsein von Mitarbeitern für Cybersecurity. Sie können auch lernen, potenzielle Fehleinschätzungen basierend auf ihren persönlichen Erfahrungswerten beim Umgang mit sensiblen Kundendaten zu vermeiden. Der „Blick von aussen“ kann häufig zu einem Perspektivenwechsel innerhalb des gesamten Unternehmens führen.