Obwohl menschliches Fehlverhalten für rund ein Drittel der Schweizer KMU die grösste Sorge in Sachen Cybersicherheit darstellt, werden in den Mitarbeiterschulungen einiger Unternehmen einige der häufigsten sicherheitsrelevanten Themen nicht ausreichend behandelt. Selbst grundlegende Themen wie Phishing und Passwortsicherheit werden vernachlässigt, obwohl genau ein Drittel der Schweizer KMU von diesen Themen betroffen ist. Eine aktuelle Studie von Sharp bestätigt diese Mängel.
Unzureichend informierte Mitarbeiter in Sachen IT-Sicherheit stellen laut befragten Entscheidern den viertgrössten Risikofaktor (32 Prozent) für ihre Unternehmen dar. Hierbei sind die Schweizer etwas zuversichtlicher als die Deutschen und Österreicher, welche ungeschulte Mitarbeiter jeweils als zweitgrößten Risikofaktor nennen. Schwerer wiegen für die Schweizer ungeschützte Netzwerke (37 Prozent), gezielte Angriffe (34 Prozent) und mangelhafte Schutzmassnahmen (33 Prozent). Trotz der Bedenken hinsichtlich menschlichen Fehlverhaltens und der Bedeutung, welche umfangreiche Sicherheitsschulungen zugesprochen wird, zeigt die Studie auf, dass KMU einige der wichtigsten Themen in ihren entsprechenden Mitarbeitertrainings lediglich unzureichend behandeln. So werden beispielsweise Bedrohungen wie Viren und Phishing in den befragten Unternehmen größtenteils nicht besprochen. Dasselbe trifft auf Datenverluste und Angriffe zu, die aufgrund unsicherer Passwörter erfolgen - obwohl dies jeweils bis zu einem Drittel der Schweizer KMU betrifft. Lediglich etwa ein Drittel der Sicherheitstrainings widmet sich der Passwortsicherheit (31 Prozent), dem Herunterladen von Dateien (29 Prozent), dem sicheren Umgang mit Daten (33 Prozent), Netzwerksicherheit (35 Prozent) oder den Grundlagen des An- und Abmeldens (32 Prozent). Besorgniserregend ist ausserdem, dass trotz einer Zunahme hybrider Arbeitsmodelle mit einer entsprechend komplexeren Cyberbedrohungslage nur knapp die Hälfte (42 Prozent) der Schweizer KMU ihre Sicherheitsschulungen entsprechend angepasst hat. Und das Thema hybrides Arbeiten wird nur bei 29 Prozent der befragten Unternehmen in Schulungen überhaupt behandelt.
Bewusstsein auf allen Ebenen schaffen
„Cybersicherheit ist nicht nur eine technologische Herausforderung, auch der menschliche Faktor ist entscheidend. Unternehmen müssen natürlich über die notwendigen Technologien verfügen, um sich gegen Angriffe zu schützen, beispielsweise Firewalls und Antivirus-Software. Aber sie müssen auch eine Kultur schaffen, die IT-Sicherheit ernst nimmt und als Aufgabe für jeden Mitarbeiter definiert, nicht nur für die IT-Verantwortlichen und das Management-Team“, kommentiert François Muller, COO der Sharp Electronics Schweiz AG, die Ergebnisse der Befragung.
„Wenn Schulungen zu alltäglichen Themen wie dem Ändern von Passwörtern, dem Erkennen von Phishing-E-Mails und dem Herunterladen von Dateien nicht kontinuierlich durchgeführt werden, kann dies zu einem echten IT-Sicherheitsrisiko werden. Gerade auch die Zunahme von KI-gestützten Phishing-Angriffen bedeutet, dass mehr Unternehmen als je zuvor anfällig für Angriffe sind. Folglich müssen Schweizer KMU ihre Mitarbeiter zu mehr Wachsamkeit und einem sinnvollen Umgang mit diesen neuen Bedrohungen anleiten, denn Wissenslücken können hier erhebliche Kosten nach sich ziehen.“