Alleingelassen? Angestellte im Mittelstand sind auf IT-Sicherheitsrisiken unzureichend vorbereitet
München/London (ots) – Angestellte in kleinen und mittleren Unternehmen (KMUs) fühlen sich vor allem in Bezug auf mobile Sicherheit und Cloud Security unsicher. Trotzdem bieten ihnen ihre Chefs nur sehr selten Trainings oder Guidelines in diesen Bereichen an. So lautet eines der Ergebnisse einer repräsentativen Umfrage unter 1.000 Angestellten in Deutschland, die der IT-Sicherheitsspezialist McAfee in Auftrag gegeben hat*.
Statt Manager und IT-Profis zu ihren Bemühungen rund um die IT-Sicherheit zu befragen, sollte die Studie klären, wie gut die Mitarbeiter mit IT-Risiken umgehen. Die Antworten legen nahe, dass sie sich oft alleingelassen fühlen: Zwar wird laut 80 Prozent der Befragten großer Wert auf IT-Sicherheit in ihren Unternehmen gelegt, jedoch erhalten 62 Prozent nie ein Training. Mehr als 80 Prozent gaben an, dass sie ein solches für notwendig oder nützlich halten würden.
„Die Mitarbeiter sind ein elementarer Bestandteil einer jeden Sicherheitsinfrastruktur“, sagt Sascha Plathen, Manager Channel Sales Central Europe bei McAfee. „Sie arbeiten tagtäglich mit vertraulichen Daten. Investitionen in IT-Sicherheitslösungen zahlen sich nicht aus, wenn die Angestellten sich nicht an die Regeln halten. Wenn es denn überhaupt Regeln gibt.“
Der Feind neben mir?
83 Prozent der Angestellten in kleinen und mittleren Unternehmen halten digitale Daten für einen zentralen Business-Faktor. Über zwei Drittel arbeiten regelmäßig mit Kundenkontaktdaten, fast zwei Drittel mit Rechnungsdaten und knapp 50 Prozent mit vertraulichen Kundendaten. Die größte Bedrohung geht laut der meisten Mitarbeiter von der eigenen Belegschaft aus: 39,3 Prozent der Befragten befürchten, dass ihre Kollegen oder sie selbst unabsichtlich einen Sicherheitsvorfall verursachen könnten.
Ganz unbegründet ist diese Sorge nicht: Fast 11 Prozent haben schon einmal einen Vorfall beobachtet, der von einem Kollegen ausging, 4,6 Prozent gaben an, selbst schon einmal an einem Vorfall schuld gewesen zu sein. „Die gefühlte Unsicherheit ist nachvollziehbar. KMUs haben heute Zugang zu leistungsfähigen Tools wie auch Großunternehmen sie nutzen – doch damit steigt auch die Komplexität. Mobile, Cloud, Social Media kommen als neue Themen hinzu und wollen beherrscht werden“, sagt Sascha Plathen.
In KMUs angekommen: Private Geräte und Dienste
Mehr als 20 Prozent der Angestellten nutzen laut eigener Angaben ihre privaten Mobilgeräte, um Arbeits-E-Mails abzurufen und geschäftliche Vorgänge zu bearbeiten. Private Webmail-Dienste (33 Prozent), Online-Filesharing mit Diensten wie Dropbox oder Box und Online-Workspace wie beispielsweise Google Drive (beide etwa 10 Prozent) werden auf Arbeitsrechnern genutzt. „Der Einzug privater Geräte oder Dienste in das Arbeitsumfeld schafft eine Parallelinfrastruktur, in der der Arbeitgeber nur noch schwer kontrollieren kann, wo seine Daten verwaltet, gespeichert oder weitergegeben werden“, so Sascha Plathen weiter.
Danach gefragt, wie sicher sich die Angestellten im Umgang mit mobilen Geräten fühlen, bewerteten 39 Prozent ihren Wissensstand mit sieben bis zehn auf einer Skala von eins bis zehn (zehn bedeutet „ich fühle mich sehr sicher“). In Bezug auf Cloud-Themen gaben sich nur noch ein Viertel diese Noten. „Bring-your-Own-Device und Bring-your-Own-Infrastructure sind die Fachbegriffe für den Trend, private Geräte oder Dienste im Unternehmen zu nutzen“, erklärt Sascha Plathen. „Auch in KMUs sind diese Praktiken angekommen und die Unternehmen sollten sich besser heute als morgen überlegen, wie sie ihre Daten schützen. Schulungen der Mitarbeiter sind ein wichtiger erster Schritt.“
Gefühl des Alleingelassenseins
Die McAfee-Umfrage belegt, dass Angestellte mehr Ausbildung in IT-Sicherheit bekommen wollen. Laut der Befragten wäre ein Training in mobiler Sicherheit (77 Prozent), Cloud Security (72 Prozent) oder dem Schutz vor Schadprogrammen (81 Prozent) notwendig oder zumindest nützlich. Doch nur in 11,4 Prozent der Unternehmen gibt es Seminare zu mobiler, in 7 Prozent zu Cloud-Sicherheit. Schriftliche Guidelines sind ebenfalls rar, vor allem für die neuen Themen: 149 von 1.000 Firmen haben solche Vorgaben für mobile Sicherheit, 53 von 1.000 zu Cloud Security implementiert. Von den Mitarbeitern, die sich schon einmal ein Schadprogramm auf dem Rechner eingefangen haben, hatte nur ein Viertel jemals ein Training zu Passwort- oder E-Mail-Sicherheit.
„Für Cyber-Sicherheit sind alle verantwortlich: Unternehmer, deren IT-Personal und Angestellte, aber auch Sicherheitsanbieter wie wir müssen aktiver werden“, so Sascha Plathen. „Das ist ein Grund dafür, warum wir offizieller Partner der Allianz für Cyber-Sicherheit geworden sind, einer Initiative des Bundesamtes für Sicherheit in der Informationstechnik mit dem Ziel, gemeinsam für mehr IT-Sicherheit zu sorgen. Außerdem veröffentlichen wir regelmäßig den McAfee Quarterly Threat Report zur aktuellen Bedrohungslage, der Unternehmen hoffentlich dabei hilft, die Gefahren besser einschätzen zu können.“
* Hintergrund zur Umfrage
McAfee hat im Zeitraum April/Mai 2013 1.000 Angestellte in kleinen und mittleren Unternehmen (25-100 Arbeitnehmer) in Deutschland befragt. Abgefragt wurden die Bedeutung von digitalen Daten, der Umgang mit der IT, das Sicherheitsbewusstsein, Erfahrungen mit IT-Sicherheit sowie Bedarf und Nachfrage nach IT-Sicherheitsausbildung. http://www.mcafee.com/de
* * *
Über die McAfee GmbH
McAfee ist ein hundertprozentiges Tochterunternehmen der Intel Corporation (NASDAQ:INTC) und ermöglicht Unternehmen, Organisationen der öffentlichen Verwaltung und Privatanwendern die sichere Nutzung des Internets. Das Unternehmen bietet pro-aktive und bewährte Sicherheitslösungen und -dienste für Systeme, Netzwerke sowie mobile Endgeräte. Durch die Security Connected-Strategie, einem innovativen Ansatz für Hardware-unterstützte Sicherheitslösungen und dem Global Threat Intelligence-Netzwerk ist McAfee unablässig darauf konzentriert, für die Sicherheit seiner Kunden zu sorgen. http://www.mcafee.com/de
McAfee und/oder weitere hierin erwähnte oder enthaltene McAfee-Produkte sind eingetragene Marken oder Marken von McAfee und/oder seinen verbundenen Unternehmen in den USA und/oder anderen Ländern.