Sicherheitslücke Mitarbeiter: Mehr Bewusstsein für Cybersecurity in KMU

Etwa die Hälfte aller Mitarbeiter in kleinen und mittleren Unternehmen schätzen ihre Firma als uninteressantes Ziel für Cyberkriminelle ein. Zu diesem Ergebnis kommt die Studie „Cybersicherheit in Zahlen“ von G Data CyberDefense, Statista und Brand eins. Mehr als 5.000 Beschäftigte aus Unternehmen aller Branchen in Deutschland im Alter von 16 bis 70 Jahren wurden dafür befragt. Dabei berichteten sie auch über ihr Wissen und ihre Erfahrungen im Umgang mit IT. Das Ergebnis ist alarmierend, denn sie offenbaren eine gravierende Wissenslücke bezüglich Cybersecurity in KMU. Warum dies jedoch auch für kleine Unternehmen fatal sein kann und wie man nachhaltig für mehr Bewusstsein unter den Mitarbeitern sorgen kann, zeigen wir dir hier.

Auch spannend für dich:

• Cybersicherheit in Zeiten von künstlicher Intelligenz
• Warum deutsche Unternehmen für Cybersicherheitserfolg in der EU auf Irland setzen sollten
• Regulierungsdruck in Deutschland: Lohnt sich ein internationales Standbein für Tech-Unternehmen?

Größere KMU haben bessere Cybersecurity

Die gute Nachricht für größere Unternehmen: Je größer die Firma ist, desto mehr Angestellte nehmen sie als Ziel für potenzielle Cyberangriffe wahr. Dies ist die zentrale Erkenntnis der Befragung. In Firmen mit 250 bis 999 Beschäftigten hält G Data zufolge gut die Hälfte der Befragten ihren Arbeitgeber für ein potenzielles Angriffsziel. In großen Unternehmen mit mehr als 1.000 Mitarbeitern ist das Bewusstsein für das Angriffsrisiko mit fast 70 Prozent sogar noch ausgeprägter. Laut den Studienautoren liege das an den regulierten Prozessen und verpflichtende Sicherheitsmaßnahmen, über die große Konzerne häufig verfügen. Doch im Umkehrschluss bedeutet das auch: Je kleiner das Unternehmen, desto weniger ernst nehmen die Mitarbeiter die Bedrohung durch Cyberkriminelle.

Die wahren Gefahren werden nur selten erkannt

Das ist eine Fehleinschätzung, die schwerwiegende Folgen haben kann. Denn ist das Bewusstsein der Mitarbeiter von KMU für Cybersecurity nur gering ausgeprägt, könne dies im schlimmsten Fall die Gefahr eines Angriffs erhöhen. Warum, zeigt die Studie „Wirtschaftsschutz 2024“. Ein Befund der Studie zeigt, dass KMU tatsächlich häufiger von Phishing als von komplexen Angriffskampagnen betroffen sind. Unaufmerksame und ungeschulte Mitarbeiter, die nichtsahnend Phishing-Mails öffnen, erleichtern somit Kriminellen den Diebstahl von Firmendaten. G Data warnt daher davor, Mitarbeiter, die nicht in der IT arbeiten, bei der Cybersecurity außen vor zu lassen. Eine wirksame IT-Sicherheitsstrategie muss neben technischen Sicherheitsmaßnahmen auch die Mitarbeiter berücksichtigen. Informationssicherheit ist letztlich also eine Teamaufgabe, die jeden einzelnen im Unternehmen betrifft. Alle Beschäftigten sollten zumindest potenzielle Gefahren erkennen und verantwortungsvoll handeln können.

Cyberangriffe verursachen erhebliche wirtschaftliche Schäden

Die „Cybersicherheit in Zahlen“-Studie zeigt auch, dass ist die Gefahr allgegenwärtig ist. Oft sind Mitarbeiter allerdings nicht geschult genug, zu erkennen, wenn Angriffe passiert sind. Laut der Umfrage haben 36 Prozent der Befragten Angestellten in IT-Unternehmen in den vergangen zwei Jahren einen Cyberangriff erlebt. Bei IT-Security-Firmen sind es sogar 46 Prozent. Bedeutet: Es mangelt mit Sicherheit nicht an Gefahren in anderen Unternehmen. In der Regel sind IT-Mitarbeiter jedoch sicherer im Umgang mit Daten und Cybersecurity. Sie erkennen häufiger, wenn sich ein Angriff anbahnt. Laut „Bundeslagebild Cybercrime 2023“ wurden in Deutschland allein in 2023 insgesamt 136.865 Fälle von Cyberkriminalität registriert. Das BKA geht dabei auch von einer hohen Dunkelziffer aus, da viele Straftaten nie erkannt werden. Zudem geht aus der Studie „Wirtschaftsschutz 2024“ hervor, dass die durch Cyberangriffe ausgelösten wirtschaftlichen Schäden für das Jahr 2024 178,6 Milliarden Euro betrugen.

So geht bessere Cybersecurity in KMU

Die Erkenntnisse der Studie „Cybersicherheit in Zahlen“ verdeutlichen aber auch: Eigentlich ist es relativ leicht, den Kenntnisstand über Cybersecurity unter den Mitarbeitern von KMU zu sorgen. Dabei müssen die KMU lediglich der Strategie größerer Firmen folgen: Regelmäßige Mitarbeiterschulungen sind das A und O einer guten IT-Sicherheitsstrategie. Mitarbeiter lernen durch die Schulungen, auf welche Anzeichen von Gefahren sie achten müssen und entwickeln dabei ein ausgeprägteres Sicherheitsbewusstsein. Zudem vermitteln sie den Angestellten auch Wissen darüber, was zu tun ist, wenn sie einen Fehler gemacht haben oder Zweifel hegen. Das ist wichtig, denn mutmaßlich vermeiden viele Mitarbeiter es, Fehler vor Kollegen oder Führungskräften zuzugeben. Doch nur, wenn der Fehler ans Licht kommt, kann man entsprechende Maßnahmen treffen – andernfalls bleibt die Sicherheitslücke unbemerkt. Dafür musst du jedoch auch das Bewusstsein schaffen, dass Fehler menschlich sind und Vorgesetzte diese grundsätzlich nicht „abstrafen“. So kann man das Sicherheitsniveau der Cybersecurity in KMU nachhaltig steigern.