Der Faktor Mensch ist entscheidend für Informationssicherheit

Dieser Beitrag wurde zuletzt am 3. März 2022 aktualisiert.

Handelsblatt Research Institute hat im November 2021 im Auftrag von TeamViewer eine Umfrage unter IT-Entscheidern durchgeführt, die unter anderem für deutsche Bundesbehörden, internationale Cybersecurity-Unternehmen oder DAX-Konzerne tätig sind. Die Umfrage-Teilnehmer konnten dabei ihre Einschätzungen zur Bedrohungslage, zu Risikofaktoren und zu Herausforderungen im Zusammenhang mit Cybersecurity abgeben. Der Artikel im Handelsblatt wird hier in einer gekürzten Version im tw. Wortlaut wiedergegeben

Was bei der Befragung von TeamViewer herauskam, passt ins Bild von der aktuellen digitale Bedrohungslage.

Jedes zweite Unternehmen wurde angegriffen

So gab fast die Hälfte der Befragten an, dass sie in ihren Unternehmen in den vergangenen 24 Monaten auf einen Cyberangriff reagieren mussten. Nur vier von zehn Befragten konnten dies ausschließen. Die Studienautoren halten allerdings fest: Auch bei diesen Unternehmen sowie den Unternehmen, die keine Angaben machten, könnte ein Angriff stattgefunden haben, denn nicht immer werden Angriffe bemerkt.

„Nicht zuletzt die Pandemielage und die damit verbundene Verlagerung ins Homeoffice hat für Unternehmen neue Herausforderungen hinsichtlich der Cybersicherheit geschaffen. Es lohnt sich also, nochmal genauer hinzuschauen“, kommentiert Frank Ziarno, Vice President Product Management bei TeamViewer, die Ergebnisse. Unternehmen, ungeachtet ihrer Größe, müssten sich unbedingt die Frage stellen, ob ihre Sicherheitsstrategie auch eine Reaktion auf zukünftige, jetzt noch unbekannte Bedrohungen zulasse.

Der Faktor Mensch entscheidet

Für Cyberangriffe kommen der TeamViewer-Studie zufolge verschiedene Motive in Frage: Kriminalität ist wohl der Hauptgrund für Cyberangriffe. Angreifer nutzen Ransomware, um Lösegeld zu erpressen. Zweitwichtigstes Motiv ist Sabotage. Konkurrenzspionage und staatliche Wirtschaftsspionage folgen, wobei die IT-Befragten der Konkurrenzspionage eine vergleichsweise große Bedeutung beimessen. Terrorismus spielt nach Meinung der Unternehmensexperten eine eher untergeordnete Rolle. Bei der Auswahl von Software-Anbietern machen drei Buchstaben einen großen Unterschied für Unternehmen: CNA. Was sich dahinter verbirgt und welche deutschen Entwickler sich mit diesem Kürzel seit kurzem schmücken dürfen.

Einig waren sich die Befragten ebenfalls darin, dass Mitarbeitende und Beschäftigte die größten Sicherheitsrisiken sein können. So gehören die Angriffstaktik des Social Engineering, eine zwischenmenschliche Manipulationstechnik zur Preisgabe von Kennwörtern oder zur Freigabe von Finanzmitteln, sowie kompromittierte Zugangsdaten zu den am stärksten frequentierten Angriffswegen. Die Beschäftigten gelten als das „schwächste Glied“ in der Sicherheitskette, bei dem die Angreifer ansetzen können. Ihre Daten werden abgeschöpft, worüber dann der Zugang zu den Unternehmenssystemen gelingt.

Allerdings gehört eben dieser „Faktor Mensch“ gleichzeitig zu den wichtigsten Hebeln, an denen Unternehmen zur Stärkung ihrer Cybersecurity ansetzen können, ergeben die Studienergebnisse: An erster Stelle steht, dass die Beschäftigten für das Thema sensibilisiert werden, sodass sie beispielsweise Social-Engineering-Versuche schnell erkennen. Darüber hinaus gilt es für die Unternehmen, das Sicherheitsniveau hochzuhalten und überall Vorsicht an den Tag zu legen, da ein Angriff auch über bislang unbekannte Schwachstellen erfolgen kann. Die Cybersicherheit wird insofern auch von einem stetigen Screening nach möglichen Schwachstellen ausgemacht.

Der Studie zufolge liegt hier aber noch ein erhebliches Stück Arbeit vor den Unternehmen, denn nach Einschätzung der Befragten ist die IT-Sicherheit noch nicht bei allen Unternehmen auf einem adäquaten Niveau. Die Entwicklung gehe aber in die richtige Richtung: Ein Großteil der CS-Beschäftigten und mehr als die Hälfte der IT-Befragten haben in ihrem Unternehmen eine Verbesserung des Cybersecurity-Niveaus in den vergangenen zwölf Monaten beobachtet. Bei den restlichen Unternehmen ist das Niveau gleichgeblieben.

„Permanentes Wettrüsten bei der IT-Sicherheit“

Im Vergleich mit ausländischen Unternehmen zeigen sich die Befragten in Sachen IT-Sicherheit skeptisch. So überwiegt bei den IT-Beschäftigten die Sichtweise, dass Deutschlands Unternehmen im internationalen Vergleich bei der Abwehr von Cyberbedrohungen eher weniger gut dastehen. Es gebe noch Verbesserungspotenzial, sodass der bereits bei vielen Unternehmen vorhandene Ausbau der IT-Sicherheit auch künftig weitergehen müsse.

„Es ist davon auszugehen, dass insbesondere größere Unternehmen über Personal verfügen, das sich dediziert dem Thema Cybersicherheit widmet und damit eine gewisse Weitsicht in die jeweilige Sicherheitsstrategie bringt“, sagt Frank Ziarno. „Denn es gilt: Zwischen den Cybersicherheits-Experten und den Cyberkriminellen herrscht ein permanentes Wettrüsten.“

Dies deckt sich mit der Einschätzung des Bundesamts für Sicherheit in der Informationstechnik (BSI), das die IT-Sicherheitslage zuletzt im September 2021 als „angespannt bis kritisch“ beurteilte. Die Angreifer:innen werden demzufolge immer erfindungsreicher und die Anzahl der Schadsoftware-Varianten steigt stetig. Zugleich nehme die Qualität der Angriffe zu.