Security-Awareness muss besser werden

Cyber-Kriminelle nutzten die Schwachstellen zunehmend aus. Außerdem spielt ihnen die Tatsache in die Hände, dass sich viele Unternehmen nach wie vor schwer damit tun, eine umfassende Security-Strategie aufzusetzen, in deren Rahmen auch die Mitarbeiter ausreichend für Sicherheitsaspekte sensibilisiert sind. Nach Einschätzung von Michael Helisch vom Sicherheitsberater Hecom kümmerten sich erst etwa die Hälfte bis zwei Drittel aller Unternehmen in Deutschland um die Security-Awareness ihrer Mitarbeiter. Vor allem Mittelständler täten sich noch schwer damit. Die Erkenntnis und die Bereitschaft, das Sicherheitsbewusstsein aktiv zu fördern, dringe nur zäh aus dem Konzernumfeld auch in mittelgroße und kleine Firmen durch.

Grundsätzlich scheinen sich Awareness-Maßnahmen jedoch auszuzahlen, berichtet Helisch unter Berufung auf eine Umfrage. Die meisten Unternehmen seien zufrieden mit den Resultaten ihrer Awareness-Bemühungen. Allerdings, so schränkt der Sicherheitsexperte ein, habe nur etwas mehr als die Hälfte der befragten Firmen den Erfolg auch konkret durch Audits, Befragungen und einer genauen Analyse von Sicherheitsvorfällen nach den Maßnahmen gemessen. Das Vorhaben, die eigene Belegschaft stärker für Sicherheitsfragen zu sensibilisieren, ist nicht trivial. Neben der Wahl der richtigen Werkzeuge aus einer breiten Palette von Infomaterial sowie Veranstaltungen und Schulungen müssen die Verantwortlichen dabei viele unterschiedliche Abteilungen mit einbeziehen, vom Management über die Fachabteilungen bis hin zum Betriebsrat. Gerade die Unterstützung des Managements ist aus Sicht der Awareness-Verantwortlichen ein wichtiger Faktor für das Gelingen, berichtet Helisch. Gleichzeitig stellt dieser Punkt jedoch auch eine große Herausforderung dar. Denn vielen Security-Managern fällt es schwer, den Mehrwert von Awareness-Maßnahmen darzustellen. Dieser lässt sich kaum in Euro und Cent belegen.