Eine Umfrage unter Angestellten deutscher Unternehmen mit 5.000 Teilnehmern, durchgeführt vom Marktforschungsunternehmen Statista, kommt zu besorgniserregenden Ergebnissen, was die Bereitschaft von Mitarbeitern angeht, IT-Sicherheitsvorfälle nach einem möglichen eigenen Fehlverhalten zu melden. Die repräsentative Online-Studie im Auftrag des Magazins brand eins und des IT-Sicherheitsunternehmens G DATA CyberDefense hatte Mitarbeiter verschiedenster deutscher Unternehmen zu ihrem Umgang mit Cyber-Gefahren im beruflichen und privaten Kontext befragt.
Mehr als die Hälfte der Angestellten in deutschen Unternehmen wenden sich bei einem Fehler im Bereich der IT-Sicherheit nicht an die zuständige Abteilung, so die Ergebnisse der Studie „Cybersicherheit in Zahlen“. Die Umfrageergebnisse zeigen auch Unterschiede im Umgang mit Sicherheitsrisiken in verschiedenen Abteilungen auf. In den Bereichen Forschung und Entwicklung geben immerhin rund 60 Prozent der Befragten an, sie würden die eigene IT-Abteilung auf eine Sicherheitslücke hinweisen, wenn sie selbst in einen möglichen IT-Sicherheitsvorfall involviert sind. In anderen Abteilungen wie etwa in der Produktion und Fertigung oder der Buchhaltung geben drei von fünf Angestellten zu, dass sie einen für die Cyber-Sicherheit des Unternehmens relevanten Fehler verschweigen würden.
Die Umfrageergebnisse zeigen, dass Abteilungsmitarbeiter, die sich in einem innovativen Arbeitsumfeld bewegen, vertrauter mit einem positiven Umgang in Bezug auf Fehler sind. Die Resultate machen aber auch deutlich, wie wichtig es ist, alle Abteilungen beim Thema IT-Sicherheit einzubeziehen, sodass sich alle Mitarbeiter als Teil der IT-Sicherheitsstrategie verstehen. „Ein Fehler mit Folgen für die IT-Security kann jedem Mitarbeitenden passieren – mit und ohne IT-Kenntnissen,“ meint auch Tim Berghoff, Security Evangelist bei G DATA CyberDefense. Die Unternehmen müssten sich klar machen, dass es nicht darum gehe, einer einzelnen Person die Schuld zuzuweisen, sondern die Mitarbeiter zu ermutigen, sich zu melden, wenn sie den Eindruck haben, dass etwas nicht stimmt. „Langfristig geht es darum, eine Fehlerkultur im Unternehmen zu etablieren,“ so Berghoff. „Dazu ist es ratsam, dass alle wissen, an wen sie sich im IT-Notfall wenden müssen und wie sie sich bei einem Sicherheitsvorfall verhalten sollten. IT-Sicherheit geht alle an, und die Verantwortung dafür endet nicht an der Tür des IT-Büros.“
Eine mangelhafte Fehlerkultur kann Unternehmen teuer zu stehen kommen, denn wenn Angestellte Angst haben, einen falschen Klick mit Folgen für die IT-Sicherheit zu melden, kann das erhebliche Auswirkungen auf die Cyber-Sicherheit im Unternehmen haben. Wenn Mitarbeiter jedoch einen Fehltritt frühzeitig zugeben, ohne direkt arbeitsrechtliche Konsequenzen für ihr Verhalten fürchten zu müssen, dann können IT-Sicherheitslücken oder Cyber-Crime-Angriffe rechtzeitig entdeckt werden – und der Schaden für das Unternehmen lässt sich möglicherweise begrenzen. Unternehmen sollten daher im eigenen (Sicherheits-)Interesse eine positive Fehlerkultur etablieren und die Bereitschaft ihrer Mitarbeiter stärken, einen Fehler zuzugeben, den sie im Bereich IT-Sicherheit gemacht haben, und sich aktiv bei der unternehmenseigenen IT-Abteilung zu melden, wenn sie Hinweisen auf eine mögliche Sicherheitslücke begegnen.
