Als ein Schlüsselfaktor der unternehmerischen Cyber-Abwehr-Strategien wird immer wieder genannt: eine gute Unternehmenskultur im Umgang mit Fehlern. Nur wenn diese vorhanden sei, darin sind sich Experten einig, könnten die Unternehmen sicher sein, dass sich Mitarbeiter bei einem Fehlverhalten, das für die Cybersicherheit relevant ist, vertrauensvoll an Vorgesetzte oder die unternehmenseigene IT-Sicherheitsabteilung wenden. Insbesondere beim Thema Phishing ist es essenziell, dass Mitarbeiter umgehend eine umfassende Meldung machen, damit die Folgeschäden minimiert werden können. Aus diesem Grund hat sich der Sicherheitsanbieter Kaspersky mit der Fehlerkultur in deutschen Unternehmen beschäftigt. Im Auftrag von Kaspersky hat Arlington Research im Juni 2023 zum Thema Incident Response und Cyber-Sicherheit eine Umfrage unter IT-Entscheidungsträgern durchgeführt, an der sich insgesamt 200 Entscheider aus Deutschland, 50 aus Österreich und 50 aus der Schweiz beteiligt haben. [1]
Im Rahmen der Studie hatten die Befragten, IT-Entscheider aus unterschiedlichen Branchen, angegeben, dass Mitarbeitern, die auf eine Phishing-E-Mail hereinfallen oder auf einen Malware-Link klicken, teils drastische Konsequenzen drohen. Auch wenn ein Teil der IT-Entscheider bei einem Fehlverhalten auf Schulungen und Trainings setzen würde, um das Bewusstsein für Bedrohungen und Schutzmaßnahmen unter den Mitarbeitern zu stärken, formulierten andere in eigenen Worten ihre Reaktion wie folgt: Der Mitarbeiter „wird gefeuert“, schreibt ein Entscheider, ein anderer erläutert, der Mitarbeiter „bekommt eine Abmahnung“, ein weiterer sogar, die Mitarbeiter „werden zur Rechenschaft gezogen“. Auf Seiten der Mitarbeiter dürfte beim Fehlen einer positiven Fehlerkultur klar sein, dass sie bei einem Fehlverhalten Konsequenzen fürchten und sich weder an die IT-Sicherheit noch an einen Vorgesetzten wenden werden. Wenn Mitarbeiter mit Vorfällen nicht offen umgehen können, kann dies allerdings für die betroffenen Unternehmen teuer werden, da wichtige Zeit verstreicht um einen Cyber-Angriff einzudämmen. „Bei einem IT-Sicherheitsvorfall kommt es auf eine schnelle Reaktion an“, erklärt Kai Schuricht, Lead Incident Response Specialist bei Kaspersky. „Wenn Mitarbeiter mit Konsequenzen rechnen müssen, ist die Wahrscheinlichkeit hoch, dass sie Vorfälle unterschätzen oder verschweigen. Allerdings ist es wichtig, dass Verantwortliche zeitnah über Fehlverhalten oder Fehler informiert werden, um den Schaden so gering wie möglich zu halten, indem effizient auf die Attacke reagiert wird.“
