Warum es zu oft tabu ist, in der IT-Sicherheit eigene Fehler zuzugeben
Die jüngsten Forschungsergebnisse der Studie "Cybersicherheit in Zahlen" offenbaren einen erheblichen Bedarf an einer besseren Sicherheits- beziehungsweise Fehlerkultur in Unternehmen. Laut der Umfrage gestehen sich mehr als die Hälfte der deutschen Arbeitnehmer*innen nicht ein, einen Fehler im IT-Sicherheitsbereich gemacht zu haben, was zu verheerenden Auswirkungen auf die IT-Infrastruktur des Unternehmens führen kann.
Eine exklusive Umfrage von G DATA CyberDefense, Statista und brand eins mit dem Titel „Cybersicherheit in Zahlen“ hat einen alarmierenden Trend in der deutschen Arbeitswelt aufgedeckt: 57 Prozent der befragten Arbeitnehmer*innen haben Angst, negative Konsequenzen zu erleiden, wenn sie einen Fehler im Bereich IT-Sicherheit melden. Diese negative Fehlerkultur kann jedoch verheerende Auswirkungen auf die IT-Sicherheit des Unternehmens haben, da durch spätes Melden von IT-Sicherheitsvorfällen oder -lücken der Schaden bei einem Angriff dramatisch ansteigen kann. Es besteht daher dringender Bedarf, eine positive Fehlerkultur im Unternehmen zu etablieren. Nur 43 Prozent der Befragten gaben zu, jemals einen Fehler im IT-Sicherheitsbereich gemacht zu haben, und nur 47 Prozent würden aktiv auf eine Sicherheitslücke hinweisen.
Tim Berghoff, Security Evangelist bei G DATA CyberDefense, sagt, dass jeder Mitarbeiter im Unternehmen eine Verantwortung für die IT-Sicherheit trägt. Es sei möglich, dass jeder Mitarbeiter Fehler macht, die sich auf die IT-Sicherheit auswirken können, unabhängig davon, ob er IT-Kenntnisse hat oder nicht. Berghoff glaubt, dass es nicht zielführend ist, die Schuldfrage zu klären. Viel wichtiger sei es, ein Umfeld zu schaffen, in dem Mitarbeiter ermutigt werden, Vorfälle zu melden. Berghoff betont, dass es langfristig darum geht, eine positive Fehlerkultur im Unternehmen zu etablieren. Dazu müssten alle Mitarbeiter wissen, wer im IT-Notfall kontaktiert werden muss und wie sie bei einem Sicherheitsvorfall reagieren sollten. Berghoff betont, dass IT-Sicherheit alle im Unternehmen betrifft und die Verantwortung nicht an der Tür des IT-Büros endet.
Eine bessere Fehlerkultur schaffen
Die Umfrageergebnisse zeigen, dass IT-Abteilungen sowie Bereiche wie Forschung und Entwicklung am ehesten einen positiven Umgang mit Fehlern pflegen. Hier gibt etwas mehr als die Hälfte der Befragten ihren eigenen Fehltritt zu und würde mit 58 beziehungsweise 62 Prozent auch aktiv auf eine IT-Sicherheitslücke hinweisen. Anders sieht es bei Abteilungen wie Produktion und Fertigung oder Buchhaltung und Finanzen aus, wo drei von fünf Mitarbeitenden einen Fehler verschweigen. Die Ergebnisse legen nahe, dass Abteilungen, die in einem innovativen Arbeitsumfeld arbeiten, offener für einen positiven Umgang mit Fehlern sind. Allerdings ist es wichtig, alle Mitarbeitenden in Bezug auf IT-Sicherheit zu sensibilisieren und auf denselben Wissenstand zu bringen. Eine Möglichkeit hierfür sind Security Awareness Trainings, die das gesamte Unternehmen in die IT-Sicherheitsstrategie einbeziehen. Mitarbeitende lernen, aufmerksam zu sein und Fehler umgehend zu melden, um schwerwiegende Folgen bei einem Cyberangriff zu vermeiden.
Die Studie „Cybersicherheit in Zahlen“ befragte über 5.000 Arbeitnehmer*innen in Deutschland und wurde methodisch von Statista durchgeführt. Dank einer großen Stichprobe präsentiert die Studie belastbare Marktforschungsergebnisse. Die vollständige Studie kann hier als e-Magazin heruntergeladen werden.
