Cyber-Sicherheit – für die Führungsriege oft unentdecktes Land

Aktuelle Kaspersky-Studie weist auf dringenden Nachholbedarf der Führungsebene hinsichtlich des Managements der Cyber-Sicherheit hin

[datensicherheit.de, 22.06.2024] Erkenntnisse auch einer aktuellen Kaspersky-Studie weisen auf einen dringenden Nachholbedarf der Führungsebene hinsichtlich des Managements der Cyber-Sicherheit hin: Demnach weiß fast die Hälfte der „CEOs“ nicht, was sich hinter den Begriffen „Malware“, „Phishing“ und „Ransomware“ verbirgt. „Unternehmensleiter, Führungskräfte und IT-Entscheidungsträger weltweit scheinen nicht zu wissen, wie sie ihr Unternehmen und somit ihr digitales Vermögen wie Daten und Informationen vor Cyber-Angriffen schützen können.“ Neben dieser offensichtlichen Wissenslücke verschärften der aktuelle Fachkräftemangel in der IT-Sicherheitsbranche, Budget-Beschränkungen sowie ungeschulte Mitarbeiter das Cyber-Risiko für Unternehmen und Organisationen.

Abbildung: kaspersky

Aktueller Kaspersky-Report 2024: „Enterprise cybersecurity and increasing threats in the era of AI: Do business leaders know what they are doing?“

Studien-Ergebnis stellt grundlegend Kompetenz Verantwortlicher im Bereich Cyber-Sicherheit in Frage

„Weiß die Führungsriege, was sie tut?“ – dieser Frage sei die Untersuchung für die Kaspersky-Studie „Enterprise cybersecurity and increasing threats in the era of AI: Do business leaders know what they are doing?“ nachgegangen. Das Ergebnis stelle grundlegend die Kompetenz von Verantwortlichen im Bereich Cyber-Sicherheit in Frage.

„Denn: 48 Prozent der ,CEOs’ sehen den Fachjargon als das größte Hindernis für das Verständnis und die Bewältigung von Cyber-Sicherheitsfragen.“ Zudem gäben 47 Prozent der „CEOs“ an, dass Budget-Beschränkungen eine große Schwierigkeit darstellten. Darüber hinaus hätten 43 Prozent der Befragten „unzureichende Schulungen“ als ein Problem für ihre IT-Sicherheit angesehen.

Schwaches Cyber-Schutzniveau – Personalmangel und ungeschulte Mitarbeiter als Gründe genannt

Neben der eklatanten Wissenslücke bezüglich elementarer Begriffe von Cyber-Bedrohungen wirke sich der Fachkräftemangel in der IT-Branche negativ auf das Schutzniveau der Unternehmen aus – „was der Führungsriege auch bewusst ist“. Immerhin betrachteten 75 Prozent der Unternehmen den „Fachkräftemangel“ als ernsthaftes langfristiges Problem für ihre Organisation. Zudem beeinträchtigten ungeschulte Mitarbeiter auf allen Ebenen die Cyber-Sicherheit – so habe die Kaspersky-Befragung ergeben, dass mehr als zehn Prozent der Cyber-Sicherheitsvorfälle auf Mitarbeiter zurückzuführen seien.

Von diesen Vorfällen entfielen

• 16 Prozent auf normale Mitarbeiter,
• 15 Prozent auf IT-Mitarbeiter
• und 14 Prozent sogar auf IT-Führungskräfte.

Führungsebene sollte raue Wirklichkeit der Cyber-Gefahren erkennen und adressieren

Hierbei sei zu bedenken, dass Mitarbeiterfehler aus Versehen oder bewusst entstehen könnten. „So machten vorsätzliche Verstöße von Mitarbeitern gegen Informationssicherheitsrichtlinien in den vergangenen zwei Jahren mehr als ein Viertel (26%) der von Mitarbeitern verursachten Vorfälle aus.“ Waldemar Bergstreiser, „General Manager Central Europe“ bei Kaspersky, kommentiert: „Im heutigen Digitalen Zeitalter, in dem Daten von zentraler Bedeutung sind, muss die Führungsebene die raue Wirklichkeit der Cyber-Gefahren erkennen und adressieren!“

Bergstreisers dringende Empfehlung: „Sie müssen in die Aus- und Weiterbildung von Mitarbeitern investieren, moderne Bedrohungsdienste nutzen, eine Kultur der Cyber-Resilienz fördern und die richtigen Schutztechnologien implementieren, damit sie ihre wertvollen Assets schützen können!“ Nur durch einen mehrschichtigen Ansatz könne ein umfassender Schutz gelingen – und das schließe alles Mitarbeiter ein: Angefangen bei der Führungsriege.

Kaspersky-Empfehlungen für mehr Cyber-Sicherheit in Unternehmen

Um das Cyber-Schutzniveau von Unternehmen zu verbessern, seien explizit Schulungen für Führungskräfte und IT-Sicherheitsteams notwendig. Wissenslücken bei Entscheidungsträgern und ein Fachkräftemangel unterstrichen jedoch zudem den Bedarf an automatisierten Cyber-Sicherheitslösungen (wie z.B. „Kaspersky Next“), welche fortschrittlichen Funktionen zur Echtzeiterkennung und Reaktion auf Bedrohungen böten und unterschiedlichen Geschäftsanforderungen gerecht würden.

In Weiterbildung investieren!
Schulungen und Cyber-Sicherheitsinitiativen für alle Mitarbeiterebenen anbieten, Security-Awareness-Trainings implementieren, um spezifische Sicherheitsanforderungen zu adressieren und das Risiko für interne Cyber-Sicherheitsvorfälle zu reduzieren.

Auf dem neuesten Stand halten und informieren!
In Vorbereitung auf aktuelle und zukünftige Regularien auf nationaler wie europäischer Ebene – zum Beispiel WP.29 (UN-Regelungen für den Fahrzeugbau), NIS-2 sowie „Cyber Resilience Act“, das Lieferketten-Gesetz und der „AI Act“ der EU – alle Mitarbeiter, einschließlich IT- und InfoSec-Experten, regelmäßig über die Cyber-Sicherheitsimplikationen der Gesetze informieren.

Interaktive Simulatoren einsetzen!
Hiermit könnten das Fachwissen und die Entscheidungsfähigkeit einzelner Personen in kritischen Situationen bewertet werden. Zusätzlich könnten interaktive Lernspiele die Beobachtung von und Reaktion auf Cyber-Attacken simulieren.

Kultur der Cyber-Resilienz integrieren und kultivieren!
Diese befähige die Mitarbeiter, aufkommende Cyber-Bedrohungen effizient zu bewältigen.

Threat-Intelligence-Dienste einsetzen!
Schulungen von Experten für Cyber-Sicherheit (wie beispielsweise die „Kaspersky Expert-Schulungen“) unterstützten Unternehmen dabei, die Fähigkeiten von Infosec-Mitarbeitern mithilfe modernster EDR-, MDR- und XDR-Lösungen (wie etwa „Kaspersky Next“) zu verbessern.

Weitere Informationen zum Thema:

kaspersky
Report 2024 / Enterprise cybersecurity and increasing threats in the era of AI: Do business leaders know what they are doing?