IT-ungeschulte CEOs als Einfallstor für Hacker

Verfasst von Rudloff/pte am 06.04.2018 - 15:23

Vorstandsmitglieder sind im Umgang mit Cyber-Sicherheit schlechter geschult als Beschäftigte des jeweiligen Unternehmens. Zu diesem Ergebnis gelangt eine von der US-Anwaltskanzlei Fox Rothschild durchgeführte Umfrage bei 53 Firmen. Obwohl Verstösse hinsichtlich Datensicherheit momentan weltweit die Nachrichten beherrschen, seien Führungsetagen nach wie vor zu wenig auf Datenklau vorbereitet.

"Viele kleine Inseln innerhalb eines Unternehmen haben Sicherheitslösungen und -konzepte, im Grossen und Ganzen behindern diese Inseln sich dann jedoch gegenseitig", erklärt etwa der IT-Experte Yusuf Sar. "Security bedeutet in vielen Unternehmen einfach, dass jede Abteilung für sich arbeitet. Die ganzheitliche Betrachtung fällt da schwer und weist Lücken auf."

Laut der Studie führen nur 68 Prozent der Firmen IT-Mitarbeiterschulungen durch, ein Drittel lehrt seinen Bediensteten, Datenverstössen vorzubeugen. In gerade einmal 14 Prozent ist aber die Schulung hochrangiger Vorstandsmitglieder der Normalfall, wie Fox Rothschild mitteilt. Zwei Drittel der Unternehmen wenden weniger als zehn Prozent ihres Umsatzes für IT-Sicherheit auf - zu wenig, wie der Datenschutzbeauftragte Marc McCreary meint: "Alles weniger als 20 Prozent ist ein Fehler. Die Gefahren wechseln bei IT-Themen zu schnell."

"Nur weil man einen akademischen Titel oder eine Stellenbeschreibung im Namen trägt, heisst das nicht, dass man weniger verletzlich im Internet ist", sagt Elizabeth G. Litten, Expertin für Datenschutz und -sicherheit bei Fox Rothschild. "Vielmehr ist man dadurch noch anfälliger für Phishing-Versuche, die auf grosse Datenmengen aus sind. Das ist in vielen Unternehmen ein grosser Fehler."

Zwar gab knapp die Hälfte der befragten Unternehmen an, dass eine Schulung des Vorstands in Sachen Cyber-Sicherheit wichtiger sei, als dass es die Schulung der Belegschaft wäre. Gleichzeitig gab lediglich ein Viertel der Firmen an, dass Berichte über Datenschutz und Internetsicherheit überhaupt an den Vorstand weitergeleitet werden. Laut Litten sollte sich die Firmenleitung viel mehr aktiv in solche Themenfelder einbringen, als Aufgaben der IT-Sicherheit nur "nach unten" zu delegieren.

Für IT-Profi Sar kein unbekanntes Problem: "Der Konzern-Chef denkt viel zu häufig, dass er seine Leute für IT-Security hat und kümmert sich selbst viel zu wenig darum. Hinzu kommt, dass Security-Programme Sicherheit suggerieren und häufig einfach durchgewunken werden. Diese haben dann in sich schon Sicherheitslücken und so ist das ganze Gebilde instabil", sagt Sar und fügt hinzu: "Ganz zu schweigen von Keyloggern, die von zutrittsberechtigten Personen in Tastaturen angebracht werden können - 'Social Engineering' genannt. Auch das wird häufig nicht annähernd genug beachtet."