Unwissenheit schützt vor Strafe nicht: Mangelndes Sicherheitsbewusstsein und fehlende Schulungen verursachen IT-Sicherheitsvorfälle

Die Verschmelzung von IT und OT macht Unternehmen aus der Industrie zu beliebten Zielen von Cyberkriminellen. Fallen Systeme in dieser Branche aus, hat das oft weitreichende (finanzielle) Folgen wie Produktionsstopps oder Lieferengpässe. Dennoch ist das Bewusstsein für diese Risiken noch nicht stark genug ausgeprägt. Wir haben auf der Hannover Messe, der weltweit größten Industriemesse, eine Umfrage unter den Besuchern durchgeführt, um einen Einblick in den Ist-Zustand von Cybersicherheit in Produktionsunternehmen zu erhalten. Finden Sie sich in den Ergebnissen wieder?   

Wer weiß was im Produktionsumfeld?

Ein großer Teil der Befragten arbeitet in Unternehmen, die bereits über spezifisches Know-how zum Schutz der Produktionssysteme vor Cyberangriffen oder Malware verfügen. Jedoch liegt dieses Wissen häufig in der IT-Abteilung. Gut 13% der Befragten haben sogar einen IT Security Officer oder einen CISO im Unternehmen.

Verwunderlich jedoch ist, dass ein Fünftel der Befragten angeben, dass kein Know-how für den Cyberschutz der Fertigung vorhanden sei. Das ist sehr beunruhigend, weil laut drei Viertel der Befragten das Risiko einer Cyberattacke in ihrem Unternehmen vorhanden bzw. sehr hoch ist. Hier fehlt es scheinbar an umfassenden Schulungen für die Mitarbeiter. So hält die Mehrzahl der Unternehmen IT-Sicherheitstrainings nur selten oder gar nicht ab.

Dabei stellt menschliches Fehlverhalten noch immer eines der größten Risiken für die IT-Sicherheit dar. Kriminelle nutzen die Unachtsamkeit und das Unwissen und prompt wird eine Phishing-Mail zu einer gefährlichen Bedrohung. Dagegen können Mitarbeiter eine zusätzliche Barriere bilden, die sogenannte „Human Firewall“. Das geht jedoch nur, wenn ein richtiges Bewusstsein für IT-Sicherheit geschaffen wird.

Tatsächlich gibt fast ein Drittel der Befragten an, dass ihr Unternehmen bereits von einer Cyberattacke oder einem Vorfall betroffen war. Um das Argument der „Human Firewall“ zu untermauern: In über 60% dieser Fälle hätte ein höheres Sicherheitsbewusstsein oder ein besseres Sicherheitstraining der Mitarbeiter im Unternehmen geholfen, den Vorfall zu vermeiden.

Cybersicherheit aus der Cloud

Die aktuelle und zukünftige Lage im Kampf gegen Security-Gefahren macht eines deutlich: Investitionen in die Sicherheit sind ein Muss. Da ist sich die Mehrheit der Unternehmen einig, denn laut den Befragten werden Investitionen für Cyber-Security-Lösungen in der nahen Zukunft steigen.

Fast zwei Drittel der Befragten können sich vorstellen, künftig IT-Sicherheit als Managed Security Services aus der Cloud zu nutzen. Viele Unternehmen sehen die Vorteile: Sie profitieren von Lösungen, die immer auf dem neuesten Stand sind, ohne selbst Ressourcen in die Weiterentwicklung stecken zu müssen.

Gerade im Industriesektor werden für Systeme und Anlagen noch ältere Betriebssysteme bis Windows XP genutzt. Ohne entsprechende Patches und Updates werden diese Systeme zu einem enormen Sicherheitsrisiko für Organisation. Bestes Beispiel ist hier Windows XP. Microsoft hat das Ausmaß der Gefahr durch Cyberbedrohungen wie WannaCry und dessen neuen Varianten erkannt und ein außerplanmäßiges Update für dieses System bereitgestellt. Doch solche Patches sind leider eine Ausnahme. Ein Anbieter, der auch veraltete Betriebssysteme schützt und mit Predictive Whitelisting arbeitet, eliminiert diese Schwachstellen. Am Ende des Tages werden die IT-Teams entlastet und können sich auf die Aufgaben konzentrieren, die das Unternehmen wirklich weiterbringen. Die Administration liegt nämlich beim Anbieter der Managed Security Lösung.  

Viel Luft nach oben

Die Erkenntnisse von der Hannover Messe machen deutlich, dass die Bedrohungslage erkannt wurde und auch bereits auf herkömmliche Schutzmaßnahmen gesetzt wird. Dennoch gibt es noch sehr viel ungenutztes Potential. Gerade beim Thema Security Awareness der Mitarbeiter können Unternehmen schnell mehr tun. Ihnen muss bewusst sein, dass es letztendlich noch immer die Mitarbeiter sind, die Computer und Anlagen bedienen.