Wallisellen – Schweizer Unternehmen leben nach Meinung ihrer Mitarbeitenden riskant: Sie tun zu wenig für die Cybersecurity. Gleichzeitig umgehen Mitarbeitende vorhandene Sicherheitstechnologien. Das ergibt eine Umfrage von Cisco in der Schweiz und in nordeuropäischen Ländern. Sie zeigt Schwachstellen in der Schulung und in der Anwendung gängiger Sicherheitstechnologien auf.
Cybersecurity entsteht, wenn Mitarbeitende, Prozesse und Technologien darauf ausgerichtet sind: mit Intelligenz und Automatisierung im Netzwerk sowie voller Transparenz über alle Vorgänge. Menschen in Organisationen sollten sich bewusst und verantwortungsvoll verhalten. «Es braucht eine gelebte Sicherheitskultur», sagt Roman Stefanov, Cybersecurity-Verantwortlicher von Cisco Schweiz. «Sie drillt die Mitarbeitenden nicht», ergänzt er, «sondern macht ihnen aktuelle Bedrohungen und die Risiken generell bewusst.» Damit hapert es in der Schweiz und in anderen Ländern, wie eine Umfrage von Cisco ergibt. Die Mitarbeitenden fühlen sich unter ständigen Cybersecurity-Attacken in der digitalisierten Arbeitswelt alleingelassen.
Die Umfrage: alleingelassen im Bemühen um Sicherheit
Die Umfrage von Cisco und Censuswide in sechs europäischen Ländern (Belgien, Dänemark, Niederlande, Norwegen, Schweden, Schweiz) unter 1500 Menschen, die flexibel arbeiten, offenbart scheinbare Widersprüche im Umgang mit Sicherheitstechnologien und mit Cybersecurity-Massnahmen in der Organisation. Das Schweizer Resultat (251 Befragte) entspricht dabei der Gesamtumfrage.
Mehr als ein Drittel der Schweizer Mitarbeitenden stimmt zu, dass ihre Organisation Cybersecurity zu wenig ernst nimmt. Fast die Hälfte der Befragten sieht das nicht so, weitere 18 Prozent haben keine Meinung hierzu. Nur 28 Prozent der Befragten fühlen sich in Sachen Cybersecurity bei ihrem Arbeitgeber gut aufgehoben. Fast die Hälfte sieht es anders und wünscht sich explizit mehr Initiative. «Bemerkenswert», kommentiert Roman Stefanov. «Diese Zahlen scheinen mir doch ein starkes Zeichen für Verunsicherung zu sein.»
Ein wichtiges Mittel dagegen wären Cybersecurity-Schulungen für Mitarbeitende. Die Umfrage zeigt, dass es damit hapert. 23 Prozent der Befragten in der Schweiz sind noch niemals ausgebildet worden. Die Pandemie hat aber punkto Training Wirkung gezeigt: In den ersten 18 Monaten nach Beginn der Pandemie haben 67 Prozent der Befragten an einer Schulung teilgenommen. Die Mitarbeitenden sehen sich beim Thema Sicherheit auch durchaus selbst in der Pflicht. 63 Prozent sehen das Thema Cybersecurity als gemeinsame Verantwortung aller Mitarbeitenden; die Mehrheit – fast die Hälfte – sieht dabei IT und Management im Lead.
15% wissen nichts über Sicherheitstechnologien im Home Office
Die gute Botschaft ist: Die Mitarbeitenden nutzen an ihrem hybriden Arbeitsplatz Sicherheitstechnologien und kommen gut damit zurecht. Die schlechte ist: Es sind immer noch zu wenige. Spitzenreiter ist VPN (53%), danach folgt bereits die Multifaktor-Authentifizierung (45%), gleich dahinter sind obligatorische Softwareupdates. Bemerkenswert: Rund 15% der Befragten wissen nicht Bescheid über Sicherheitstechnologien oder verfügen im Home Office über keinen Zugang dazu. Zudem sehen sich viele Mitarbeitende gezwungen, für die Erfüllung ihrer beruflichen Aufgaben bestehende Sicherheitssysteme zumindest manchmal zu umgehen. Mit 42 Prozent ist der Anteil hoch – aber im Vergleich zu einer ähnlichen Umfrage vor mehr als einem Jahr deutlich geringer. Damals umgingen fast 95% der Befragten – vor allem Jüngere – die Sicherheit, 35% von ihnen regelmässig.
Hybride Arbeitsumgebungen sind sicherheitstechnisch besonders anspruchsvoll
«Angesichts der zunehmenden Attacken auf Schweizer Organisationen, die zudem immer intensiver und schwerwiegender werden, überrascht das Umfrageergebnis», sagt Roman Stefanov. «Das Unsicherheitsgefühl der Mitarbeitenden und das Umgehen von Sicherheitstechnologien zeigt, dass eine echte Kultur fehlt. Hier besteht – nebst der Aufrüstung von Netzwerken – ein grosser Aufholbedarf.» Schliesslich seien hybride Arbeitsumgebungen besonders anspruchsvoll hinsichtlich ihrer Absicherung gegen Attacken. «Das erfordert den Einsatz wirkungsvoller und dennoch nutzerfreundlicher Sicherheitstechnologien auf Netzwerkebene», sagt Roman Stefanov. Dass die Befragten vor allem sich selbst in der Verantwortung sehen, stimmt ihn zuversichtlich: «Das zeigt: Eine ganzheitliche Sicherheitskultur ist möglich. Die Mitarbeitenden sind bereit dazu». (Cisco/mc)
