Demnach werden Mitarbeiter oft nicht oder nur unzureichend informiert, wie mit der IT-Infrastruktur umgegangen werden soll bzw. welche Verhaltensregeln zu beachten sind. «Unternehmer sind sich zwar bewusst, dass IT-Sicherheit ein wichtiges Thema ist, jedoch ist es vielfach so, dass der Stellenwert nicht hoch genug eingeschätzt wird», meint Projektleiter Andreas Duscha vom ECC Handel , einem Kompetenzzentrum des NEG, im Gespräch mit pressetext.
Hälfte der Unternehmen ohne Schulung und ohne Notfallpläne
Laut der Online-Untersuchung, an der sich 275 Unternehmen beteiligten, verzichtet die Hälfte der Unternehmen auf Mitarbeiterschulungen in Sicherheitsfragen. Zudem verfügt die Hälfte der befragten Unternehmen nicht über IT-Notfallpläne, die beispielsweise bei einem erfolgreichen Virenangriff eingesetzt werden könnten. Grund für den Schulungsmangel scheint insbesondere ein Informationsdefizit der Unternehmensführung zu sein, stellen die Autoren der Studie fest. So bekundet ein Fünftel der Befragten, sich noch nicht mit dem Thema auseinandergesetzt zu haben. Weitere 15 Prozent geben explizit an, über zu geringes Know-how zu verfügen.
Keine ganzheitliche Managementaufgabe
«Kleinere Unternehmen haben in den letzten Jahren versucht, ihre IT-Sicherheit zu erhöhen. Trotzdem bestehen weiterhin in zahlreichen Fällen grosse Sicherheitslücken. Viele Entscheidungsträger verengen das Thema auf den technischen Aspekt und betrachten es nicht als ganzheitliche Managementaufgabe. Eine erfolgreiche Sicherheitsstrategie benötigt jedoch immer die Unterstützung der Geschäftsführung und muss alle Mitarbeiter einbeziehen», so Duscha. Vor allem bei kleinen Unternehmen (unter zehn Mitarbeitern) müsse Know-how zur IT-Sicherheit aufgebaut werden – entweder durch den Unternehmer selbst oder durch einen Mitarbeiter. Kontinuierliche Weiterbildungen z. B. durch Fachliteratur oder bei Fremdunternehmen seien essentiell.
Stufenweise Mitarbeiterschulungen
Die Mitarbeiterschulungen sollten im besten Fall stufenweise erfolgen. «Zuerst ist es wichtig, die Verhaltensregeln gegenüber Personen sowie Geräten festzusetzen», führt Duscha aus. Beispielsweise geht es hierbei um die Verwendung von USB-Sticks an Firmenrechnern. Ein weiterer Schritt ist die Verwendung der IT samt Erläuterung der Gefahren, die aus dem Internet drohen. Schliessich sollten die Mitarbeiter über die verwendeten Schutzmassnahmen wie z. B. Firewall oder Spamfilter und entsprechende Reglementierungen detailliert informiert werden, empfiehlt Duscha. (pte/mc/pg)
