Mangelnde Fehlerkultur - Schnitzer sind in der IT nicht erlaubt

Vier Fünftel der Arbeitenehmer in Deutschland müssen mit beruflichen Folgen rechnen, wenn sie durch einen Fehler die Cybersicherheit im Unternehmen gefährden. In einigen Fällen würden IT-Entscheider den entsprechenden Mitarbeitern sogar kündigen. Diese Erkenntnisse gehen aus der aktuellen Kaspersky-Studie: "Incident Response zur Prävention - Warum Unternehmen in Deutschland schlecht auf Cyberangriffe vorbereitet sind   " hervor.

Eine gute Fehlerkultur, wenn es um cybersicherheitsrelevantes Verhalten geht, ist ein Schlüsselfaktor in der präventiven Cyberabwehrstrategie von Unternehmen. Bei einem erfolgreichen Phishing-Versuch ist es beispielsweise essenziell, dass dieser umgehend und umfassend gemeldet wird, um Folgeschäden zu minimieren.

Allerdings zeigt die Kaspersky-Studie Defizite beim Umgang mit Fehlverhalten in einigen Unternehmen in Deutschland. Zwar geben 67,5 Prozent an, ihr Unternehmen verfüge über eine gute Fehlerkultur. Jedoch sagen lediglich 19,5 Prozent, dass Mitarbeiter bei einem Fehlverhalten keine Konsequenzen zu fürchten hätten.

Teils drastische Konsequenzen für kleine Fehler

Im Rahmen der Studie hatten die befragten IT-Entscheider auch die Gelegenheit, die möglichen Auswirkungen eines fehlerhaften Verhaltens von Mitarbeitern zu beschreiben, das die Cybersicherheit des Unternehmens gefährden könnte. Dabei zeigte sich, dass Mitarbeitern, die auf eine Phishing-EMail hereinfallen oder auf einen Malware-Link klicken, teils drastische Konsequenzen drohen. So tauchten in den offenen Antworten Aussagen wie "wird gefeuert", "bekommt eine Abmahnung" oder "werden zur Rechenschaft gezogen" auf. Müssen Mitarbeitende bei einem Fehlverhalten Konsequenzen fürchten, werden sie jedoch weniger geneigt sein, offen damit umzugehen und den Vorfall an einen Vorgesetzten beziehungsweise IT-Beauftragten melden.

Ein Teil der IT-Entscheider würde bei einem Fehlverhalten auf Schulungen und Trainings setzen, um das Bewusstsein für Bedrohungen und Schutzmaßnahmen zu stärken: "Es werden entsprechende Schulungen für den Mitarbeiter gemacht, bei einmalige[n] Fehlern ...", "Es werden Gespräche geführt und geprüft ob eine neue Schulung angesetzt werden muss", oder es findet die "Unmittelbare Kontaktaufnahme, Schulung, Sensibilisierung des Mitarbeiters" statt.

"Eine gute Fehlerkultur im Unternehmen ist essenziell, damit Mitarbeiter Sicherheitsvorfälle sofort melden, denn bei einem IT-Sicherheitsvorfall kommt es auf eine schnelle Reaktion an", erklärt Kai Schuricht , Lead Incident Response Specialist bei Kaspersky. "Wenn Mitarbeiter mit Konsequenzen rechnen müssen, ist die Wahrscheinlichkeit hoch, dass sie Vorfälle unterschätzen oder verschweigen. Allerdings ist es wichtig, dass Verantwortliche zeitnah über Fehlverhalten oder Fehler informiert werden, um den Schaden so gering wie möglich zu halten, indem effizient auf die Attacke reagiert wird."