Einer Befragung von G DATA CyberDefense zufolge sind knapp ein Fünftel aller Entscheider in kleinen Unternehmen der Ansicht, dass ihre Mitarbeiter auch ohne IT-Sicherheitstrainings auskommen können. Von den befragten großen Unternehmen ist kein einziger Entscheider dieser Auffassung. Wie kann es zu einer so unterschiedlichen Bewertung der Gefahrenlage kommen?
Kleine Unternehmen verlassen sich zu oft auf ihr Glück: „Bisher ist mir ja noch nichts geschehen“
Je kleiner das Unternehmen ist, desto weniger Mitarbeiter empfangen und versenden jeden Tag Daten und E-Mails – logisch. Die geringere Frequenz des Datenaustauschs beeinflusst natürlich auch die statistische Wahrscheinlichkeit, Opfer eines Cyberangriffs zu werden.
Daraus resultiert ein verhängnisvolles Sicherheitsgefühl, das zu einer Unterschätzung des tatsächlichen Risikos führt. Dies ist auf einen psychologischen Effekt, den sogenannten „Normalcy Bias“ (Normalitätsbias) zurückzuführen und kann zu fatalen Fehlentscheidungen verleiten.
Denn jeder einzelne Mitarbeiter einer kleinen Firma hat statistisch gesehen das gleiche Risiko, auf eine Phishing-E-Mail hereinzufallen, wie der Kollege bei einem global agierenden Großunternehmen. Die Wahrscheinlichkeit ist sogar höher, da der Kollege von der großen Konkurrenz in regelmäßigen Abständen Sicherheitstrainings absolviert.
Kleine Unternehmen haben kleine IT-Abteilungen – bei einem Vorfall bedeutet das meist große Probleme
Wer sich in vermeintlicher Sicherheit wiegt, investiert nicht nur weniger in die Prophylaxe, sondern hat meistens auch keinen Plan für den Notfall. Sollte es doch einmal brennen, kann der Schaden schnell existenzbedrohende Ausmaße annehmen. Es macht beispielsweise einen riesigen Unterschied, ob man während und nach einem Cyberangriff ein Frühwarnsystem oder Datenbackup vorhalten kann.
Doch in Firmen mit geringer Beschäftigtenzahl gibt es oft nur einen einzigen IT-Verantwortlichen, der die meiste Zeit des Tages mit der Verwaltung von Zugängen oder der Behebung alltäglicher Probleme des IT-Betriebs verbringt. Kommt es hart auf hart, wird ein einzelner IT-Experte schnell von der Ausnahmesituation überfordert.
Umso wichtiger ist es für kleine und mittelständische Unternehmen, dass alle Mitarbeiter am gleichen Strang ziehen und mit allen erforderlichen Kenntnissen zur aktuellen Gefahrenlage im Internet ausgestattet sind.
Der ungeschulte Mitarbeiter ist Haupteinfallstor für Cyberangriffe – ein geschulter Mitarbeiter ist der stärkste Verbündete im Kampf dagegen
Es ist immer schwer sich den Nutzen von Sicherheitsmaßnahmen vor Augen zu führen. Schließlich passiert ja nichts. Damit das auch in Zukunft so bleibt, ist es von entscheidender Bedeutung seine Mitarbeiter in regelmäßigen Trainings auf die Gefahren vorzubereiten, die im Internet auf sie lauern.