“Cybersicherheit in Zahlen” – Studie zur IT-Sicherheit bei Banken und Sparkassen: Gut, aber nicht gut genug
von Tim Berghoff, Security Evangelist der G Data CyberDefense
Banken und Sparkassen sind ein reizvolles Ziel für Cyberkriminelle. Allein 2019 sind Finanzdienstleistern weltweit nach Schätzungen der Beratungsfirma Accenture im Zuge von Angriffen 310 Milliarden Euro Umsatz entgangen. Damit zählt die Branche zu den Sektoren mit den größten Einbußen – neben der Hightech- und Automobilbranche sowie dem Gesundheitssektor.
Tim Berghoff ist Security Evangelist der G Data CyberDefense AG (Webseite). In seiner Position bei G Data bildet er die Schnittstelle zwischen technischer Komplexität und dem Anwender. Er ist zuständig für eine klare Kommunikation von G Data in der Sicherheits-Fachwelt, bei Presse, Händlern, Resellern und Endkunden und er spricht häufig auf nationalen und internationalen Veranstaltungen. Tim Berghoff arbeitet seit 2009 bei G Data, erst im Support für Unternehmenskunden, später im Consulting für internationale B2B-Distributoren, Partner und Endkunden49 Prozent der Teilnehmer aus der Finanzbranche schätzen das Risiko, dass ihr Arbeitgeber Ziel einer Cyberattacke wird, als hoch beziehungsweise sehr hoch ein.”
Im Branchendurchschnitt liegt der Anteil nur bei 32 Prozent. Insgesamt zeigt die Umfrage, dass in vielen Fragen die Angestellten bei der IT-Sicherheit besser informiert und kompetenter sind als andere Branchen. Aber: Verbesserungspotenzial ist vorhanden.
Wissen schafft Sicherheit
Überdurchschnittlich gut sind die persönlichen Kompetenzen der Befragten beim Thema IT-Sicherheit. 52 Prozent schätzen ihr Wissen als groß beziehungsweise sehr groß ein. Über alle Branchen hinweg ist es nur jeder Dritte, der sich sehr große oder große IT-Sicherheitskompetenz zuspricht. Bei dieser Frage zählt der Finanzbereich zu den Top-5-Branchen der Umfrage. Und auch am unteren Ende der Skala schneiden die Mitarbeiter besser ab. Hier schätzen nur 16 Prozent ihre IT-Sicherheitskompetenz als gering ein. Über alle Branchen hinweg sind es 25 Prozent.
G Data/Destatis
Aber was genau verbirgt sich hinter dem recht abstrakten Begriff IT-Sicherheitskompetenz? Welches Wissen und welche Fähigkeiten haben Angestellte in Banken und Sparkassen? Jeder Zweite sichert seine internetfähigen Geräte durch entsprechende Tools und Programme ab und jeder dritte Befragte informiert sich regelmäßig über aktuelle Themen und Trends im Bereich IT-Sicherheit. 44 Prozent wissen, was die Berechtigungen bedeuten, die die Apps auf einem Smartphone anfordern, und 58 Prozent kennen die Funktion einer Firewall. Das Wissen reicht aber noch weiter. 46 Prozent geben an, dass sie die wichtigsten Schutzprogramme auf dem eigenen Dienstrechner kennen. Und jeder Vierte ist aufgrund seines Wissens häufig Ansprechpartner für Familie oder Freunde, wenn jemand im privaten Umfeld eine Frage zur IT-Sicherheit hat.
Nachholbedarf bei Schutzmaßnahmen
Ein anderes Bild offenbaren Angestellte bei der Frage, welche Schutzmaßnahmen sie am beruflichen Computer umsetzen. Hier zeigt sich großer Nachholbedarf, denn keine der abgefragten Maßnahmen wird von mehr als der Hälfte der Studienteilnehmer genutzt. So führen nur 47 Prozent der Befragten Sicherheits-Updates durch und ebenso viele sichern ihre Daten regelmäßig. Eine Firewall kommt bei 48 Prozent zum Einsatz und 42 Prozent nutzen ein kostenpflichtiges Antiviren-Programm. Weitere 16 Prozent verlassen sich auf ein kostenfreies Antiviren-Programm. Nur jeder Dritte gibt an, sichere, einzigartige Passwörter für seine Dienste zu verwenden. Eine Zwei-Faktor-Authentifizierung nutzen gerade einmal 38 Prozent. Dabei lässt sich gerade mit einzelnen Maßnahmen die Sicherheit der digitalen Assets signifikant verbessern.
Warum Angestellte also auf Sicherheitsmaßnahmen verzichten, lässt sich nur vermuten. Allerdings fühlen sie sich durch die bestehenden Maßnahmen im beruflichen Alltag schon gut abgesichert. 82 Prozent der Befragten geben ein gutes beziehungsweise sehr gutes Schutzgefühl an. Ein Wert, der deutlich über dem Branchendurchschnitt (74 Prozent) liegt.
Wer hilft, wenn´s brennt?
Cyberkriminelle nutzen vielfältige Wege, um Netzwerke zu infiltrieren: Gut gemachte Phishing-Mails, fehlende Patches oder ein USB-Stick dienen dabei immer wieder als Türöffner. Umso entscheidender ist es, dass Mitarbeiter frühzeitig bei Verdachtsfällen reagieren. Grundsätzlich sagt aber jeder zweite Angestellte, dass IT-Sicherheit für sie kein Thema sei, sondern sich Experten darum kümmern sollen.
G Data/FBI
Daher ist die Studie auch der Frage nachgegangen, was Mitarbeiter in Banken und Sparkassen als Erstes im Büro machen würden, wenn ihnen eine verdächtige, sicherheitsrelevante Situation im Internet auffällt (z.B. beim Arbeiten mit Browser, Internet-Programmen, E-Mails), bei der sie unsicher sind. Die gute Nachricht: Ein Großteil der Befragten wendet sich an einen Kollegen (14 Prozent), an den eigenen Chef (15 Prozent) oder an die IT-Abteilung (46 Prozent). Die schlechte Nachricht: Vier Prozent versuchen, das Problem trotz Unsicherheiten selbst zu lösen. Weitere zwei Prozent ignorieren das Programm, weil sie dem Sicherheitsprogramm vertrauen. Und genau diese sechs Prozent der Mitarbeitenden spielen mit ihrem Verhalten Cyberkriminellen in die Karten. Statt einem Verdachtsfall zu melden und unter Umständen eine Cyberattacke frühzeitig zu unterbinden, kann ihr Verhalten dazu führen, dass sich die Angreifer ungestört im Netzwerk verbreiten können und Schadsoftware installieren oder unternehmenskritische Daten abgreifen.
Auch bei anderen Fragen zum Thema IT-Sicherheit und sicherheitsrelevante Themen beweisen die Angestellten der Finanzbranche ein solides Wissen und bestehendes Vertrauen in ihre Arbeitgeber. So haben 36 Prozent der Befragten keine Angst davor, einen Fehler im Bereich der IT-Sicherheit zuzugeben (Branchendurchschnitt 31 Prozent).
Gerade beim Thema IT-Sicherheit braucht es unbedingt eine Firmenkultur, die Mitarbeiter schützt, wenn ihnen ein Fehler unterläuft und sie beispielsweise auf eine Phishing-Mail geklickt haben.”
Angestellte bloßzustellen, ist der falsche Weg und führt dazu, dass andere Opfer versuchen werden, ihre Fehler zu vertuschen. Nur wer offen über dieses Verhalten spricht und es nicht sanktioniert, schafft innerhalb der Belegschaft ein Bewusstsein für das bestehende Risiko. Daher gehen 67 Prozent der Befragten auch davon aus, dass sich der eigene Arbeitgeber gegenüber einem Mitarbeiter korrekt verhält, wenn sie einen IT-Sicherheitsschaden verursacht haben.
Das Magazin “Cybersicherheit in Zahlen” gibt es zum Download unter diesem Link.
Aktuelle IT-Vorfälle zeigen, dass Notfallpläne ein integraler Bestandteil der IT-Sicherheitsstrategie sind, falls Cyberkriminelle die bestehenden Schutzmaßnahmen überwinden oder eine bestehende Schwachstelle ausnutzen. Ein Notfallplan macht aber nur Sinn, wenn die Angestellten diesen kennen und auch umsetzen. Aber nur 34 Prozent der befragten Mitarbeiter aus Banken, Sparkassen oder Finanzdienstleistern wissen im Falle einer sicherheitsrelevanten Situation genau, was zu tun ist, um eine bestmögliche Schadensbegrenzung zu ermöglichen. Da ist es ein schwacher Trost, dass auch dieser Wert über dem Branchendurchschnitt von 27 Prozent liegt. Denn die Kehrseite der Medaille lautet:
Zwei von drei Bankangestellten verhalten sich bei einem IT-Sicherheitsvorfall falsch, weil sie nicht wissen, was die richtige Reaktion ist.”
Man stelle sich vor, die Angestellten wüssten nicht, wie sie bei einem Feuer reagieren, weil sie die Notausgänge nicht kennen. Es überrascht also nicht, wenn jeder zehnte Befragte zugibt, schon einmal einen Sicherheitshinweis ignoriert zu haben.
Vertrauen in den Arbeitgeber
Die Umfrage kommt zu dem Schluss, dass Mitarbeitende aus der Finanzbranche ihren Arbeitgebern überdurchschnittlich viel Vertrauen entgegenbringen. So vertrauen 40 Prozent der Befragten darauf, dass die installierten beziehungsweise angewendeten IT-Sicherheitsmaßnahmen ordnungsgemäß funktionieren und sie gut schützen. 80 Prozent verlassen sich darauf, dass ihr Arbeitgeber den bestmöglichen IT-Schutz im Büro umsetzt (Branchendurchschnitt: 73 Prozent). 76 Prozent gehen davon aus, dass das eigene Institut entsprechende Vorkehrungen getroffen hat und durch entsprechende Endpoint-Protection-Lösungen gut vor einem Cyberangriff geschützt ist.
G Data/Bundeskriminalamt
Und wie sieht es im Schadensfall mit dem Vertrauen aus? Mehr als zwei Drittel der Befragten gehen davon aus, dass Banken, Sparkassen oder Finanzdienstleister einen IT-Sicherheitsvorfall umgehend beheben. Ebenso viele Angestellte erwarten, dass der eigene Arbeitgeber große IT-Sicherheitsvorfälle an alle Mitarbeiter kommuniziert. Dabei braucht es nicht nur einen Kommunikationsplan als Bestandteil der Notfallpläne, sondern auch einen offenen und transparenten Stil.
Neben der Datensicherheit ist auch der Datenschutz von zentraler Bedeutung für Finanzinstitute. Auch hier ist ebenfalls ein großes Vertrauen in die Arbeitgeber erkennbar – mit Luft nach oben. Fast 70 Prozent gehen davon aus, dass der Arbeitgeber mit den persönlichen Daten seiner Angestellten ordnungsgemäß gemäß DSGVO handelt. Im Falle eines Datenlecks vertrauen mehr als zwei Drittel der Befragten darauf, dass die Institute informieren, wenn persönliche Daten der Angestellten an einen unbefugten Dritten gelangt sind.
Abschließend sprechen sich mehr als 60 Prozent der Befragten aus der Finanzbranche dafür aus, dass IT-Sicherheit in ihrem Unternehmen einen höheren Stellenwert einnehmen sollte als bisher. Ansätze dafür lassen sich auch in der Studie finden. So reicht es nicht mehr aus, allein auf moderne Schutztechnologien zu setzen.
Banken, Sparkassen und Finanzdienstleister tun gut daran, ihre Mitarbeiter als festen Bestandteil in ihre IT-Sicherheitsstrategie zu integrieren.”
Genauso, wie jeder Angestellte den Notfallplan für eine Evakuierung bei einem Feuer oder grundlegende Erste-Hilfe-Maßnahmen kennt, sollte es auch bei grundlegenden IT-Sicherheitskenntnissen sein.
Die Studie können Sie nach Registrierung hier herunterladen.Tim Berghoff, G Data
Sie finden diesen Artikel im Internet auf der Website:
https://itfm.link/131074
Schreiben Sie einen Kommentar