Fast täglich machen Cybersicherheitsvorfälle in Unternehmen, Behörden oder anderen Organisationen...
„Es besteht kein `Maßnahmenmangel`, sondern ein `Umsetzungsmangel`“ – so das BSI zur Lage der Cybersicherheit in einem Beitrag auf Linkedin.
Woran aber scheitert die Umsetzung von sicherheitsstiftenden Maßnahmen in deutschen Unternehmen?
Spürbar nützlich und einfach
Innerhalb der Wirtschaftsinformatik existiert ein Modell, das sich sozio- und psychologischer Komponenten bedient und dabei die Nutzungsabsicht von Technologien innerhalb einer Organisation untersucht. Das sogenannte „Technologieakzeptanzmodell“ (TAM) geht davon aus, dass die beiden Faktoren „wahrgenommener Nutzen“ und „wahrgenommene Einfachheit der Verwendung“ maßgeblichen Einfluss auf die Nutzungsabsicht und das Nutzungsverhalten von Anwendern hat. Das Konzept wurde zudem weiterentwickelt. Die zweite Version des TAM bezieht beispielsweise auch die „subjektive Norm“ und die „Freiwilligkeit der Nutzung“ mit ein.
Die beiden Faktoren wahrgenommener Nutzen sowie wahrgenommene Einfachheit werden ihrerseits jeweils von externen Variablen beeinflusst.
Der Logik des TAM zufolge müssen Unternehmen demnach also dafür sorgen, dass ihre Mitarbeiter Security Lösungen sowohl als einfach als auch als nützlich empfinden, um sicherzustellen, dass diese tatsächlich Anwendung finden.
Üblicherweise koordinieren die jeweiligen IT-Abteilungen den Einsatz von Soft- oder Hardware im Unternehmen. Ist das nicht der Fall, also wenn Mitarbeiter ohne das Wissen und die Beaufsichtigung der Experten bestimmte Technologien einsetzen, spricht man von „Schatten-IT“. Nutzer entscheiden sich häufig dafür, da sie entweder nicht auf die Genehmigung der IT-Abteilungen warten möchten, um eine bestimmte Technologie zu nutzen, oder aber, weil sie die selbst gewählte Alternative als passender empfinden.
Das birgt allerdings erhebliche Risiken für Unternehmen. Da die Soft- oder Hardware nicht von der IT geprüft und verwaltet wird, kann diese besonders gut als Einfallstor für Cyberattacken verwendet werden. Interne Spezialisten bekommen hiervon erst viel zu spät mit, da sie von Anfang an nicht in Kenntnis gesetzt wurden.
Der Einsatz von Schatten-IT verdeutlicht die Notwendigkeit Nutzen und Einfachheit von Technologien intern klar darzustellen und beim Einführen neuer Software für die Anwender wahrnehmbar zu gestalten. Vereinfacht kann man sagen, dass Schatten-IT, mit all den Risiken für die Cybersicherheit, ein Resultat aus mangelnder Technologieakzeptanz von Mitarbeitern ist.
Uniqkey zufolge nutzten in 2020 80% der Mitarbeiter SaaS Lösungen, ohne diese von der IT freigeben zu lassen.
Neben der allgemeinen Aufklärung über IT-Security und der Sensibilisierung von Mitarbeitern, müssen also auch die jeweiligen Technologien selbst verständlich, nachvollziehbar und wahrnehmbar bezüglich deren Nutzen und Verwendungseinfachheit eingeführt werden! Das verlangt klare Prozesse zur Einführung von Soft- und Hardware in Unternehmen, die jeweils sicherstellen, dass Mitarbeiter keinen Weg suchen, um die Security Lösung herum zu arbeiten.
Hier kann eine gelebte Sicherheitskultur einen positiven Einfluss auf die Technologieakzeptanz nehmen, da diese zur subjektiven Norm beiträgt und somit einen direkten Einfluss auf die wahrgenommene Nützlichkeit sowie auf das Nutzungsverhalten nimmt.
Nicht nur die äußere Bedrohungslage ist komplex. Auch der interne Umgang mit der Problematik zeichnet sich häufig durch (unnötige) Komplexität aus, indem das Sicherheits-Stack nicht ideal geplant und/oder umgesetzt wird.
In einer Studie zur globalen Informationssicherheit von Fastly kommen diese zum Ergebnis, dass in 2023 nur die Hälfte (55%) der Cybersicherheitstools in Unternehmen in vollem Umfang genutzt wurden. Außerdem schützen ganze 41% der verwendeten Tools jeweils vor denselben Bedrohungen. Das führt unter anderem dazu, dass ein gutes Drittel (34%) der Sicherheitswarnungen in 2023 auf Fehlalarme zurückzuführen waren. Fehlalarme nehmen damit einen relativ großen Anteil der verfügbaren Zeit von Sicherheitsteams ein.
