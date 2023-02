Kommunikationshürden können die Abwehrbereitschaft behindern. Denn die IT-Security-Branche pflegt – durchaus selbstverschuldet – ein von zahllosen Abkürzungen und Fremdwörtern geprägtes Fach-Chinesisch (oder besser: Fach-„Denglisch“), das für Außenstehende oft allzu unverständlich bleibt. Wenn aber die Führungsriege das IT-Risiko nicht versteht, kann man es ihr dann verübeln, dass sie für die Abwehr nicht genügend Mittel bereitstellt? Auf dieses Sicherheitsrisiko weist ein aktueller Kaspersky-Report hin.

Wer IT nutzt (und welches Unternehmen kommt heute noch ohne IT aus?), der lebt gefährlich: Laut einer Kaspersky-Umfrage vom letzten Herbst waren rund jeder vierte Mittelständler (26 Prozent) und fast zwei von drei Großunternehmen (59 Prozent) in den zwölf Monaten zuvor mit zunehmenden Cyberangriffen konfrontiert. 47 Prozent der Befragten aus Deutschland gaben an, dass Cyberangriffe die größte Bedrohung für die Geschäftskontinuität darstellen. Für den Report befragte Kaspersky im September letzten Jahres 1.800 Entscheidungsträger in Unternehmen mit mehr als 1.000 Beschäftigten in zwölf europäischen Ländern, darunter jeweils 100 aus Deutschland und Österreich sowie 50 aus der Schweiz.

Die gute Nachricht: Praktisch alle Befragten (99 Prozent) aus den Chefetagen der Unternehmen waren sich bewusst darüber, wie oft ihr Unternehmen zum Ziel von Cyberangriffen wird. Die schlechte: Laut der Hälfte (48 Prozent) der befragten C-Level-Sicherheitsfachleute stellen Cybersecurity-Fachjargon und verwirrende Branchenbegriffe für die Führungsetage das größte Hindernis beim Verständnis von Cybersicherheit und den Umgang damit dar. So finden 46 Prozent der Führungskräfte in deutschen Unternehmen laut der Umfrage grundlegende Security-Fachbegriffe verwirrend.

Zum Security-Slang, der für Verwirrung sorgt, zählen zum Beispiel die Begriffe IoC (Indicator of Compromise, Hinweis auf eine Sicherheitsverletzung, 56 Prozent) oder Yara (ein Malware-Forschungs-Regelwerk, 54 Prozent), aber auch Ransomware (Erpressungssoftware, für immerhin 38 Prozent). Das Akronym „Yara“ steht übrigens für „Yet Another Ridiculous Acronym“ (Schon wieder ein albernes Akronym).

Bedenklich: Budgetbeschränkungen (44 Prozent) und unzureichende Schulungen (46 Prozent) zählen hierzulande zu den größten Hindernissen für das Verständnis von Cybersicherheit in der Führungsetage. Erschwerend kommt laut dem Report hinzu, dass in den Unternehmen oft nicht eindeutig definiert ist, wer in den Vorstandsmeeting die aktuellen Bedrohungsdaten vorstellt. Eine eindeutige Rollenverteilung fehle, Beschäftigte mit unterschiedlichen Positionen und Rollen seien für die Präsentation der Ergebnisse zuständig: Laut den Befragten übernimmt diese Aufgabe bei ihnen (Mehrfachnennungen waren möglich) der IT-Manager (50 Prozent), ein externer Sicherheitsanbieter (49 Prozent) oder der CISO (48 Prozent).

„Unsere Umfrage zeichnet das Bild einer Führungsriege, die Unterstützung dabei braucht, Sicherheitsbedrohungen zu verstehen, mit denen ihre Unternehmen tagtäglich konfrontiert werden“, kommentiert David Emm, Senior Security Researcher bei Kaspersky. Denn die Bedrohungslandschaft sei extrem komplex und entwickle sich ständig weiter. In ihr agierten einige der am höchsten motivierten und technologisch fortschrittlichsten Cyberkriminellen der Welt, so Emm.

Der Kaspersky-Experte plädiert für eine umfassendere Aggregation von Bedrohungsinformationen – oder eben, im Fach-Denglisch, „Threat Intelligence“: „Unternehmen benötigen einen mehrschichtigen Ansatz für Cybersicherheit, der öffentlich zugängliche Quellen und Social-Media-Awareness mit verwertbaren Erkenntnissen aus dem Dark Web kombiniert.“

Doch in puncto Cybersicherheit tappen die Business-Entscheider eben leider allzu oft im Dunklen. Vielleicht ist das ja dieses „Dark Web“, von dem der CISO dauernd redet?