Die kleinen und mittelständischen Unternehmen in Europa schludern bei der Aufklärung über IT-Sicherheit. Die Zahlen untermauern das eindeutig: Kümmerliche 32 Prozent der Firmen schulen neue Mitarbeiter. Richtlinien für Inhalte und Wortwahl von E-Mails gibt es nur in 39 Prozent der Unternehmen. Die mobile Nutzung von Laptops außerhalb der eigenen vier Wände regelt nicht einmal jede vierte Firma.
Das Problembewusstsein ist laut Selbsteinschätzung der Befragten zwar größer als vor drei Jahren. Der Umgang mit den überall lauernden Risiken bleibt trotzdem fahrlässig.
Selbst dort, wo die Mitarbeiter-Schulung Priorität genießt, sind etwa die Informationen über Regeln beim alltäglichen Surfen im Internet dürftig. "Die Unternehmen versäumen eine Chance, gerade über die Neuangestellten schrittweise Wachsamkeit und Sicherheitsbewusstsein in der Belegschaft aufzubauen", bedauert Greg Day, Sicherheits-Analyst bei Mc Afee. Und nicht nur das, schließlich steht auch das wichtige Gut Vertrauen zwischen Arbeitnehmern und Arbeitgebern auf dem Spiel.
Was das für ein Spiel ist, stellen die Analysten schonungslos fest: Schwarzer Peter. 67 Prozent der Firmen sehen bei einem Laptop-Klau den Arbeitnehmer in der Verantwortung. Dass eigene Versäumnisse ebenfalls eine Ursache und Mitarbeiter deswegen unfairen Gefahren ausgesetzt sind, blenden sie aus.
Bekanntlich ist mit einer unbedachten E-Mail schnell ein Kundenvertrag verletzt. Mc Afee’s unmissverständliche Botschaft: "Die Arbeitgeber sollten auch zur Kenntnis nehmen, dass juristische Präzedenz-Fälle in Europa geschaffen worden sind, die erhebliche Zahlungen seitens der Arbeitgeber für E-Mail-Nachrichten von Mitarbeitern zur Folge hatten."
Klar definieren, was nicht unter die Aufsichtspflicht fällt
Der Rat an die Unternehmen: klar definieren, wofür Arbeitnehmer verantwortlich sind und was unter die Aufsichtspflicht des Arbeitgebers fällt. In der Praxis herrscht hier offenkundig ein Kommunikationsdefizit vor. Fast drei Viertel der Befragten überprüften nach eigener Aussage im vergangenen Jahr ihre Richtlinien zur Erstschulung - so weit, so gut.
Nach der Einführung verschwinden die Regeln aber meist in für die Mitarbeiter unzugänglichen Schubladen. Nur jede dritte Firma stellt die Informationen ins Intranet oder in einen Shared Folder.
Leider ist auch Kontrolle eine Medaille mit zwei Seiten. 72 Prozent der Unternehmen glauben, dass sich die Belegschaft über im Vergleich zu früher engere Überwachung bewusst ist. Uneinig sind sie sich über die Auswirkungen fürs Gefüge. Schaffen solche Maßnahmen Vertrauen oder untergraben sie es? Beiden Sichtweisen stimmen jeweils knapp 30 Prozent zu. Analyst Day rät zu Behutsamkeit: "Vertrauen ist ein extrem wichtiger Faktor, und unangenehme Prozesse können sich negativ darauf auswirken."
Heruntergebrochen auf die einzelnen Länder ergibt sich für Deutschland kein erfreuliches Bild. Nirgendwo sind die Einführungsveranstaltungen kürzer - in 36 Prozent der Fälle dauern sie weniger als drei Stunden. Zum Vergleich: In Spanien nehmen sich fast genauso viele Firmen zwei Tage Zeit dafür.
Eine Haftungsausschluss-Klausel hängt in Deutschland nur ein Drittel der Firmen an seine Mails an - in Großbritannien und den Niederlanden sind es weit über 60 Prozent. Dafür, immerhin, achten deutsche Unternehmen mit am meisten darauf, dass die IT-Sicherheit in den Einführungen behandelt wird.
Empfehlung: Beauftragte für virtuelle Sicherheit
Fünf Dinge empfiehlt Mc Afee in einer Sicherheits-Checkliste: vorhandenes Schulungs-Material überprüfen, Informiertheit der Mitarbeiter in Sachen Sicherheit testen, Verantwortlichkeiten klar regeln, Feedback von unabhängigen Dritten einholen und Beauftragte für virtuelle Sicherheit ernennen.
Für die Studie "Employee Education Gap“ befragten die britischen Marktforscher Loudhouse Research im Auftrag von Mc Afee 1.000 Unternehmen mit 50 bis 250 Mitarbeitern in Großbritannien, Deutschland, Frankreich, Italien, Spanien und den Niederlanden.