Der aktuelle Stand von IT-Security-Themen in "Cybersicherheit in Zahlen"
Bochum, Oktober 2024 - (von Stefan Karpenstein, Sicherheitsexperte bei G DATA CyberDefense) IT-Verantwortliche haben zurzeit zahlreiche Herausforderungen auf ihrer Agenda – Künstliche Intelligenz und Awareness-Schulungen sind nur zwei von vielen. Wie es etwa um den Wissenstand bei KI oder um Security Awareness Trainings steht, zeigt die aktuelle Studie "Cybersicherheit in Zahlen" von G DATA CyberDefense in Zusammenarbeit mit Statista und brand eins.
Künstliche Intelligenz (KI) ist derzeit überall präsent. Immer wieder zeigen uns neue Anwendungen, dass Unternehmen auf viele verschiedene Arten von KI profitieren können, um ihre Effizienz und Qualität zu steigern. Gleichzeitig diskutieren Experten, wie der Einsatz von KI reguliert werden kann, um Missbrauch zu verhindern und die Rechte von Personen zu schützen. Es gibt auch Bedenken, dass Cyberkriminelle KI für ihre Angriffe nutzen könnten. Angesichts der aktuellen Diskussionen stellen sich Fragen, wie gut Angestellte sich mit KI auskennen und welche Maßnahmen Unternehmen ergreifen sollten, um KI sicher zu nutzen. Antworten dazu liefert die aktuelle Studie "Cybersicherheit in Zahlen".
Die Umfrage zeigt, dass die meisten Befragten nur ein grundlegendes bis durchschnittliches Wissen über KI haben. Über 87 Prozent der Teilnehmenden schätzen ihr Wissen über KI als einfach oder eher durchschnittlich ein. Nur 13 Prozent der Befragten geben an, dass sie fortgeschrittene oder tiefgehende Fachkenntnisse besitzen. Aber nicht nur bei den Angestellten gibt es noch viel zu tun. Auch Unternehmen müssen noch einige Aufgaben erledigen. Dazu gehören Maßnahmen, um KI sicher zu nutzen. Eine davon ist das Schulen von Mitarbeiterinnen und Mitarbeitern.
Ein Drittel der Unternehmen verwendet bereits Verschlüsselungstechnologien bei KI-Anwendungen, um wichtige Daten zu schützen. Auch Richtlinien für den Umgang mit KI werden schon umgesetzt. Nur jedes zehnte Unternehmen verzichtet aktuell auf entsprechende Maßnahmen.
Kein Schutz ohne Security Awareness Trainings
Dass Cyberkriminelle immer wieder gezielt Menschen angreifen und persönliche Schwächen wie Gier, Neugier oder Zeitdruck ausnutzen, ist allgemein bekannt. Aber dieses menschliche Verhalten lässt sich nicht so einfach ändern. Es überrascht also nicht, wenn Menschen aus Neugier handeln und dabei möglicherweise die Sicherheit von Unternehmen gefährden. Fast 30 Prozent der Befragten haben bereits eine möglicherweise unsichere Webseite oder Datei geöffnet. 22,4 Prozent haben einen unbekannten QR-Code gescannt.
In diesem Zusammenhang spielen IT-Sicherheitsschulungen und Security Awareness Trainings eine wichtige Rolle, um das Bewusstsein der Mitarbeitenden für digitale Gefahren zu schärfen. Dabei zeigt sich, dass IT-nahe Branchen bei Awareness-Schulungen deutlich besser aufgestellt sind als andere Sektoren. So haben in der Finanz- und Versicherungsbranche 5,4 Prozent und in der Telekommunikations- und Informationsbranche 4,7 Prozent noch nie von einem Schulungsangebot zu Cybersicherheit gehört. Im Gesundheits- und Sozialbereich liegt der Anteil bei etwa einem Drittel.
Aber nicht nur zwischen den Branchen gibt es Unterschiede. Mit Blick auf die Unternehmensgröße gilt: Mit der Größe steigt auch die Bereitschaft, regelmäßig Schulungen durchzuführen. So sagen mehr als 43 Prozent der Befragten, die in einer Firma mit mehr als 1.000 Mitarbeitenden beschäftigt sind, dass regelmäßig Schulungen oder Veranstaltungen für alle stattfinden. In Unternehmen mit 100 bis 249 Angestellten erhält nur jede und jeder Vierte regelmäßig Trainings rund um IT-Sicherheit. Dafür haben in dieser Gruppe mehr als 27 Prozent der Befragten noch nie von einem derartigen Angebot in ihrem Unternehmen gehört. Bei großen Firmen liegt der Anteil deutlich niedriger (17,6 Prozent).
Umfangreiches IT-Sicherheitswissen nötig
Security Awareness umfasst viele Themenfelder. Es reicht nicht aus, die Mitarbeitenden mit einem Rundschreiben oder einem Youtube-Video über aktuelle Phishing-Mails zu informieren. Welche Bereiche dazugehören, hat die Studie erforscht und gefragt, wo bei den Kolleginnen und Kollegen die größten Wissenslücken in Bezug auf IT-Sicherheit bestehen. Die Ergebnisse zeigen zahlreiche Themenfelder.
Neben Phishing und der Nutzung von Künstlicher Intelligenz nennen die Befragten auch Mobile Sicherheit, Cloud-Security und Malware/Ransomware, wo sie Unwissenheit im direkten Umfeld sehen. Aber auch Identitätsmanagement, Netzwerksicherheit sowie Grundlagen der IT-Sicherheit und Patch-Management sind aus Sicht der Befragten wichtige Themen für Security Awareness Trainings.
Eine weitere Frage, die neben IT-Verantwortlichen auch Personalverantwortliche und Zuständige für Fortbildungen interessiert, ist die, nach den passenden Formaten zum Wissensaufbau. So fordern mehr als 43 Prozent der Befragten regelmäßige Schulungen für die gesamte Belegschaft. Dass es in vielen Unternehmen auch mehr Budget erfordert, zeigt sich daran, dass vier von zehn Personen sich einen größeren Etat wünschen.
Interessant ist, dass sich 38 Prozent ein Belohnungs- und Anreizsystem für Mitarbeitende wünschen, die sich aktiv an der Verbesserung der IT-Sicherheit beteiligen. Eine sicherlich sehr wirkungsvolle Maßnahme. Darüber hinaus wünschten sich viele Befragte mehr Zeit zur Vorbereitung und Durchführung von Schulungen beziehungsweise Möglichkeiten zur Zertifizierung und Weiterbildung der Mitarbeitenden.
Defizite erkennen und angehen
Wie eingangs erwähnt, ist die Zahl der Handlungsfelder groß. Sicherlich muss nicht jedes Unternehmen in allen Bereichen aktiv werden und handeln. Aber eine genaue Analyse der IT-Sicherheitsstrategie hat noch niemandem geschadet. Wer jetzt eine Bestandsaufnahme macht und dabei das Thema Awareness Trainings in den Blick nimmt, macht den ersten Schritt, um sich besser gegen Cyberattacken abzusichern. Dabei sollten sich alle bewusst sein, dass der Kampf gegen kriminellen Hacker niemals endet. Also darf auch das eigene Bemühen um die bestmögliche Absicherung kein Ende finden.
Cybersicherheit in Zahlen zum Download
"Cybersicherheit in Zahlen" erscheint bereits zum vierten Mal und zeichnet sich durch eine hohe Informationsdichte und besondere methodische Tiefe aus: Die Researcher und Marktforscher von Statista haben Zahlen, Daten und Fakten aus mehr als 300 Statistiken zu einem einzigartigen Gesamtwerk zusammengeführt. Mehr als 5.000 Arbeitnehmerinnen und Arbeitnehmer in Deutschland wurden im Rahmen einer repräsentativen Online-Studie zur Cybersicherheit im beruflichen und privaten Kontext befragt.
Die Fachleute von Statista haben die Befragung eng begleitet und können dank einer Stichprobengröße, die weit über dem branchenüblichen Standard liegt, belastbare und valide Marktforschungsergebnisse im Magazin "Cybersicherheit in Zahlen" präsentieren.