Unternehmen haben großen Nachholbedarf beim Thema Security Awareness
Bochum, Oktober 2023 - (von Christian Laber, Head of eLearning Development der G DATA academy bei G DATA CyberDefense) Die Rolle von Mitarbeitenden in Bezug auf IT-Sicherheit hat sich verändert. Die Zeiten, in denen Unternehmen ihre Angestellten nur als Sicherheitsrisiko betrachtet haben, sind glücklicherweise vorbei. Immer mehr Firmen setzen auf Human Centered Security. Doch wie steht es zurzeit um den Faktor Mensch bei der IT-Sicherheit? Antworten liefert die aktuelle Studie "Cybersicherheit in Zahlen" von G DATA CyberDefense in Zusammenarbeit mit Statista und brand eins.
Mittlerweile haben viele Führungskräfte erkannt, dass Mitarbeitende beim Thema IT-Sicherheit nicht das Problem, sondern Teil der Lösung sind. Mit dem richtigen Verhalten können sie Cyberangriffe frühzeitig verhindern. Eine aktuelle Zahl des Branchenverbandes Bitkom bestätigt die wichtige Rolle des Personals bei der IT-Sicherheit. Der Bitkom-Studie folgend, berichtet jedes zweite deutsche Unternehmen davon, dass es Versuche gab, Mitarbeitende mittels Social Engineering zu beeinflussen.
Vor diesem Hintergrund rücken verschiedene Fragen in den Fokus: Wie gut (oder schlecht) sind die IT-Sicherheitskompetenzen des Personals? Übernehmen Angestellte Verantwortung bei der IT-Sicherheit? Antworten liefert die aktuelle Studie "Cybersicherheit in Zahlen". Bereits zum dritten Mal hat Statista im Auftrag von G DATA CyberDefense eine repräsentative Umfrage zum Stand der IT-Sicherheit in Deutschland durchgeführt. Mehr als 5.000 Arbeitnehmerinnen und Arbeitnehmer haben die Fragen im beruflichen und privaten Kontext beantwortet.
Bei IT-Sicherheitskompetenzen geht noch was
Gefragt, wie Personen ihre persönliche Kompetenz in Bezug auf IT-Sicherheit einschätzen, spricht sich ein Drittel sehr große beziehungsweise große Kompetenzen zu. Gleichzeitig bescheinigen sich 30 Prozent selbst nur geringe und sehr geringe Kompetenzen. Im Detail zeigen die Ergebnisse, dass die IT-Sicherheitskompetenzen in Hierarchieebenen unterschiedlich ausgebildet sind. So stufen sich drei Viertel der befragten Bereichsleiterinnen und Bereichsleiter mit einer großen oder sehr großen persönlichen Kompetenz ein, während in der Abteilungsleitung nur noch 47 Prozent sich selbst eben solche Fähigkeiten zusprechen.
Noch niedriger ist der Anteil bei Mitarbeitenden ohne Führungsposition. Nicht einmal jede fünfte Person schätzt seine IT-Sicherheitskompetenzen als groß beziehungsweise sehr groß ein. Dabei nehmen Cyberkriminelle alle Angestellten ins Visier. Sie suchen das schwächste Glied in der Abwehrkette: das Personal mit geringem oder sehr geringem Fachwissen.
IT-Sicherheit: Ein Thema für die gesamte Belegschaft
Die Umfrage offenbart, dass viele Mitarbeitenden die Verantwortung für die unternehmensweite IT-Sicherheit bei den Fachleuten sehen, die mit modernen Schutzlösungen Angriffe abwehren. Der Gedanke, dass jede Mitarbeiterin und jeder Mitarbeiter einen Teil zur IT-Security beitragen, hat sich noch nicht flächendeckend durchgesetzt.
Schon durch den Einsatz eines sicheren Passworts oder das einfache Sperren des Rechners beim Verlassen des Arbeitsplatzes, schützt nicht nur den eigenen PC, sondern das ganze Unternehmen. Was aber in der Theorie einfach klingt, zeigt in der Praxis Lücken: So nutzen nur 54 Prozent der Befragten sichere Passwörter. Dabei lassen sich einfache Kennwörter mittels automatisierter Tools schon innerhalb weniger Sekunden hacken und anschließend missbrauchen. Nicht einmal jede zweite befragte Person sperrt beim Verlassen des Arbeitsplatzes den eigenen Rechner. Auch beim Thema Zwei-Faktor-Authentifizierung und Updates zeigt die Studie, dass es noch Luft nach oben gibt.
Mehr wissen wollen
Eine weitere Frage galt Themen, in denen Unternehmen das Bewusstsein unter den Mitarbeitenden verbessern sollen. Hier zeigt sich, wo Wissenslücken oder zu wenig Wissen in der Belegschaft existieren. An erster Stelle stehen Phishing und Datendiebstahl (42,4 Prozent). Denn Cyberkriminelle versenden anstelle von einfachen Massenmails mit Rechtschreib- und Grammatikfehlern immer individuellere Nachrichten, die nicht mehr auf den ersten Blick als gefährliche Mail zu erkennen sind.
Aber auch beim Umgang mit Passwörtern, dem Datenschutz sowie Malware/Ransomware oder Remote-Arbeit wünschen sich Angestellte mehr Wissen. Es wird deutlich, dass IT-Sicherheit ein umfassendes Themengebiet ist und eine Info-Mail zu aktuellen Phishing-Mails nicht weiterhilft. Wer das Thema nachhaltig in der Belegschaft verankern will, muss umfangreiche Schulungen nutzen.
Awareness für alle?
Zahlreiche Unternehmen verabschieden sich von dem Paradigma, dass IT-Sicherheit ausschließlich mit technologischen Mitteln realisiert werden kann. Sie setzen auf Human Centered Security und verteilen IT-Sicherheit auf mehrere Säulen. Dabei kommen Security Awareness Trainings zum Einsatz, um die Belegschaft für aktuelle Cybergefahren zu sensibilisieren und so Aufmerksamkeit der Mitarbeitenden gegenüber Cyberrisiken zu erhöhen. Fast 54 Prozent der befragten Unternehmen bieten Schulungen, Veranstaltungen oder Trainings rund um das Thema Cybersicherheit an.
Allerdings zeigt die Studie, dass das Angebot von der Unternehmensgröße abhängt. So bieten nur 38 Prozent der Betriebe mit weniger als 50 Angestellten Schulungen an. Bei Firmen mit 1.000 und mehr Mitarbeitenden liegt der Anteil bei 65 Prozent. Ein Beleg, dass große Firmen sich ihrer unternehmerischen Verantwortung bewusst sind und für derartige Schulungen Budget bereitstellen.
Ebenso belegt die Studie, dass Unternehmen nicht das gesamte Personal in ihre Überlegungen einbeziehen - Mitarbeitende ohne Führungspositionen bleiben außen vor. Gefragt nach den Gründen, warum Schulungen oder Trainings nicht für alle Angestellten angeboten werden, zeigt sich die Problematik. Fast die Hälfte der Befragten sind überzeugt, dass technische Lösungen ausreichen und keine Schulungen nötig sind.
Ein Drittel gibt an, dass nur IT-Mitarbeitende Schulungen erhalten und ebenfalls ein Drittel verzichtet wegen zu hoher Kosten auf Security Awareness Trainings. Dabei führen uns tagtäglich Meldungen vor Augen, dass technische Lösungen alleine keine Cyberattacken via Social Engineering stoppen. Alle Angestellten, die mit dem Unternehmensnetzwerk verbunden sind, sind auch ein interessantes Ziel für kriminelle Hacker.
Wer ganzheitliche IT-Sicherheit will, muss die Belegschaft mitnehmen
Die Studie belegt, dass Mitarbeitende bei der IT-Sicherheit eine zentrale Rolle einnehmen. Hier sind Unternehmen und insbesondere Führungskräfte gefordert. Sie müssen ihrer Verantwortung gerecht werden und ihre Angestellten in das IT-Sicherheitskonzept integrieren. Dies gelingt mit Security Awareness Trainings. Dabei sollten Führungskräfte bedenken, dass IT-Sicherheit kein Sprint, sondern ein Marathon ist. Denn mit Schnellschüssen lässt sich Human Centered Security nicht umsetzen.
"Cybersicherheit in Zahlen" zum Download
Die Studie "Cybersicherheit in Zahlen" zeichnet sich durch eine hohe Informationsdichte und besondere methodische Tiefe aus: Mehr als 5.000 Arbeitnehmerinnen und Arbeitnehmer in Deutschland wurden im Rahmen einer repräsentativen Online-Studie zur Cybersicherheit im beruflichen und privaten Kontext befragt. Die Experten von Statista haben die Befragung durchgeführt und können dank einer Stichprobengröße, die weit über dem branchenüblichen Standard liegt, belastbare und valide Marktforschungsergebnisse im Heft "Cybersicherheit in Zahlen" präsentieren.