Rund ein Viertel der Vorstände und Geschäftsführer hat keine ausreichenden Kenntnisse über die IT-Sicherheitslage. Auch 42 Prozent der Arbeitnehmer informieren sich nicht regelmäßig über Cyberbedrohungen. Das zeigt eine Studie von G DATA CyberDefense, Statista und brand eins.
Cybersecurity bedarf umfassender Aufklärung und stetiger Weiterbildung. Sind Mitarbeiter bei diesem Thema nicht auf dem neuesten Stand, werden Unternehmen anfällig für Phishing oder Ransomware. Schnell werden dann kritische Daten gestohlen oder Systeme lahmgelegt. Diese Gefahr ist real: Laut der Studie „Cybersicherheit in Zahlen“ von der G DATA CyberDefense AG geben rund 42 Prozent der befragten deutschen Arbeitnehmer an, sich nicht regelmäßig zum Thema IT-Sicherheit zu informieren.
Geschäftsführer haften bei Verstößen persönlich
Besonders alarmierend ist, dass fast einem Viertel der Vorstands- und Geschäftsführungsebene die Kenntnisse rund um IT-Sicherheit fehlen. Eigentlich sollte die Geschäftsleitung bei grundlegenden IT-Sicherheitspraktiken als gutes Beispiel vorangehen, um die Sensibilisierung für Cybersicherheit im gesamten Unternehmen zu stärken. Angesichts der neuen NIS-2-Direktive (Network and Information Security) ist IT-Sicherheit nämlich eine Aufgabe der Unternehmensleitung. Gemäß dieser Richtlinie ist die Geschäftsführung verantwortlich für die Überwachung der Umsetzung von IT-Sicherheitsmaßnahmen, haftet persönlich für Verstöße und muss ebenso wie die Mitarbeiter an Schulungen teilnehmen.
Für die repräsentative Studie „Cybersicherheit in Zahlen“ haben die Marktforscher von Statista Daten und Fakten aus mehr als 300 Statistiken zusammengeführt. Mehr als 5.000 Arbeitnehmer in Deutschland wurden im Rahmen einer repräsentativen Online-Studie zur Cybersicherheit im beruflichen und privaten Kontext befragt.
Security-Fachwissen fehlt auf allen Hierarchieebenen
Je niedriger die Position in der Unternehmenshierarchie, desto weniger Wissen haben die Mitarbeiter in Sachen Cybersicherheit. Laut der Studie informieren sich rund 27 Prozent der Abteilungsleitungen und etwa ein Drittel der Teamleitungen nicht regelmäßig zum Thema Cybersicherheit. Das Schlusslicht bilden mit 55 Prozent Angestellte ohne Führungsposition. Diese mangelnde Informationsbereitschaft erhöht die Wahrscheinlichkeit von Cyberangriffen, da Mitarbeiter ohne Fachwissen Angriffsversuche nicht erkennen.
Viele Mitarbeiter sind sich der Verantwortung für die IT-Sicherheit ihres Unternehmens nicht bewusst. Für sie wird das Thema oft als Angelegenheit der IT-Abteilung und technologischer Lösungen wahrgenommen. Gerade hier muss die Geschäftsführung laut G DATA CyberDefense ansetzen, um einen Wandel in der Unternehmenskultur herbeizuführen. Es sei notwendig, allen Mitarbeitern zu vermitteln, dass Cybersicherheit eine gemeinsame Verantwortung ist, die alle im Unternehmen betrifft. Um sich gegen Cyberbedrohungen zu wappnen, sollten Betriebe Schulungsprogramme für die gesamte Belegschaft anbieten.
„Die Dynamik der Cyberkriminalität erfordert, dass alle Mitarbeiter, unabhängig von ihrer Position im Unternehmen, stets auf dem aktuellen Stand der Cybersicherheit sind“, erläutert Tim Berghoff, Security Evangelist bei der G DATA CyberDefense AG. „Nur durch kontinuierliche Schulungen gehen Unternehmen effektiv gegen Cyberbedrohungen vor. Mit der bevorstehenden NIS-2-Direktive werden Security-Schulungen für alle Mitarbeiter Pflicht.“ Jürgen Frisch
