In der Welt der Cybersicherheit ruht die Verantwortung nicht allein auf den Schultern der IT-Abteilung und der Unternehmensleitung, sondern erstreckt sich auch auf die Mitarbeiter selbst. Doch inwieweit nehmen Angestellte und Führungskräfte die Verantwortung der IT-Sicherheit tatsächlich ernst? Und wenn ja, wie setzen sie diese um? Antworten auf diese wichtigen Fragen liefert die neueste repräsentative Studie „Cybersicherheit in Zahlen“, die in Zusammenarbeit von G DATA CyberDefense, Statista und brand eins durchgeführt wurde. Im Folgenden präsentieren wir die Kernergebnisse dieser Studie.
Wie steht es um die Cybersicherheit in Deutschland? Dieser Frage und vielen weiteren widmet sich die dritte Ausgabe der repräsentativen Studie „Cybersicherheit in Zahlen“. Statista hat im Auftrag von G DATA CyberDefense zentrale Informationen zu Schlüsselaspekten der Sicherheit in der digitalen Welt zusammengetragen. Über 5.000 Arbeitnehmer wurden sowohl in ihrem beruflichen als auch privaten Umfeld befragt. Ein zentrales Thema, das in dieser Studie behandelt wird, ist die Verantwortung. In der digitalen Welt ist dieses Thema von entscheidender Bedeutung, sowohl für die Mitarbeiter als auch für die Unternehmen. Nur durch eine gemeinsame Anstrengung kann umfassende Cybersicherheit gewährleistet werden. Doch die Realität sieht oft anders aus.
Cybersicherheit betrifft auch Mitarbeiter
Viele Mitarbeiter sind noch immer der Ansicht, dass sie keinen Beitrag zur Cybersicherheit leisten müssen oder können. Sie sehen die Verantwortung für die Sicherheit des IT-Betriebs allein bei den Führungskräften und der IT-Abteilung, die technische Schutzmaßnahmen umsetzen und Cyberangriffe abwehren sollen. Dabei könnten die Mitarbeiter durch korrektes und umsichtiges Verhalten einen Beitrag zur IT-Sicherheit leisten. Die Verwendung sicherer Passwörter und das Sperren des Computers beim Verlassen des Arbeitsplatzes sind nur zwei Beispiele für einfache, aber effektive Maßnahmen. Allerdings zeigt die Realität, dass nur 54 Prozent der Befragten sich dafür verantwortlich fühlen, sichere Passwörter zu nutzen. Offensichtlich mangelt es vielen Mitarbeitern an einem grundlegenden Verständnis für sichere Kennwörter.
Nicht einmal jeder zweite Befragte sperrt seinen Rechner beim Verlassen des Arbeitsplatzes. Auch in Bezug auf die Zwei-Faktor-Authentifizierung und Updates zeigt die Studie, dass hier noch erheblicher Verbesserungsbedarf besteht. Die Mehrheit der Befragten fühlt sich auch in diesen Bereichen nicht in der Verantwortung. Weniger als ein Drittel nutzt die Möglichkeiten der Zwei-Faktor-Authentifizierung, und nur vier von zehn Personen halten ihre firmeneigenen Computer durch regelmäßige Updates auf dem aktuellen Stand.
Sicherheitsschulungen für alle?
Um Mitarbeiter für aktuelle Cyberrisiken zu sensibilisieren, setzen Unternehmen vermehrt auf Security Awareness Trainings, die das Bewusstsein der Belegschaft für Cybersicherheitsrisiken schärfen sollen. Fast 54 Prozent der Unternehmen ermöglichen ihren Mitarbeitern die Teilnahme an Schulungen, Veranstaltungen oder Trainings im Bereich Cybersicherheit. Die Studie zeigt jedoch, dass große Unternehmen sich ihrer unternehmerischen Verantwortung stärker bewusst sind und ein entsprechendes Budget dafür bereitstellen. In Unternehmen mit 1.000 oder mehr Mitarbeitern bieten 65 Prozent Schulungen an, während es bei Unternehmen mit weniger als 50 Angestellten nur 38 Prozent sind.
Besorgniserregend ist ein weiteres Ergebnis der Studie: Nicht alle Mitarbeiter werden in diese Schulungsprogramme einbezogen. Mitarbeiter ohne Führungspositionen werden oft ausgeschlossen, obwohl auch Sachbearbeiter in Bereichen wie der Buchhaltung oder der Personalabteilung, die Zugang zum Netzwerk haben, potenzielle Ziele für Cyberkriminelle sind. Auf die Frage nach den Gründen, warum nicht alle Mitarbeiter an Schulungen teilnehmen, geben fast 46 Prozent der Befragten an, dass sie glauben, technische Lösungen seien ausreichend und Schulungen nicht notwendig. Ein Drittel der Befragten sagt, dass nur Mitarbeiter der IT-Abteilung geschult werden sollten, und ein weiteres Drittel beklagt die hohen Kosten von Schulungen. Allerdings lassen sich diese Gegenargumente leicht entkräften: Technische Lösungen allein bieten keinen ausreichenden Schutz vor Cyberangriffen, insbesondere nicht vor Angriffen mittels Social Engineering. Das Argument der hohen Kosten steht ebenfalls auf wackeligen Beinen, da die Kosten eines Cyberangriffs oft die Existenz eines Unternehmens bedrohen können und weit höher sind als die Ausgaben für Schulungsmaßnahmen.
IT-Sicherheit bei Cloud-Diensten im Fokus
In Bezug auf den Einsatz von Cloud-Diensten zeigt sich in Deutschland eine gespaltene Lage. Die Hälfte der Befragten gibt an, dass ihr Unternehmen Cloud-Dienste nutzt, während dieser Anteil im privaten Umfeld bei rund 60 Prozent liegt. Interessanterweise verwenden Unternehmen mit 50 bis 999 Mitarbeitern am häufigsten Cloud-Dienste (57,7 Prozent), während der Anteil in kleinen Unternehmen deutlich geringer ist (42,7 Prozent). Es ist anzunehmen, dass in kleinen Unternehmen oft das Personal oder das Fachwissen fehlen, um Cloud-Dienste effektiv einzusetzen.
Trotzdem sind sich die Befragten einig, dass die Vorteile von Cloud-Diensten überwiegen, sowohl im privaten als auch im beruflichen Umfeld. Über 43 Prozent sehen im privaten Bereich die Vorteile überwiegen, und im beruflichen Umfeld sind es mehr als 41 Prozent. Etwa 17 Prozent der Teilnehmer sehen hingegen mehr Nachteile als Vorteile, sowohl privat als auch beruflich.
Bei der Auswahl eines Cloud-Anbieters legen Unternehmen besonderen Wert auf die Sicherheit des Angebots. Dies ist für über ein Drittel der Befragten das wichtigste Kriterium bei der Entscheidung. Erst danach folgt die Auswahl der gewünschten Cloud-Dienste, gefolgt von der Präferenz für deutsche Anbieter. Die Sicherheit von Cloud-Angeboten erweist sich als äußerst relevant, und das Vertrauen in deutsche Cloud-Dienste ist hoch, da diese die datenschutzrechtlichen Vorschriften kennen und entsprechend umsetzen.
Die Bedeutung des Standorts
Nicht nur bei Cloud-Diensten, sondern auch bei IT-Sicherheitslösungen spielt der Standort des Anbieters eine wichtige Rolle. Für fast 60 Prozent der Befragten ist der Standortfrage von signifikanter Bedeutung. Dieser Wert liegt sogar leicht über dem Vorjahreswert und verdeutlicht die Wichtigkeit dieses Aspekts.
Die Präferenz für deutsche IT-Sicherheitsunternehmen ist eindeutig. Über 80 Prozent der Befragten bevorzugen einheimische Unternehmen. Dies liegt nicht nur an der als überlegen angesehenen Datenschutzlage, sondern auch an praktischen Überlegungen: Bei Problemen kann der Support in der gleichen Sprache kommunizieren, was zu einer schnelleren Lösung und weniger Missverständnissen führt.
Fazit
Cybersicherheit bleibt ein komplexes Thema Obwohl das Bewusstsein für Cybersicherheit in den Führungsetagen gestiegen ist, nicht zuletzt aufgrund politischer Regelungen wie der NIS-2-Direktive, ist dieses Bewusstsein bei den meisten Mitarbeitern noch nicht ausreichend entwickelt. Hier besteht dringender Handlungsbedarf. Führungskräfte sollten die Bedeutung ihrer Mitarbeiter für die Cybersicherheit ernst nehmen. Es liegt in ihrer Verantwortung sicherzustellen, dass alle Mitarbeiter das erforderliche Wissen aufbauen und geeignete Schulungen erhalten. Nur so entwickeln sie ein Verständnis für die Auswirkungen ihres Handelns. Durch korrektes Verhalten schützen sie nicht nur sich selbst, sondern auch ihre Arbeitgeber und somit die Arbeitsplätze ihrer Kollegen.
Die Studie „Cybersicherheit in Zahlen“ zeichnet sich durch ihre hohe Informationsdichte und methodische Tiefe aus. Sie wurde im Rahmen einer repräsentativen Online-Studie mit über 5.000 Arbeitnehmern in Deutschland durchgeführt. Statista führte die Befragung durch und liefert aufgrund der großen Stichprobengröße belastbare und valide Marktforschungsergebnisse im Bericht „Cybersicherheit in Zahlen“.