:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/63/d1/63d1b63470a199c6d3dd30f867257cae/0114316603.jpeg "Die meisten IT-Sicherheitslösungen konzentrieren sich darauf, unrechtmäßigen Zugriff von außen zu erkennen und zu verhindern. Insider-Threats bleiben hingegen oft lange unbemerkt. (Bild: Blue Planet Studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/c4/54c4a0adf74bd1c468477c6da476dff2/0114233608.jpeg "Penetationstests sind eine wichtige Grundlage für das Schließen von Sicherheitslücken. (Bild: Mediaparts - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/21/e3/21e39515f189be19af1e1c124c7af34b/0114233258.jpeg "Wer erkennt den Betrug besser: Mensch oder KI? (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/42/76/4276ea2d1e8017bef9f8062a8f86460e/0114233512.jpeg "Die mit NIS2 bevorstehende Einführung von Mindeststandards im Bereich der Cybersicherheit betrifft viele Institutionen, die das Thema bisher nur stiefmütterlich behandelt haben. (Bild: Андрей Яланский - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9d/ab/9dab51056cf30c7d100f1bd2daa971f7/0114174544.jpeg "Welche realistische Rolle wird künstliche Intelligenz in der Cybersicherheit übernehmen können und wo liegen aktuell noch die Herausforderungen? (Bild: Shuo - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bd/dc/bddc5a178cdf1e50a1c97407178aacc2/0113981618.jpeg "Eine Lösung für Cloud Security Posture Management (CSPM) der nächsten Generation von Aqua Security soll die Angriffsfläche um 99 Prozent reduzieren und es der IT-Sicherheit ermöglichen, sich in Echtzeit auf die kritischsten Bedrohungen zu konzentrieren. (Bild: ipopba - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/39/58/395865fa1933cbf2a9d67fc9457b7b79/0114165948.jpeg "Ist ein Cloud-basierter Netzwerkschutz aus dem Rennsport auch für andere Bereiche nutzbar? (Bild: Porsche Motorsport)")
:quality(80)/p7i.vogel.de/wcms/82/91/8291aade8ce1ba7b0c9ca477cc338fba/0114233278.jpeg "Unternehmen sollten die im Artikel vorgestellten vier Prinzipien umsetzen, offener mit dem Thema Sicherheit umgehen und Informationen und Best Practices zu teilen, um die Sicherheit der gesamten Branche zu verbessern. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/41/a441d1fcb6898f9bc0139d483077730b/0113477103.jpeg "Die Integration von Sicherheitsprozessen in den Software Development Lifecycle sollte mglichst transparent erfolgen. (© ipopba-stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/77/6777619429ac7c92cadc7368950ef7ac/0114229692.jpeg "Die neuen Tokentypen Tagespasswort und applikationsspezifisches Passwort in privacyIDEA 3.9 ermöglichen dem Administrator auch in heterogenen Umgebungen, die Authentifizierung an alten Applikationen zentral zu verwalten. (Bild: privacyIDEA)")
:quality(80)/p7i.vogel.de/wcms/3a/0e/3a0e510718ff64c8142c752d9244e514/0114089617.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/e8/56e81a2cc5d033e060c48271040ce400/0114030088.jpeg "Angriffe auf die kritische Infrastruktur werden weiter zunehmen und Phishing wird ein wichtiger Angriffsvektor sein. Eine Phishing-sichere MFA kann helfen Risiken zu minimieren. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3f/50/3f50e3875b5463348d790f00ca3ad82d/0114222695.jpeg ""Warum Security Awareness die Basis der NIS2 Umsetzung ist", ein Interview von Oliver Schonschek, Insider Research, mit Christian Laber von G DATA. (Bild: Vogel IT-Medien / G DATA / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/35/5c/355c5d6af0509a4a109682eaca824105/0114174663.jpeg "Watchguard Technologies möchte die Partner durch ein MSSP-fähiges Portfolio gut aufstellen und erklärt, was momentan im IT-Security-Business hoch nachgefragt ist. (Bild: Tex vector - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/67/8f/678f3451fbd3cc9e468de0e35f73ee4d/0112115118.jpeg "Unter Desktop-as-a-Service versteht man virtuelle Desktops als Service eines Cloud-Anbieters. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Cybersicherheit in Zahlen Mangelnde Verantwortlichkeit bei der IT-Sicherheit
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/135400/135488/65.jpg "Insider Research Cover-1400x1400px.jpg ()")
Bei der IT-Sicherheit liegt die Verantwortung sowohl bei Mitarbeitenden als auch beim Unternehmen selbst. Aber nehmen Angestellte und Führungskräfte diese Verantwortung überhaupt wahr? Und wenn ja, wie? Antworten zu diesen Fragen bietet die aktuelle und repräsentative Studie „Cybersicherheit in Zahlen“ von G DATA CyberDefense in Zusammenarbeit mit Statista und brand eins. Zentrale Ergebnisse stellen wir hier vor.
Wie steht es um die IT-Sicherheit in Deutschland? Diese und vielen anderen Fragen ist die repräsentative Studie „Cybersicherheit in Zahlen“ nachgegangen, die aktuell in der dritten Ausgabe erschienen ist. Im Auftrag von G DATA CyberDefense hat Statista zentrale Daten zu wichtigen Aspekten der Sicherheit in der virtuellen Welt zusammengetragen. Mehr als 5.000 Arbeitnehmerinnen und Arbeitnehmer wurden im beruflichen und privaten Kontext befragt. Ein zentrales Thema dabei: Verantwortung. In der digitalen Welt besitzt das Thema eine große Bedeutung – sowohl für Mitarbeitende als auch Unternehmen. Nur so lässt sich eine ganzheitliche IT-Sicherheit gemeinsam realisieren. Allerdings ist die Realität weit von der Theorie entfernt.
:quality(80)/p7i.vogel.de/wcms/b6/ac/b6acdfc2ea36543f6ea2d353fbfd463a/0114087457.jpeg "Frage: Wofür fühlen Sie sich an Ihrem Arbeitsplatz zuständig?")
:quality(80)/p7i.vogel.de/wcms/b8/58/b85888ec18a88eeb9c2a5d227561a240/0114087456.jpeg "Frage: Bietet Ihr Unternehmen allen Mitarbeitenden (Online-)Schulungen / Veranstaltungen / Trainings rund um das Thema Cybersicherheit an?")
:quality(80)/p7i.vogel.de/wcms/89/ff/89ffd5df07732bff9c236f5dfd69ad42/0114087458.jpeg "Frage: Warum werden nicht allen Mitarbeitenden (Online-)Schulungen / Veranstaltungen / Trainings rund um das Thema Cybersicherheit angeboten?")
:quality(80)/p7i.vogel.de/wcms/59/30/59300afc8f46261cb00e5460e63619a3/0114087459.jpeg "Frage: Wie wichtig ist es Ihnen, wo ein Anbieter für Cybersicherheit seinen Standort hat?")
IT-Sicherheit betrifft auch Mitarbeitende
Viele Angestellte denken immer noch, dass sie keinen Beitrag zur IT-Sicherheit leisten müssen, beziehungsweise können. Aus ihrer Sicht liegt die Verantwortung zur Gewährleistung eines sicheren IT-Betriebs allein bei den Führungskräften und der IT-Abteilung, die technische Schutzmaßnahmen umsetzen und Cyberangriffe unterbinden. Dabei können Mitarbeiterinnen und Mitarbeiter durch richtiges und umsichtiges Verhalten ihren Beitrag zur Absicherung der IT leisten. Das Nutzen von sicheren Passwörtern oder das Sperren des Rechners beim Verlassen des Arbeitsplatzes sind nur zwei kleine, aber effektive Maßnahmen. Die Realität sieht allerdings anders aus. Nur 54 Prozent der Befragten fühlen sich dafür zuständig, sichere Passwörter zu verwenden. Offensichtlich fehlt es vielen Angestellten an dem notwendigen Verständnis für sichere Kennwörter.
Nicht einmal jede zweite befragte Person sperrt beim Verlassen des Arbeitsplatzes den eigenen Rechner. Beim Thema Zwei-Faktor-Authentifizierung und Updates zeigt die Studie ebenfalls, dass noch viel Raum für Verbesserungen da ist. Auch hier fühlt sich die Mehrheit nicht zuständig. So nutzt nicht einmal ein Drittel die Möglichkeiten einer Zwei-Faktor-Authentifizierung und nur vier von zehn Personent halten den firmeneigenen Rechner durch Updates auf dem aktuellen Stand.
IT-Sicherheitsschulungen für alle?
Um Angestellte für aktuelle Cyberrisiken zu sensibilisieren, setzen Unternehmen Security Awareness Trainings ein – mit dem Ziel, das Bewusstsein des Personals für Cybergefahren zu verbessern. Mittlerweile ermöglichen fast 54 Prozent der Unternehmen den Mitgliedern ihrer Belegschaft die Teilnahme an Schulungen, Veranstaltungen oder Trainings rund um das Thema Cybersicherheit. Die Studie offenbart, dass sich große Firmen ihrer unternehmerischen Verantwortung bewusster sind und auch ein entsprechendes Budget bereitstellen. Bei Firmen mit 1.000 und mehr Mitarbeitenden liegt der Anteil Unternehmen mit einem Schulungsangebot bei 65 Prozent. Aber nur 38 Prozent der Betriebe mit weniger als 50 Angestellten bieten Trainings an.
Viel dramatischer ist ein anderes Ergebnis der Studie: Nicht alle Angestellten sind in die Schulungskonzepte eingebunden. So sind Mitarbeiterinnen und Mitarbeiter ohne Führungspositionen oft davon ausgenommen. Dabei sind auch Sachbearbeiterinnen oder Sachbearbeiter in der Buchhaltung oder der Personalabteilung mit einem Zugang zum Netzwerk , ein potenzielles Ziel für Cyberkriminelle. Gefragt nach den Gründen, warum Schulungen oder Trainings nicht für alle Angestellten angeboten werden, Geben fast 46 Prozent der Befragten geben an, dass ihrer Meinung nach technische Lösungen ausreichen und keine Schulungen nötig sind. Ein Drittel der Befragten sagt, dass nur IT-Mitarbeitende geschult werden und ebenfalls ein Drittel berichtet von zu hohen Kosten der Trainings. Die Gegenargumente liegen aber auf der Hand: Technische Lösungen reichen längst nicht aus und verhindern keine Cyberattacke via Social Engineering. Das Argument der hohen Ausgaben lässt sich ebenfalls rasch entkräften: Denn die Kosten eines Cyberangriffs können schnell die Existenz einer Firma bedrohen und liegen deutlich über den Kosten für Schulungsmaßnahmen.
Cloud-Dienst: Sicherheit im Fokus
Beim Einsatz von Cloud-Diensten ist Deutschland zweigeteilt. Jede zweite befragte Person gibt an, dass Cloud-Dienste im Unternehmen genutzt werden. Im privaten Umfeld liegt der Anteil bei rund 60 Prozent. Interessant: Der Anteil von Firmen, die Cloud-Dienste einsetzen, ist bei Unternehmen mit 50 bis 999 Angestellten am höchsten (57,7 Prozent). In kleinen Unternehmen ist der Nutzungsanteil deutlich geringer (42,7 Prozent). Es ist zu vermuten, dass gerade in Betrieben mit weniger als 50 Angestellten das Personal oder das Fachwissen fehlt, um Cloud-Dienste zielführend einzusetzen.
Dabei herrscht unter den Befragten Einigkeit, dass die Vorteile von Cloud-Diensten überwiegen, sowohl im privaten als auch im beruflichen Umfeld. Für mehr als 43 Prozent überwiegen im privaten Umfeld die Vorteile, im beruflichen Umfeld sind es mehr als 41 Prozent der Befragten. Rund 17 Prozent der Studienteilnehmerinnen und -teilnehmer sehen die überwiegend Nachteile im privaten und beruflichen Bereich.
Bei der Wahl eines Cloud-Anbieters achten Unternehmen insbesondere auf die Sicherheit des Angebotes. Das ist für mehr als ein Drittel der Befragten das wichtigste Entscheidungskriterium bei der Auswahl. Erst danach folgt das Angebot der gewünschten Cloud-Dienste. An dritter Stelle steht der Wunsch nach einem Unternehmen aus Deutschland. Es zeigt sich, dass die Sicherheit von Cloud-Angeboten eine hohe Relevanz hat und das Vertrauen in deutsche Cloud-Dienste groß ist, weil die Anbieter die datenschutzrechtlichen Vorgaben kennen und entsprechend umsetzen.
Eine Frage des Standortes
Nicht nur bei Cloud-Diensten achten Unternehmen auf den Standort des Dienstleisters. Auch bei IT-Sicherheitslösungen spielt die Herkunft eine zentrale Rolle. Für fast 60 Prozent der Befragten ist die Standortfrage signifikant beziehungsweise sehr wichtig. Der Wert liegt sogar leicht über dem Vorjahreswert und zeigt die Relevanz des Themas.
Die Antwort auf die Frage nach dem bevorzugten Standort des gewählten IT-Sicherheitsunternehmens fällt eindeutig aus. Mehr als 80 Prozent der befragten Personen wünscht sich ein deutsches Unternehmen. Dies hängt nicht ausschließlich mit dem als überlegen eingeschätzten besseren Datenschutz zusammen, auch praktische Gründe sprechen für die Zusammenarbeit mit einem deutschen Unternehmen: Bei Problemen spricht das Gegenüber im Support die gleiche Sprache, was sicherlich schneller zu einer Lösung führt und Missverständnisse ausschließt.
Fazit: IT-Sicherheit ist und bleibt ein komplexes Themenfeld
Auch wenn das Bewusstsein in den Chefetagen für IT-Sicherheit gestiegen ist – nicht zuletzt auch durch politische Regelungen wie die aktuelle NIS-2-Direktive - ist dieses Bewusstsein bei den meisten Mitarbeiterinnen und Mitarbeitern noch nicht angekommen. Hier besteht akuter Handlungsbedarf. Führungskräfte sind gut beraten, ihre Angestellten als wichtigen Baustein der IT-Sicherheit ernst zu nehmen. Sie müssen Sorge dafür tragen, dass alle Beschäftigten das notwendige Wissen aufbauen und passende Schulungen angeboten bekommen. Dann entwickeln sie ein Verständnis dafür, welche Auswirkungen ihr Handeln hat. Mit dem richtigen Verhalten schützen sie nicht nur sich selbst, sondern ihren Arbeitgeber und damit auch die Arbeitsplätze der Kolleginnen und Kollegen.
Studie „Cybersicherheit in Zahlen“ zum Download
Die Studie „Cybersicherheit in Zahlen“ zeichnet sich durch eine hohe Informationsdichte und besondere methodische Tiefe aus: Mehr als 5.000 Arbeitnehmer*innen in Deutschland wurden im Rahmen einer repräsentativen Online-Studie zur Cybersicherheit im beruflichen und privaten Kontext befragt. Die Experten von Statista haben die Befragung durchgeführt und können dank einer Stichprobengröße, die weit über dem branchenüblichen Standard liegt, belastbare und valide Marktforschungsergebnisse im Heft „Cybersicherheit in Zahlen“ präsentieren.
Über den Autor: Tim Berghoff ist Security Evangelist bei G DATA CyberDefense.
(ID:49702524)
:quality(80)/p7i.vogel.de/wcms/21/cd/21cd51d9c6905bd85dfc3a28fd72ef5d/0107254235.jpeg "Über viele Jahre war Cybersicherheit vor allem ein Thema für die IT-Abteilung, mit dem sich das Management höchstens punktuell beschäftigen wollte. Das war und ist eine Fehleinschätzung. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/69/a0/69a0505281919649114c65d271ae4a4d/0110983960.jpeg "KMU unterschätzen oft, dass auch sie im Fadenkreuz der Cyberkriminellen stehen. (Bild: forkART Photography - stock.adobe.com)")