Cybersicherheit in Zahlen: Grosser Nachholbedarf bei Security Awareness
Die Zeiten, in denen Unternehmen ihre Angestellten als Sicherheitsrisiko betrachtet haben, sind vorbei. Immer mehr Firmen setzen auf Human Centered Security. Doch wie steht es zurzeit um den Faktor Mensch bei der IT-Sicherheit? Antworten liefert die neue repräsentative Studie «Cybersicherheit in Zahlen».
Viele Unternehmen haben erkannt, dass Mitarbeitende mit dem richtigen Verhalten Cyberangriffe frühzeitig verhindern können. Womit sich folgende Frage stellt: Wie gut (oder schlecht) sind die IT-Sicherheitskompetenzen des Personals? Antworten auf diese und weitere Fragen liefert die aktuelle Studie «Cybersicherheit in Zahlen».
IT-Sicherheitskompetenzen: Da geht noch was
Bei der Frage, wie Personen ihre persönliche Kompetenz in Bezug auf IT-Sicherheit einschätzen, attestiert sich ein Drittel der Befragten eine sehr grosse beziehungsweise grosse Kompetenz. Gleichzeitig bescheinigen sich 30 Prozent eine nur geringe und sehr geringe Kompetenz. Im Detail zeigen die Ergebnisse, dass die IT-Sicherheitskompetenzen in Hierarchieebenen unterschiedlich ausgebildet sind. So stufen sich drei Viertel der befragten Bereichsleiterinnen und Bereichsleiter mit einer grossen oder sehr grossen persönlichen Kompetenz ein. Deutlich niedriger ist der Anteil bei Angestellten ohne Führungsposition. Nicht einmal jede fünfte Person schätzt die persönliche IT-Sicherheitskompetenz als gross beziehungsweise sehr gross ein.
Mehr wissen wollen
Die Studie ist auch der Frage nachgegangen, in welchen Bereichen Mitarbeitende sich selbst mehr Wissen wünschen. An erster Stelle stehen Phishing und Datendiebstahl (42,4 Prozent). Aber auch beim Umgang mit Passwörtern (37,7 Prozent), Malware/Ransomware (29,6 Prozent) oder Remote-Arbeit (24,7 Prozent) wünschen sich Angestellte mehr Wissen. Es wird deutlich, dass IT-Sicherheit ein umfassendes Themengebiet ist und es umfangreicher Schulungen bedarf.
Vor diesem Hintergrund setzen Unternehmen verstärkt auf Human Centered Security und vertrauen bei der IT-Sicherheit nicht mehr ausschliesslich auf technische Schutzlösungen. Um die Angestellten für aktuelle Cybergefahren zu sensibilisieren, nutzen sie Security Awareness Trainings. Das Ziel: die Aufmerksamkeit der Mitarbeitenden gegenüber Cyberrisiken zu erhöhen. Fast 54 Prozent der Befragten geben an, dass ihr Unternehmen Trainings rund um das Thema Cybersicherheit offeriert. Allerdings zeigt die Studie, dass das Angebot von der Unternehmensgrösse abhängt. So bieten nur 38 Prozent der Betriebe mit weniger als 50 Angestellten Schulungen an. Bei Firmen mit 1000 und mehr Mitarbeitenden liegt der Anteil bei 65 Prozent.
Security Awareness: Ein Thema für alle?
Die Studie belegt, dass Mitarbeitende ohne Führungspositionen bei Schulungen aussen vor bleiben. Gefragt nach den Gründen, warum Schulungen nicht für alle Angestellten angeboten werden, zeigt sich die Problematik: Fast 46 Prozent sind überzeugt, dass technische Lösungen ausreichen und keine Schulungen nötig seien. Ein Drittel gibt an, dass nur IT-Mitarbeitende Schulungen erhalten; und ebenfalls ein Drittel verzichtet wegen zu hoher Kosten auf Security Awareness Trainings.
"Wir müssen das menschliche Verhalten updaten"
Mit dem richtigen Verhalten sorgen Angestellte für mehr IT-Sicherheit. Sie schützen nicht nur sich selbst und ihr eigenes Postfach, sondern ihren Arbeitgeber. Cornelia Lehle, Head of Sales DACH bei G Data Cyberdefense, erklärt, warum Human Centered Security ein wichtiger Baustein der IT-Sicherheit ist. Interview: Zoe Wiss
Warum sollten Unternehmen den Faktor Mensch in ihre Cybersicherheit-Strategie einbeziehen?
Cornelia Lehle: Cyberkriminelle arbeiten profitorientiert. Sie suchen nach dem schwächsten Glied in der Abwehrkette. Das ist leider immer wieder eine Angestellte oder ein Angestellter, der auf eine Phishing-Mail hereinfällt. Hier hat allerdings die Gefahr durch gezielte Attacken zugenommen. Solche sogenannten Spear-Phishing-Mails sind von echten Nachrichten kaum zu unterscheiden. E-Mail-Adressen sind im Darknet wesentlich günstiger als ein Zero-Day-Exploit. Für Angreifer also eine reine Kosten-Nutzen-Frage.
Und wie rückt man den Faktor Mensch in den Fokus?
Dies kann gelingen, indem wir das menschliche Verhalten updaten. Security Awareness Trainings stellen den Menschen in den Mittelpunkt, nicht die Technik. Mit diesen Schulungen lässt sich gezielt nicht nur Aufmerksamkeit im wörtlichen Sinne, sondern ein generelles Umdenken erzielen. Mitarbeitende erkennen, welchen Beitrag sie für die IT-Sicherheit des eigenen Unternehmens leisten können. Sie verstehen, welche Auswirkungen ihr Verhalten hat.
Warum reichen ausschliesslich technische Schutzlösungen für die IT-Sicherheit nicht aus?
Technologische Schutzmassnahmen erzeugen ein falsches Sicherheitsgefühl. Aus Sicht der Angestellten sind die IT-Fachleute für die unternehmensweite IT-Sicherheit zuständig. Daher denken viele Mitarbeitende nicht daran, dass sie Teil eines Sicherheitskonzepts sind. Ausserdem sind Verantwortliche der Meinung, wenn sie mehr in Technik investieren, steigt automatisch auch die Sicherheit. Das ist aber ein Trugschluss.
Was zeichnet ein gutes Security Awareness Training aus?
Videos und Multiple-Choice-Tests gehören immer noch zum Standardrepertoire vieler E-Learnings. Aber das Lernverhalten hat sich in den letzten Jahren sehr verändert. In der G Data Academy bieten wir kurze Lerneinheiten an, weil insbesondere Personalverantwortliche heute kurze Lerneinheiten fordern. Denn Lernzeit ist Arbeitszeit. Darüber hinaus legen wir bei unseren Security Awareness Trainings den Fokus auf charakterbasiertes Storytelling in Verbindung mit Game-based Learning. Diese Methoden helfen, das neu erlangte Wissen nachhaltig im Gedächtnis zu verankern.
Welche Kompetenzen sollte ein Security Awareness Training vermitteln?
Die IT-Sicherheitskompetenzen von Angestellten sind sehr heterogen und reichen von wenig bis zu Expertenwissen – je nach Ausbildung und Einsatzgebiet. Damit die gesamte Belegschaft eines Unternehmens den gleichen Wissensstand über Cybergefahren hat, setzen wir auf ein dreistufiges System. Alle Mitarbeitenden durchlaufen drei didaktisch sinnvoll zusammengestellte Level vom Anfänger bis zum Master und bauen dabei ihr Cybersecurity-Wissen Schritt für Schritt auf. 10- bis 15-minütige Trainings vermitteln das Wissen anhand praxisnaher Aufgaben und Beispiele. Zum Abschluss einer Trainingseinheit steht ein kurzer Test und am Ende jedes Levels erhalten Lernende ein Zertifikat.
Das Magazin „Cybersicherheit in Zahlen gibt es hier zum Download.
Wieso man nicht ziellos herumirren sollte beim Telefonieren
Schweizer Strafverfolger überwachen etwas weniger, holen aber mehr Auskünfte ein
HPE und Bosch bringen Lösungen zusammen für Digital Twins
SAP würdigt seine Schweizer Lieblingskunden
Red Hat stellt neue Lösungen für Entwickler vor
Wie der IT-Arbeitsplatz von morgen gemäss ADN aussieht
Schweden seit Nato-Beitritt verstärkt im DDoS-Visier
KI bei Cyberangriffen: Zukunftsmusik oder reale Bedrohung?
Scammer kommen via Phishing-Mail an Facebook-Bezahldaten
