Jedes zweite deutsche Unternehmen berichtet laut dem Branchenverband Bitkom, dass es Social-Engineering-Angriffe auf Mitarbeitende gegeben hat. Der Grund: Angreifergruppen arbeiten profitorientiert und suchen das schwächste Glied in der Abwehrkette. Und das ist oft eine unaufmerksame Person. Diese öffnet den Anhang einer E-Mail mit Schadsoftware oder klickt den Link zu einer gefälschten Webseite an, um Cyberkriminellen die Tür ins Unternehmensnetzwerk zu öffnen. Vor diesem Hintergrund stellen sich viele Fragen: Welche Verantwortung übernehmen Angestellte bei der IT-Sicherheit? Wie steht es um das IT-Sicherheitsfachwissen von Mitarbeitenden? Bieten Unternehmen Security Awareness Trainings an? Antworten finden sich in einer Untersuchung von Statista im Auftrag von G Data CyberDefense zum Stand der IT-Sicherheit in Deutschland. Mehr als 5.000 Arbeitnehmerinnen und Arbeitnehmer haben den Fragebogen im beruflichen und privaten Kontext beantwortet, darunter auch mehr als 1.100 Angestellte, die zum Industrie-Sektor gehören.
Die eigene Kompetenz
Auf die Frage, wie Mitarbeitende in der Industrie ihre persönliche IT-Sicherheitskompetenz einschätzen, antworten mehr als 35 Prozent mit sehr großen bzw. großen Kompetenzen. Demgegenüber stehen aber auch rund ein Viertel der Befragten, die sich selbst nur geringe und sehr geringe Kompetenzen bei der IT-Sicherheit bescheinigen. Ein detaillierter Blick in die Ergebnisse zeigt, dass die IT-Sicherheitskompetenzen in unternehmerischen Hierarchieebenen unterschiedlich ausgeprägt sind. Während in der Bereichs- oder Abteilungsleitung der Anteil von Personen mit einer großen oder sehr großen persönlichen Kompetenz über dem Durchschnitt liegt, ist der Anteil bei Angestellten ohne Führungsposition unterdurchschnittlich. Hier haben viele Angestellte großen Nachholbedarf.
Ein Thema für die gesamte Belegschaft
Das Interesse an der IT-Sicherheit in der Industrie insgesamt ist groß: Mehr als 62 Prozent der Befragten informieren sich regelmäßig über Cybersicherheit. Zudem bleibt es bei Angestellten in der Industrie nicht nur beim Informieren, denn sie werden auch aktiv, wenn sie eine IT-Sicherheitslücke erkennen. So haben rund 50 Prozent bereits eine Schwachstelle in der IT-Sicherheit entdeckt und darauf hingewiesen. Womit sich die Frage nach der Reaktion der Verantwortlichen stellt. Vier von fünf Unternehmen haben schnell Maßnahmen eingeleitet. Jedoch zeigt die Studie auch, dass jeder fünfte Betrieb langsam reagiert hat. Dabei ist der Zeitfaktor eine entscheidende Rolle im Kampf gegen Cyberkriminelle, wie etwa die Schwachstellen in Exchange-Servern im Frühjahr 2021 zeigten Viele Unternehmen haben die bereitstehenden Patches nicht zeitnah installiert und fielen daher der Tätergruppe zum Opfer.
Die Beschäftigten können mit dem eigenen Verhalten zur IT-Sicherheit beitragen. Sei es durch den Einsatz von sicheren Passwörtern, den Schutz kritischer Daten oder durch das einfache Sperren des Rechners, wenn eine Person den Platz verlässt. Diese Sicherheitsmaßnahmen schützen nicht nur den privaten Arbeitsplatz, sondern das gesamte Unternehmen. Doch was in der Theorie einfach klingt, zeigt in der praktischen Umsetzung Lücken: Nicht einmal jeder Zweite Befragte benutzt sichere Passwörter. Und nur vier von zehn Befragten gehen verantwortungsvoll mit den Passwörtern um. Es ist zu befürchten, dass viele Angestellte ihre Zugangsinformationen auf Zetteln entweder unter der Tastatur oder direkt am Bildschirm aufbewahren.
44 Prozent der Befragten sperren den eigenen PC, wenn sie den Arbeitsplatz verlassen. Für Unbefugte ist das eine Einladung wie eine offenstehende Wohnungstür. Auch beim Thema Zwei-Faktor-Authentifizierung und Updates zeigt die Studie, dass es noch Luft nach oben gibt. So nutzt gerade einmal ein Viertel die Möglichkeiten einer Zwei-Faktor-Authentifizierung und nur 36 Prozent halten den firmeneigenen Rechner hinsichtlich Updates auf dem aktuellen Stand.
Mehr Wissen zu IT-Sicherheit
Die Studie ist auch der Frage nachgegangen, in welchen Bereichen die deutsche Industrie mehr investieren sollte. Aus Sicht der Befragten hat das Thema IT-Sicherheit (37,8 Prozent) höchste Priorität, gefolgt von Mitarbeiterentwicklung (30,6 Prozent) und Nachhaltigkeit (28,9 Prozent). Da IT-Sicherheit weit mehr als sichere Passwörter und Phishing-Mails umfasst, haben die Marktforscher von Statista nachgefragt, an welchen Stellen Unternehmen für mehr Bewusstsein unter den Angestellten sorgen sollten. Die Antworten zeigen, wo Wissenslücken oder zu wenig Wissen vorherrschen. An erster Stelle steht Phishing und Datendiebstahl (43,6 Prozent). Denn der Aufwand, eine verdächtige E-Mail zu entlarven, wird immer größer, weil die Qualität der Nachrichten immer besser geworden ist. Weitere Themen sind der Umgang mit Passwörtern, Datenschutz sowie Malware / Ransomware. Die Ergebnisse zeigen: Ein Newsletter vom IT-Verantwortlichen zu Phishing-Mails reicht nicht aus, um das Bewusstsein in der Belegschaft zu steigern. Wer das Thema nachhaltig bei seinem Personal angehen will, braucht also Schulungen mit einem breiten Themenspektrum.