So bewerten Chefs das IT-Sicherheitsbewusstsein ihrer Mitarbeitenden
Im Rahmen einer grossangelegten Management-Studie zum Thema IT-Sicherheit hat Sophos auch das Bewusstsein für diesen wichtigen Faktor bei Unternehmensleitungen und Belegschaften beleuchtet. Es zeigt sich, dass dem Faktor Mensch als mögliche Gefahrenquelle schon intensiv Rechnung getragen wird.
Für das IT-Sicherheitsbewusstsein in Unternehmen gibt es keinen fertigen Standardbausatz, den man einmalig erwirbt, installiert und ab und zu aktualisiert. Die IT-Sicherheit ist als Prozess zu verstehen, der immer wieder neu an die veränderten Bedingungen angepasst werden muss. Dabei helfen Technik und Technologien (wie KI). Am Ende der IT-Nutzungskette jedoch sitzt der Mensch, der mithilfe von Computern und Geräten seine Tätigkeiten verrichtet. Und hier nun wird es vulnerabel mit der IT-Sicherheit. Denn der Faktor Mensch spielt immer wieder eine entscheidende Rolle, wenn es um Schwachstellen geht.
Doch wie sehen die Firmenleitungen in Deutschland, Österreich und der Schweiz das? Trauen sie ihren Mitarbeitenden zu, eine täuschend echt wirkende Phishing-E-Mail zu erkennen? Surfen sie im Homeoffice in ihren Pausen via Firmen-VPN und gefährden so die Betriebs-IT? Wie hoch ist das IT-Sicherheitsbewusstsein in der Belegschaft? Das wollte Sophos unter anderem von den hohen und höheren Führungskräften (C-Level) in den drei deutschsprachigen Ländern wissen. Im Auftrag von Sophos befragte dazu das Meinungsforschungsinstitut Ipsos rund 200 Manager aus Handel, Dienstleistungen und Verarbeitendem Gewerbe. Benotet wurde nach deutschem System, das heisst die Bestnote ist jeweils eine 1.
Noten für das IT-Sicherheitsbewusstsein: Deutsche Chefs 2, Mitarbeitende 3
Sich selbst attestieren deutsche Chefs über alle Branchen hinweg ein sehr hohes (35,3 Prozent) bis hohes (46,3 Prozent) Bewusstsein für die IT-Sicherheit. Bei der Selbsteinschätzung spielt Unternehmensgröße durchaus eine Rolle: In grösseren Betrieben (200 Mitarbeitende und mehr) geben sich 30,2 Prozent der Manager die Note 1, bei kleineren (50-199 Mitarbeitende) sind es 37,2 Prozent. Vergleicht man die Branchen, ist es insbesondere der Handel, in dem die Manager mit 38,7 Prozent der Meinung sind, ein sehr hohes Bewusstsein für IT-Sicherheit zu haben.
Bei der Beurteilung ihrer Teams sind die deutschen Manager etwas strenger: Die Mehrheit (41,8 Prozent) gibt ihnen lediglich die Schulnote 3 – Befriedigend. Die Bestnote an Mitarbeitende vergaben am meisten die Chefs aus Dienstleistungen (11 Prozent). Auch hier spielt die Unternehmensgröße bei der Beurteilung eine Rolle: Chefs von bis zu 199 Beschäftigten erscheint das Sicherheitsbewusstsein ihrer Belegschaft mit 10,8 Prozent sehr hoch. Manager bei Firmen über 200 Mitarbeitenden vergeben die Bestnote nur an 5,7 Prozent ihrer Belegschaft. Sie attestieren sogar die Note 5 zu 3,8 Prozent, während kleinere Unternehmen nur zu 0,7 Prozent ihren Mitarbeitenden ein derart geringes IT-Sicherheitsbewusstsein zuschreiben.
Manager österreichischer Grossbetriebe geben sich und Belegschaft öfter eine 1
Etwas anders sieht es dagegen in Österreich aus. Während wie in Deutschland die Mehrheit (45,3 Prozent) ihrer Belegschaft ebenfalls eine 3 gibt, liegt der Anteil der Bestnoten insgesamt höher als in Deutschland: Hier vergeben 13,2 Prozent ihren Teams im Bereich Cyberbewusstsein eine glatte 1. Und während in Deutschland die grösseren Unternehmen eine kritischere Einschätzung haben, sieht es in der Alpenrepublik genau andersherum aus: 17,6 Prozent der Betriebe mit mehr als 200 Mitarbeitenden attestieren diesen eine 1 oder 2 beim Sicherheitsbewusstsein.
Sich selbst attestieren die österreichischen Manager mit 41,5 Prozent ein sehr hohes beziehungsweise mit 39,6 Prozent ein hohes IT-Sicherheitsbewusstsein – besser als die Selbsteinschätzungen der deutschen Führungsköpfe. Ähnliche Einschätzungsverhältnisse lassen sich bei der Betrachtung der Unternehmensgrössen erkennen: In grossen Betrieben beurteilen sich die Führungskräfte sogar mit 52,9 Prozent mit einer 1, in kleineren Betrieben sind es 36,1 Prozent.
Schweizer Führungskräfte geben sich eine 2, Beschäftigten eine 2-3
Das Sicherheitsbewusstsein des Managements in der Schweiz wird im höchsten Durchschnitt mit 45,1 Prozent mit der Note 2 bewertet. Ein wenig mehr bei kleineren Betrieben (46,9 Prozent) etwas weniger bei grossen Firmen (42,1 Prozent). Die Bestnote vergeben sich 39,2 Prozent der Schweizer Chefs (im verarbeitenden Gewerbe sogar 47,4 Prozent). Grosse Firmen vergeben mit gleicher Bewertung eine 1 und eine 2 (je 42,1 Prozent).
Note 3 und damit befriedigend schätzen 35,3 Prozent der Schweizer Entscheider:innen (in grossen Betrieben 26,3 Prozent, in kleineren 40,6 Prozent) das Sicherheitsbewusstsein ihrer Mitarbeitenden ein. Grössere Betriebe vergeben ihrer Belegschaft eine glatte 2 (36,8 Prozent, Durchschnitt 29,4 Prozent).
Schulungen als wichtigste zusätzliche Sicherheitsmassnahme
Die Schulung der Mitarbeitenden ist für jeden zweiten Betrieb in Deutschland die wichtigste Maßnahme, um die Cybersicherheit im Unternehmen zu verbessern. Der Mehrheit der Betriebe ist sich bewusst, dass der Mensch ein kritischer Faktor bei der Cybersicherheit ist. Bei der Befragung, welche Massnahmen die Entscheider in ihren Unternehmen für ihre Cybersicherheit ergreifen, stehen Mitarbeiterschulungen seit mindestens zwei oder drei Jahren mit 55,7 Prozent auf Platz 1. Das Verarbeitende Gewerbe ist in Deutschland mit 64,6 Prozent bei der Schulung seit mehreren Jahren besonders engagiert, der Handel bildet seine Teams mehrheitlich erst seit etwa einem Jahr dahingehend aus (41,9 Prozent).
Im Nachbarland Österreich investieren die Chefs mit 64,4 Prozent ebenfalls seit mindestens zwei, drei Jahren als wichtigste ihrer Schutzmaßnahmen in die Sicherheitsfähigkeiten ihrer Mitarbeitenden. Im Handel ist dieser Wert mit 44,4 Prozent am geringsten. Seit erst einem Jahr hält rund jedes Fünfte Unternehmen Mitarbeiterschulungen ab (20,8 Prozent). Auch hier wieder ein starker Unterschied zwischen Verarbeitendem Gewerbe (27,8 Prozent) und Handel (11,1 Prozent), wobei der Handel mit 33,3 Prozent angibt, diese zu planen.
Die Eidgenossen sehen ebenfalls die Schulung der Belegschaft als wichtigste Maßnahme zur Verbesserung der Cybersicherheit mit 66,7 Prozent auf Platz 1 und betreiben dies seit mindestens zwei, drei Jahren. Das Schweizer verarbeitende Gewerbe liegt hier mit 84,2 Prozent deutlich über dem Durchschnitt, der Handel mit 37,5 Prozent stark darunter, die Dienstleister mit 62,5 Prozent nahe am Durchschnitt. Die Betriebsgröße ist in der Schweiz kein entscheidender Parameter und weicht nur marginal vom Durchschnitt ab.
Summa Summarum: Befriedigendes IT-Sicherheitsbewusstsein wohl hinnehmbar
Insgesamt und über alle drei Länder hinweg attestieren die Führungskräfte in Deutschland, Österreich und der Schweiz sich selbst und ihren Teams einen grundsätzlich positiven und verantwortungsvollen Umgang mit IT-Sicherheit – allerdings mit Luft nach oben. Positiv fällt das österreichische Beispiel auf, das durchaus wohlwollender mit sich und seinen Mitarbeitenden ins Gericht geht, während die Firmenleitungen zugleich das Bewusstsein weiter mit regelmäßigen Weiterbildungen aufrecht halten.
Die Chefs in Deutschland und der Schweiz urteilen über sich und Mitarbeitende recht ähnlich. Schulungen der Teams gehören ebenfalls seit Jahren zur wichtigsten Sicherheitsmassnahme, die Schweiz verzeichnet hier sogar den höchsten Wert, während sie genau wie in Deutschland der Belegschaft nur ein Befriedigend in ihrem IT-Sicherheitsbewusstsein ausstellt. Diese Diskrepanz zwischen Fähigkeits-Zuschreibung und Weiterbildung kann mehrere Gründe haben – vielleicht sind die Schulungen noch nicht so effizient wie erhofft oder es braucht eine längere Schulungsphase. Vielleicht muss nach vielfach bereits bestehender jahrelanger Schulung ein „Befriedigend“ als ausreichendes Bewusstsein für die IT-Sicherheit in Unternehmen vorläufig hingenommen werden – insbesondere angesichts der immer trickreicheren Angriffstaktiken wie beispielsweise Phishing-Mails oder Social Engineering. Auf jeden Fall ist und bleibt die Schulung ein sehr wichtiger Baustein für die IT-Sicherheit in den Firmen. Chefs sind sich der Vulnerabilität Mensch im System bewusst und zeigen Engagement, dieses mit entsprechenden Maßnahmen zu verbessern.
Quelle: Sophos