Behörden, kommunale Energieversorger und Krankenhäuser haben zahlreiche Gemeinsamkeiten. Eine ist: Sie sind ein attraktives Ziel für Cyberattacken, wie zahlreiche Meldungen aus den vergangenen Monaten und Jahren belegen. Es wird immer deutlicher, dass nur im Zusammenspiel von technologischen Schutzmaßnahmen und aufmerksamen Mitarbeitenden ein umfassender Schutz vor Cyberangriffen möglich ist.
Vor diesem Hintergrund stellt sich die Frage: Wie steht es auf kommunaler Ebene um die IT-Sicherheit in Deutschland? Dieser und weiteren Fragen ist die repräsentative Studie „Cybersicherheit in Zahlen“ nachgegangen, die aktuell in der dritten Ausgabe erschienen ist. Im Auftrag von G DATA CyberDefense hat Statista zentrale Daten zu wichtigen Aspekten der Sicherheit in der digitalen Welt zusammengetragen. Mehr als 5.000 Arbeitnehmerinnen und Arbeitnehmer wurden im beruflichen und privaten Kontext befragt – darunter auch rund 400 Personen, die im öffentlichen Dienst tätig sind.
IT-Sicherheitskompetenz: Da geht noch was
Bereits die Frage, wie Personen ihre persönliche Kompetenz in Bezug auf IT-Sicherheit einschätzen, zeigt, wie groß der Nachholbedarf im öffentlichen Sektor ist. Denn lediglich jede/r Fünfte schätzt die persönliche Kompetenz als (sehr) groß ein. Demgegenüber bescheinigen sich mehr als 37 Prozent selbst nur geringe und sehr geringe Kompetenz. Zum Vergleich: Große und sehr große Kompetenz bei der IT-Sicherheit sprechen sich insgesamt ein Drittel aller Befragten zu. Und nur 29 Prozent attestieren sich geringes und sehr geringes Fachwissen. Ein deutlicher Hinweis, dass viele Angestellte großen Nachholbedarf haben.
Obwohl Personen im öffentlichen Dienst über weniger persönliche IT-Sicherheitskompetenz verfügen, übernehmen sie am eigenen Arbeitsplatz Verantwortung. Sie zeigen hier überdurchschnittliches Verantwortungsgefühl. So fühlen sich mehr als 68 Prozent dafür zuständig, sichere Passwörter zu verwenden. Und jeweils 64 Prozent gehen mit Kennwörtern verantwortungsvoll um oder sperren den Computer beim Verlassen des Arbeitsplatzes – im Durchschnitt macht das nur jede und jeder zweite Angestellte. Und auch beim Schutz sensibler Daten und der Installation von Updates liegen sie über dem Durchschnitt.
IT-Sicherheit – ein gutes Gefühl?
Gleichwohl offenbart die Studie auch, dass das Thema IT-Sicherheit im öffentlichen Dienst nicht auf die leichte Schulter genommen wird: Neun von zehn der Befragten sind überzeugt, dass ihr Arbeitgeber Cybersicherheit ernst nimmt. Ein Wert, der sogar knapp über dem Branchendurchschnitt (86 Prozent) liegt. Trotzdem vertreten ein Drittel der Befragten im öffentlichen Dienst die Meinung, dass im Bereich IT-Sicherheit zusätzliche Investitionen notwendig sind. Denn die eingangs genannten Angriffe auf kommunale Organisationen zeigen, dass die bestehenden Maßnahmen noch nicht ausreichen, um Cyberattacken abzuwehren.
Die Erkenntnis, dass Organisationen IT-Sicherheit auf mehrere Säulen verteilen und insbesondere Mitarbeitende dabei einbeziehen müssen, setzt sich immer mehr durch. Denn noch immer reicht eine unaufmerksame Person, die den Anhang mit Schadsoftware einer E-Mail öffnet oder den Link zu einer gefälschten Webseite anklickt, um Cyberkriminellen die Tür ins Netzwerk zu öffnen. Phishing und Social Engineering funktionieren auch im Jahr 2023 immer noch. Und Cyberkriminelle werden im digitalen Wandel immer kreativer und setzen Technologien wie künstliche Intelligenz für Angriffe ein.
Security Awareness für alle
Um alle Angestellten für aktuelle Cybergefahren zu sensibilisieren, braucht es auch im öffentlichen Dienst Veranstaltungen, Schulungen oder Trainings zum Thema Cybersicherheit. Das Ziel muss sein, die Mitarbeitenden gegenüber verschiedenen Cyberrisiken und -gefahren zu sensibilisieren. 24 Prozent der Befragten geben an, dass ihr Arbeitgeber regelmäßig Schulungen oder Trainings rund um das Thema Cybersicherheit anbietet.
Bei 28 Prozent finden solche Veranstaltungen nur unregelmäßig statt. Auf der anderen Seite erhalten 48 Prozent keine Schulungen. Bei der Art der Veranstaltungen setzen Behörden überwiegend auf klassischen Methoden wie Seminare und Schulungen (69 Prozent) oder Vorträge (38 Prozent). Dabei belegen Studien, dass der Lerneffekt von Präsenzveranstaltungen nicht nachhaltig ist. Online-Formate wie etwa Security Awareness Trainings sind mit aktuellen Lernmethoden wie Storytelling oder spielerischen Ansätzen effektiver.
Sie stellen sicher, dass die Lernenden die Inhalte langfristige im Gedächtnis behalten und dann bei Bedarf das Wissen abrufen können. In der Studie erhält nur jede/r vierte Security Awareness Trainings.
Dabei zeigt die Umfrage auch, dass der Bedarf an Wissen rund um IT-Sicherheit groß ist – ebenso wie die Themenvielfalt. So wünschen sich 45 Prozent der Befragten im öffentlichen Dienst mehr Informationen. Und jeweils ein Drittel möchte sein Bewusstsein im Umgang mit Passwörtern oder Datenschutz verbessern. Weitere Thema sind Malware, Remote-Arbeit sowie Social Engineering.
Fazit: IT-Sicherheit bleibt komplex
Die Studie zeigt, dass Mitarbeitende im öffentlichen Dienst noch Nachholbedarf bei der persönlichen Kompetenz für IT-Sicherheit haben. Hier sind die Verantwortlichen in der Pflicht, Wege zu schaffen, auf denen Mitarbeitende das notwendige Wissen aufbauen können. Denn so entwickeln Angestellte ein Verständnis dafür, welche Auswirkungen ihr Handeln hat. Zudem schützen sie mit dem richtigen Verhalten nicht nur sich selbst, sondern ihre Organisation und damit auch die Arbeitsplätze der Kolleginnen und Kollegen.
Das Magazin „Cybersicherheit in Zahlen" gibt es hier zum Download.
