IT-Sicherheitsstrategien deutscher Unternehmen: G DATA CyberDefense warnt vor großen Lücken

Fast die Hälfte der deutschen Geschäftsführungen hält laut G-DATA-Studie Schulungen zur Security Awareness für überflüssig

[datensicherheit.de, 23.03.2024] Eine nach eigenen Angaben repräsentative Umfrage der G DATA CyberDefense AG offenbart „große Lücken in den IT-Sicherheitsstrategien deutscher Unternehmen“, denn demnach hält fast die Hälfte der deutschen Geschäftsführungen „Security Awareness“-Schulungen für überflüssig. Die Notwendigkeit, Angestellte für das Thema IT-Sicherheit zu sensibilisieren, sei indes akuter denn je.

Foto: G DATA CyberDefense AG

Andreas Lüning, Vorstand und Mitgründer G DATA: Durch den gezielten Einsatz von Social Engineering nutzen Angreifer menschliche Schwachstellen in der IT-Sicherheitskette aus!

Laut G DATA herrscht in vielen Unternehmen noch immer dringender Handlungsbedarf

Es herrsche in vielen Unternehmen noch immer dringender Handlungsbedarf, denn laut der aktuellen Studie „Cybersicherheit in Zahlen“ (eine Kooperation der G DATA CyberDefense AG mit Statista und „brand eins“) finden rund 46 Prozent der Befragten, „dass technische Sicherheitslösungen allein ausreichen, um Cyber-Bedrohungen abzuwehren“.

Dies berge nicht nur ein erhöhtes Risiko für Cyber-Angriffe wie „Social Engineering“, sondern verstoße künftig gegen kommende gesetzliche Vorgaben wie die NIS-2-Direktive (NIS: „Network and Information Security“ – mit der NIS-2-Richtlinie gelten zukünftig für viele Unternehmen und Organisationen in 18 Sektoren verpflichtende, bei Verstößen mit hohen Geldbußen bewehrte Sicherheitsmaßnahmen und Meldepflichten). Diese Regelung mache die Durchführung von „Security Awareness“-Schulungen für alle Mitarbeiter verpflichtend.

Erkenntnisse aus der Studie beurteilt G DATA als alarmierend

Ein falscher Klick auf einen Phishing-Link genüge, um Cyber-Kriminellen Zugriff auf Unternehmensnetzwerke zu gewähren. Daher sei es alarmierend, dass laut der aktuellen Studie fast die Hälfte der Befragten findet, dass technische Sicherheitslösungen wie Firewalls und Antivirensoftware zum Schutz vor Cyber-Bedrohungen ausreichten. Zusätzlich gäben mehr als ein Drittel der Befragten an, „Security Awareness“-Schulungen ausschließlich auf IT-Mitarbeiter in ihrem Unternehmen zu beschränken. Diese Einschränkung berge jedoch ein erhebliches Risiko, denn die gesamte Belegschaft müsse in der Lage sein, potenzielle Bedrohungen zu erkennen und zu melden.

Ein Beispiel hierfür sei etwa der Buchhalter, der bei unzureichender Sensibilisierung eine gefälschte Rechnung akzeptiert oder das HR-Team, welches in einer gefälschten Bewerbung versehentlich einen Phishing-Link anklickt. Des Weiteren zögerten rund 33 Prozent aufgrund hoher Kosten, IT-Sicherheitsschulungen durchzuführen. Während aber die Ausgaben für Schulungen als hoch angesehen würden, seien die Kosten eines Cyber-Angriffs oft um ein Vielfaches höher. Daher sei die Investition in die Sensibilisierung der Angestellten langfristig kosteneffizienter als die Bewältigung der Folgen eines erfolgreichen Angriffs.

Plädoyer von G DATA: Umdenken unerlässlich, insbesondere angesichts der NIS-2-Direktive

Andreas Lüning, Vorstand und Mitgründer der G DATA CyberDefense AG, kommentiert: „Die Studienergebnisse verdeutlichen ein grundlegendes Missverständnis darüber, wie Cyber-Kriminelle bei ihren Angriffen agieren und wie sich Unternehmen wirksam vor ihnen schützen. Durch den gezielten Einsatz von ,Social Engineering’ nutzen Angreifer menschliche Schwachstellen in der IT-Sicherheitskette aus, was alle Mitarbeitenden unabhängig von ihrer Position zu potenziellen Einfallstoren macht.“

Vor diesem Hintergrund sei ein Umdenken unerlässlich, insbesondere angesichts der bevorstehenden NIS-2-Direktive, welche ein erhöhtes gemeinsames Cyber-Sicherheitsniveau in der EU anstrebe und verpflichtende IT-Sicherheitsmaßnahmen in wichtigen und wesentlichen Sektoren vorschreibe.

G DATA unterstreicht entscheidende Rolle von IT-Sicherheitsschulungen

In der heutigen Unternehmenslandschaft sei die Rolle von „Security Awareness“-Schulungen entscheidend, denn mit ihnen würden Mitarbeiter zu einem integralen Bestandteil der Abwehrstrategie gegen Cyber-Bedrohungen. Darüber hinaus dienten IT-Sicherheitsschulungen der zukünftigen Einhaltung gesetzlicher Vorschriften wie der NIS-2-Direktive.

Die kontinuierliche Weiterbildung der Mitarbeiter ermöglicht es Unternehmen, sich proaktiv auf neue Bedrohungen vorzubereiten und schnell darauf zu reagieren. Letztendlich sollten IT-Sicherheitsschulungen als Teil einer umfassenden IT-Sicherheitsstrategie betrachtet werden, „die sowohl die technische als auch menschliche Komponente umfasst und darauf abzielt, die Resilienz des Unternehmens gegenüber Cyber-Angriffen zu stärken“.

G DATA stellt Studie zur Cyber-Sicherheit zum Download bereit

„Cybersicherheit in Zahlen“ zeichne sich durch eine hohe Informationsdichte und besondere methodische Tiefe aus: „Die Researcher und Marktforscher von Statista haben Zahlen, Daten und Fakten aus mehr als 300 Statistiken zu einem einzigartigen Gesamtwerk zusammengeführt.“

Mehr als 5.000 Arbeitnehmer in Deutschland seien im Rahmen einer repräsentativen Online-Studie zur Cyber-Sicherheit im beruflichen und privaten Kontext befragt worden. Die Fachleute von Statista hätten die Befragung eng begleitet und könnten dank einer Stichprobengröße, welche weit über dem branchenüblichen Standard liege, belastbare und valide Marktforschungsergebnisse im Heft „Cybersicherheit in Zahlen“ präsentieren.

Weitere Informationen zum Thema:

G DATA CyberDefense
Cybersicherheit in Zahlen