Die IT-Sicherheit für Unternehmen ist kein fertiger Standardbausatz, den man einmalig erwirbt, installiert und ab und zu aktualisiert. Sie ist als Prozess zu verstehen, der immer wieder neu an die veränderten Bedingungen angepasst werden muss. Dabei helfen Technik und Technologien (wie KI). Am Ende der IT-Nutzungskette jedoch sitzt der Mensch, der mithilfe von Computern und Geräten seine Tätigkeiten verrichtet. Und hier nun wird es vulnerabel mit der IT-Sicherheit. Denn der Faktor Mensch spielt immer wieder eine entscheidende Rolle, wenn es um Schwachstellen geht.
Doch wie sehen die Firmenleitungen in Deutschland, Österreich und der Schweiz das? Trauen sie ihren Mitarbeitenden zu, eine täuschend echt wirkende Phishing-E-Mail zu erkennen? Surfen sie im Homeoffice in ihren Pausen via Firmen-VPN und gefährden so die Betriebs-IT? Wie hoch ist das Sicherheitsbewusstsein in der Belegschaft? Das wollte Sophos unter anderem von den hohen und höheren Führungskräften (C-Level) in den drei deutschsprachigen Ländern wissen. Im Auftrag von Sophos befragte dazu das Meinungsforschungsinstitut Ipsos rund 200 Manager aus Handel, Dienstleistungen und Verarbeitendem Gewerbe.
Sicherheitsbewusstsein:
Deutsche Chefs geben sich mehrheitlich eine 2, ihren Mitarbeitenden die Note 3
Sich selbst attestieren deutsche Chefs über alle Branchen hinweg ein sehr hohes (35,3 Prozent) bis hohes (46,3 Prozent) Bewusstsein für die IT-Sicherheit. Bei der Selbsteinschätzung spielt Unternehmensgröße durchaus eine Rolle: In größeren Betrieben (200 Mitarbeitende und mehr) geben sich 30,2 Prozent der Manager die Note 1, bei kleineren (50-199 Mitarbeitende) sind es 37,2 Prozent. Vergleicht man die Branchen, ist es insbesondere der Handel, in dem die Manager mit 38,7 Prozent der Meinung sind, ein sehr hohes Bewusstsein für IT-Sicherheit zu haben.
Bei der Beurteilung ihrer Teams sind die deutschen Manager etwas strenger: Die Mehrheit (41,8 Prozent) gibt ihnen lediglich die Schulnote 3 – Befriedigend. Die Bestnote an Mitarbeitende vergaben am meisten die Chefs aus Dienstleistungen (11 Prozent). Auch hier spielt die Unternehmensgröße bei der Beurteilung eine Rolle: Chefs von bis zu 199 Beschäftigten erscheint das Sicherheitsbewusstsein ihrer Belegschaft mit 10,8 Prozent sehr hoch. Manager bei Firmen über 200 Mitarbeitenden vergeben die Bestnote nur an 5,7 Prozent ihrer Belegschaft. Sie attestieren sogar die Note 5 zu 3,8 Prozent, während kleinere Unternehmen nur zu 0,7 Prozent ihren Mitarbeitenden ein derart geringes Sicherheitsbewusstsein zuschreiben.
Manager österreichischer Großbetriebe geben sich und Belegschaft öfter eine 1
Etwas anders sieht es dagegen in Österreich aus. Während wie in Deutschland die Mehrheit (45,3 Prozent) ihrer Belegschaft ebenfalls eine 3 gibt, liegt der Anteil der Bestnoten insgesamt höher als in Deutschland: Hier vergeben 13,2 Prozent ihren Teams im Bereich Cyberbewusstsein eine glatte 1. Und während in Deutschland die größeren Unternehmen eine kritischere Einschätzung haben, sieht es in der Alpenrepublik genau andersherum aus: 17,6 Prozent der Betriebe mit mehr als 200 Mitarbeitenden attestieren diesen eine 1 oder 2 beim Sicherheitsbewusstsein.
Sich selbst attestieren die österreichischen Manager mit 41,5 Prozent ein sehr hohes beziehungsweise mit 39,6 Prozent ein hohes Sicherheitsbewusstsein – besser als die Selbsteinschätzungen der deutschen Führungsköpfe.
Ähnliche Einschätzungsverhältnisse lassen sich bei der Betrachtung der Unternehmensgrößen erkennen: In großen Betrieben beurteilen sich die Führungskräfte sogar mit 52,9 Prozent mit einer 1, in kleineren Betrieben sind es 36,1 Prozent.
Schweizer Führungskräfte geben sich eine 2, Beschäftigten eine 2-3
Das Sicherheitsbewusstsein des Managements in der Schweiz wird im höchsten Durchschnitt mit 45,1 Prozent mit der Note 2 bewertet. Ein wenig mehr bei kleineren Betrieben (46,9 Prozent) etwas weniger bei großen Firmen (42,1 Prozent). Die Bestnote vergeben sich 39,2 Prozent der Schweitzer Chefs (im verarbeitenden Gewerbe sogar 47,4 Prozent). Große Firmen vergeben mit gleicher Bewertung eine 1 und eine 2 (je 42,1 Prozent).
Note 3 und damit befriedigend schätzen 35,3 Prozent der Schweizer Entscheider:innen (in großen Betrieben 26,3 Prozent, in kleineren 40,6 Prozent) das Sicherheitsbewusstsein ihrer Mitarbeitenden ein. Größere Betriebe vergeben ihrer Belegschaft eine glatte 2 (36,8 Prozent, Durchschnitt 29,4 Prozent).
Schulungen als wichtigste zusätzliche Sicherheitsmaßnahme
Die Schulung der Mitarbeitenden ist für jeden zweiten Betrieb in Deutschland die wichtigste Maßnahme, um die Cybersicherheit im Unternehmen zu verbessern. Der Mehrheit der Betriebe ist sich bewusst, dass der Mensch ein kritischer Faktor bei der Cybersicherheit ist. Bei der Befragung, welche Maßnahmen die Entscheider in ihren Unternehmen für ihre Cybersicherheit ergreifen, stehen Mitarbeiterschulungen seit mindestens zwei oder drei Jahren mit 55,7 Prozent auf Platz 1. Das Verarbeitende Gewerbe ist in Deutschland mit 64,6 Prozent bei der Schulung seit mehreren Jahren besonders engagiert, der Handel bildet seine Teams mehrheitlich erst seit etwa einem Jahr dahingehend aus (41,9 Prozent).
Im Nachbarland Österreich investieren die Chefs mit 64,4 Prozent ebenfalls seit mindestens zwei, drei Jahren als wichtigste ihrer Schutzmaßnahmen in die Sicherheitsfähigkeiten ihrer Mitarbeitenden. Im Handel ist dieser Wert mit 44,4 Prozent am geringsten. Seit erst einem Jahr hält rund jedes Fünfte Unternehmen Mitarbeiterschulungen ab (20,8 Prozent). Auch hier wieder ein starker Unterschied zwischen Verarbeitendem Gewerbe (27,8 Prozent) und Handel (11,1 Prozent), wobei der Handel mit 33,3 Prozent angibt, diese zu planen.
Die Eidgenossen sehen ebenfalls die Schulung der Belegschaft als wichtigste Maßnahme zur Verbesserung der Cybersicherheit mit 66,7 Prozent auf Platz 1 und betreiben dies seit mindestens zwei, drei Jahren. Das Schweizer verarbeitende Gewerbe liegt hier mit 84,2 Prozent deutlich über dem Durchschnitt, der Handel mit 37,5 Prozent stark darunter, die Dienstleister mit 62,5 Prozent nahe am Durchschnitt. Die Betriebsgröße ist in der Schweiz kein entscheidender Parameter und weicht nur marginal vom Durchschnitt ab.
Summa Summarum
Insgesamt und über alle drei Länder hinweg attestieren die Führungskräfte in Deutschland, Österreich und der Schweiz sich selbst und ihren Teams einen grundsätzlich positiven und verantwortungsvollen Umgang mit IT-Sicherheit – allerdings mit Luft nach oben. Positiv fällt das österreichische Beispiel auf, das durchaus wohlwollender mit sich und seinen Mitarbeitenden ins Gericht geht, während die Firmenleitungen zugleich das Bewusstsein weiter mit regelmäßigen Weiterbildungen aufrecht halten.
Die Chefs in Deutschland und der Schweiz urteilen über sich und Mitarbeitende recht ähnlich. Schulungen der Teams gehören ebenfalls seit Jahren zur wichtigsten Sicherheitsmaßnahme, die Schweiz verzeichnet hier sogar den höchsten Wert, während sie genau wie in Deutschland der Belegschaft nur ein Befriedigend in ihrem Sicherheitsbewusstsein ausstellt. Diese Diskrepanz zwischen Fähigkeits-Zuschreibung und Weiterbildung kann mehrere Gründe haben – vielleicht sind die Schulungen noch nicht so effizient wie erhofft oder es braucht eine längere Schulungsphase. Vielleicht muss nach vielfach bereits bestehender jahrelanger Schulung ein „Befriedigend“ als ausreichendes Bewusstsein für die IT-Sicherheit in Unternehmen vorläufig hingenommen werden – insbesondere angesichts der immer trickreicheren Angriffstaktiken wie beispielsweise Phishing-Mails oder Social Engineering. Auf jeden Fall ist und bleibt die Schulung ein sehr wichtiger Baustein für die IT-Sicherheit in den Firmen. Chefs sind sich der Vulnerabilität Mensch im System bewusst und zeigen Engagement, dieses mit entsprechenden Maßnahmen zu verbessern.
Über die Umfrage:
Ipsos hat im Auftrag von Sophos 201 C-Level-Managerinnen und -Manager aus Handel, Dienstleitung und verarbeitendem Gewerbe in Deutschland sowie jeweils 50 in Österreich und der Schweiz zum Thema IT-Sicherheit in ihren Unternehmen befragt.
Doch wie sehen die Firmenleitungen in Deutschland, Österreich und der Schweiz das? Trauen sie ihren Mitarbeitenden zu, eine täuschend echt wirkende Phishing-E-Mail zu erkennen? Surfen sie im Homeoffice in ihren Pausen via Firmen-VPN und gefährden so die Betriebs-IT? Wie hoch ist das Sicherheitsbewusstsein in der Belegschaft? Das wollte Sophos unter anderem von den hohen und höheren Führungskräften (C-Level) in den drei deutschsprachigen Ländern wissen. Im Auftrag von Sophos befragte dazu das Meinungsforschungsinstitut Ipsos rund 200 Manager aus Handel, Dienstleistungen und Verarbeitendem Gewerbe.
Sicherheitsbewusstsein:
Deutsche Chefs geben sich mehrheitlich eine 2, ihren Mitarbeitenden die Note 3
Sich selbst attestieren deutsche Chefs über alle Branchen hinweg ein sehr hohes (35,3 Prozent) bis hohes (46,3 Prozent) Bewusstsein für die IT-Sicherheit. Bei der Selbsteinschätzung spielt Unternehmensgröße durchaus eine Rolle: In größeren Betrieben (200 Mitarbeitende und mehr) geben sich 30,2 Prozent der Manager die Note 1, bei kleineren (50-199 Mitarbeitende) sind es 37,2 Prozent. Vergleicht man die Branchen, ist es insbesondere der Handel, in dem die Manager mit 38,7 Prozent der Meinung sind, ein sehr hohes Bewusstsein für IT-Sicherheit zu haben.
Bei der Beurteilung ihrer Teams sind die deutschen Manager etwas strenger: Die Mehrheit (41,8 Prozent) gibt ihnen lediglich die Schulnote 3 – Befriedigend. Die Bestnote an Mitarbeitende vergaben am meisten die Chefs aus Dienstleistungen (11 Prozent). Auch hier spielt die Unternehmensgröße bei der Beurteilung eine Rolle: Chefs von bis zu 199 Beschäftigten erscheint das Sicherheitsbewusstsein ihrer Belegschaft mit 10,8 Prozent sehr hoch. Manager bei Firmen über 200 Mitarbeitenden vergeben die Bestnote nur an 5,7 Prozent ihrer Belegschaft. Sie attestieren sogar die Note 5 zu 3,8 Prozent, während kleinere Unternehmen nur zu 0,7 Prozent ihren Mitarbeitenden ein derart geringes Sicherheitsbewusstsein zuschreiben.
Manager österreichischer Großbetriebe geben sich und Belegschaft öfter eine 1
Etwas anders sieht es dagegen in Österreich aus. Während wie in Deutschland die Mehrheit (45,3 Prozent) ihrer Belegschaft ebenfalls eine 3 gibt, liegt der Anteil der Bestnoten insgesamt höher als in Deutschland: Hier vergeben 13,2 Prozent ihren Teams im Bereich Cyberbewusstsein eine glatte 1. Und während in Deutschland die größeren Unternehmen eine kritischere Einschätzung haben, sieht es in der Alpenrepublik genau andersherum aus: 17,6 Prozent der Betriebe mit mehr als 200 Mitarbeitenden attestieren diesen eine 1 oder 2 beim Sicherheitsbewusstsein.
Sich selbst attestieren die österreichischen Manager mit 41,5 Prozent ein sehr hohes beziehungsweise mit 39,6 Prozent ein hohes Sicherheitsbewusstsein – besser als die Selbsteinschätzungen der deutschen Führungsköpfe.
Ähnliche Einschätzungsverhältnisse lassen sich bei der Betrachtung der Unternehmensgrößen erkennen: In großen Betrieben beurteilen sich die Führungskräfte sogar mit 52,9 Prozent mit einer 1, in kleineren Betrieben sind es 36,1 Prozent.
Schweizer Führungskräfte geben sich eine 2, Beschäftigten eine 2-3
Das Sicherheitsbewusstsein des Managements in der Schweiz wird im höchsten Durchschnitt mit 45,1 Prozent mit der Note 2 bewertet. Ein wenig mehr bei kleineren Betrieben (46,9 Prozent) etwas weniger bei großen Firmen (42,1 Prozent). Die Bestnote vergeben sich 39,2 Prozent der Schweitzer Chefs (im verarbeitenden Gewerbe sogar 47,4 Prozent). Große Firmen vergeben mit gleicher Bewertung eine 1 und eine 2 (je 42,1 Prozent).
Note 3 und damit befriedigend schätzen 35,3 Prozent der Schweizer Entscheider:innen (in großen Betrieben 26,3 Prozent, in kleineren 40,6 Prozent) das Sicherheitsbewusstsein ihrer Mitarbeitenden ein. Größere Betriebe vergeben ihrer Belegschaft eine glatte 2 (36,8 Prozent, Durchschnitt 29,4 Prozent).
Schulungen als wichtigste zusätzliche Sicherheitsmaßnahme
Die Schulung der Mitarbeitenden ist für jeden zweiten Betrieb in Deutschland die wichtigste Maßnahme, um die Cybersicherheit im Unternehmen zu verbessern. Der Mehrheit der Betriebe ist sich bewusst, dass der Mensch ein kritischer Faktor bei der Cybersicherheit ist. Bei der Befragung, welche Maßnahmen die Entscheider in ihren Unternehmen für ihre Cybersicherheit ergreifen, stehen Mitarbeiterschulungen seit mindestens zwei oder drei Jahren mit 55,7 Prozent auf Platz 1. Das Verarbeitende Gewerbe ist in Deutschland mit 64,6 Prozent bei der Schulung seit mehreren Jahren besonders engagiert, der Handel bildet seine Teams mehrheitlich erst seit etwa einem Jahr dahingehend aus (41,9 Prozent).
Im Nachbarland Österreich investieren die Chefs mit 64,4 Prozent ebenfalls seit mindestens zwei, drei Jahren als wichtigste ihrer Schutzmaßnahmen in die Sicherheitsfähigkeiten ihrer Mitarbeitenden. Im Handel ist dieser Wert mit 44,4 Prozent am geringsten. Seit erst einem Jahr hält rund jedes Fünfte Unternehmen Mitarbeiterschulungen ab (20,8 Prozent). Auch hier wieder ein starker Unterschied zwischen Verarbeitendem Gewerbe (27,8 Prozent) und Handel (11,1 Prozent), wobei der Handel mit 33,3 Prozent angibt, diese zu planen.
Die Eidgenossen sehen ebenfalls die Schulung der Belegschaft als wichtigste Maßnahme zur Verbesserung der Cybersicherheit mit 66,7 Prozent auf Platz 1 und betreiben dies seit mindestens zwei, drei Jahren. Das Schweizer verarbeitende Gewerbe liegt hier mit 84,2 Prozent deutlich über dem Durchschnitt, der Handel mit 37,5 Prozent stark darunter, die Dienstleister mit 62,5 Prozent nahe am Durchschnitt. Die Betriebsgröße ist in der Schweiz kein entscheidender Parameter und weicht nur marginal vom Durchschnitt ab.
Summa Summarum
Insgesamt und über alle drei Länder hinweg attestieren die Führungskräfte in Deutschland, Österreich und der Schweiz sich selbst und ihren Teams einen grundsätzlich positiven und verantwortungsvollen Umgang mit IT-Sicherheit – allerdings mit Luft nach oben. Positiv fällt das österreichische Beispiel auf, das durchaus wohlwollender mit sich und seinen Mitarbeitenden ins Gericht geht, während die Firmenleitungen zugleich das Bewusstsein weiter mit regelmäßigen Weiterbildungen aufrecht halten.
Die Chefs in Deutschland und der Schweiz urteilen über sich und Mitarbeitende recht ähnlich. Schulungen der Teams gehören ebenfalls seit Jahren zur wichtigsten Sicherheitsmaßnahme, die Schweiz verzeichnet hier sogar den höchsten Wert, während sie genau wie in Deutschland der Belegschaft nur ein Befriedigend in ihrem Sicherheitsbewusstsein ausstellt. Diese Diskrepanz zwischen Fähigkeits-Zuschreibung und Weiterbildung kann mehrere Gründe haben – vielleicht sind die Schulungen noch nicht so effizient wie erhofft oder es braucht eine längere Schulungsphase. Vielleicht muss nach vielfach bereits bestehender jahrelanger Schulung ein „Befriedigend“ als ausreichendes Bewusstsein für die IT-Sicherheit in Unternehmen vorläufig hingenommen werden – insbesondere angesichts der immer trickreicheren Angriffstaktiken wie beispielsweise Phishing-Mails oder Social Engineering. Auf jeden Fall ist und bleibt die Schulung ein sehr wichtiger Baustein für die IT-Sicherheit in den Firmen. Chefs sind sich der Vulnerabilität Mensch im System bewusst und zeigen Engagement, dieses mit entsprechenden Maßnahmen zu verbessern.
Über die Umfrage:
Ipsos hat im Auftrag von Sophos 201 C-Level-Managerinnen und -Manager aus Handel, Dienstleitung und verarbeitendem Gewerbe in Deutschland sowie jeweils 50 in Österreich und der Schweiz zum Thema IT-Sicherheit in ihren Unternehmen befragt.
