IT-Entscheider, insbesondere im Bereich IT-Security, stehen aktuell vor einer Vielzahl von Themen, die sie gleichzeitig bearbeiten müssen. Welche Schwerpunkte zurzeit von Bedeutung sind, zeigt die Studie „Cybersicherheit in Zahlen“ von G DATA CyberDefense, die zusammen mit Statista und brand eins erstellt wurde.
Die Ergebnisse sprechen eine klare Sprache: Der Druck auf die Verantwortlichen wächst.
Künstliche Intelligenz (KI) ist mittlerweile ein ständiger Begleiter im Arbeitsalltag vieler Unternehmen. Ob in der Automatisierung von Prozessen oder in der Verbesserung der Qualität von Produkten und Dienstleistungen – KI bietet viele Möglichkeiten, die Produktivität zu steigern. Doch während Unternehmen auf die Potenziale der Technologie setzen, wird auch über mögliche Risiken diskutiert. Daher drängt sich die Frage auf: Wie gut sind Mitarbeitende auf den Einsatz von KI vorbereitet, und welche Schutzmaßnahmen haben Unternehmen implementiert? Die Studie „Cybersicherheit in Zahlen“ gibt darauf Antworten. Sie zeigt, wie gut das Wissen über KI bei den Angestellten ist und wie Unternehmen KI-Anwendungen absichern. Über 5.000 Arbeitnehmerinnen und Arbeitnehmer wurden befragt.
Fehlendes Wissen bremst den Einsatz von KI
Die Nutzung von KI erfordert ein solides Verständnis der Technologie, um diese gewinnbringend einzusetzen. Doch wie die Studie zeigt, haben viele Mitarbeitende nur grundlegende Kenntnisse im Umgang mit KI. Über 87 Prozent der Befragten bewerten ihr Wissen als eher mittelmäßig oder rudimentär. Nur ein kleiner Teil – 13 Prozent – sieht sich selbst als erfahren oder als Experten auf dem Gebiet.
Interessanterweise sieht es bei Mitarbeitenden aus dem IT-Sicherheitsumfeld etwas besser aus: Hier stuft fast ein Drittel der Befragten ihre Kenntnisse als fortgeschritten oder professionell ein. Auch hier bleibt eine Mehrheit von 67 Prozent, die angibt, nur über grundlegendes bis durchschnittliches Wissen zu verfügen. Doch nicht nur die Mitarbeitenden müssen aufholen – auch die Unternehmen sind gefragt, mehr für den sicheren Einsatz von KI zu tun. Ein Drittel der befragten Unternehmen setzt bereits auf Verschlüsselungstechnologien, um sensible Daten in KI-Anwendungen zu schützen. Schulungen und interne Richtlinien zur sicheren Nutzung von KI gehören ebenfalls zu den Maßnahmen, die zunehmend zum Einsatz kommen. Es bleibt noch Luft nach oben: Nur etwa zehn Prozent der Unternehmen setzen gar keine Sicherheitsmaßnahmen im Zusammenhang mit KI ein.
NIS-2: Der Countdown läuft
Auch bei der Umsetzung der NIS-2-Richtlinie stehen viele Unternehmen unter Druck. Zwar wurde die EU-weite Frist in Deutschland um einige Monate verlängert – optimistische Schätzungen gehen von einer Einführung im Frühjahr 2025 aus – doch viele Organisationen müssen noch die geforderten Sicherheitsmaßnahmen und Meldepflichten einführen. Der Umsetzungsprozess sorgt bei vielen IT-Verantwortlichen für Unsicherheit. Die Studie zeigt, dass mehr als 60 Prozent der Befragten nicht wissen, ob ihr Unternehmen von den neuen Vorgaben betroffen ist. Dabei ist die Klärung dieser Frage nur der erste Schritt. Betriebe, die unter die Regelung fallen, müssen die geforderten Prozesse implementieren, was für 58 Prozent der Befragten eine große Herausforderung darstellt. Denn es fehlen oft klare Informationen zur Umsetzung, und bestehende Prozesse müssen grundlegend überarbeitet werden. Wer sich jetzt erst mit NIS-2 beschäftigt, hat bereits wertvolle Zeit verloren.
IT-Sicherheitskompetenz ist ungleich verteilt
Die letzten Jahre haben gezeigt, dass es Mitarbeitende mit einem Bewusstsein für Cyberrisiken braucht, um Cyberangriffe frühzeitig zu erkennen und abzuwehren. Doch die Studie belegt, dass das Wissen über IT-Sicherheit in den Unternehmen noch stark variiert. Nur 28 Prozent der Befragten schätzen ihre eigene Kompetenz im Bereich IT-Sicherheit als hoch und sehr hoch ein. Auf der anderen Seite stehen 27 Prozent, die ihre Kenntnisse als gering und sehr gering bewerten.
Besonders auffällig ist, dass das IT-Sicherheitswissen in unterschiedlichen Abteilungen stark schwankt. Während Mitarbeitende in IT-nahen Bereichen oft besser geschult sind, weisen Abteilungen wie Buchhaltung, Personal oder Finanzen deutlich geringere Kompetenzen auf. Zudem gibt es große Unterschiede zwischen den Branchen. Mehr als 48 Prozent der Beschäftigten im Bereich IT und Telekommunikation sehen sich als gut informiert. Im öffentlichen Sektor sowie im Gesundheitswesen und sozialen Bereichen sind es hingegen weniger als ein Fünftel. Dieser Mangel an Sensibilität führt oft dazu, dass Risiken unterschätzt werden – eine Situation, die Cyberkriminelle gezielt ausnutzen. Fast die Hälfte der Befragten sieht die Gefahr eines Cyberangriffs im beruflichen Umfeld als gering an.
Security Awareness Trainings: Der Schlüssel zum Schutz
Kriminelle setzen oft gezielt auf menschliche Schwächen wie Neugier, Gier oder Zeitdruck. Dass diese Verhaltensweisen leicht ausgenutzt werden können, ist kein Geheimnis. Viele Mitarbeitende öffnen unsichere Webseiten oder Dateien – fast 30 Prozent der Befragten geben dies zu. Rund 22 Prozent haben einen unbekannten QR-Code gescannt.
Um solche Sicherheitsrisiken zu minimieren, setzen immer mehr Unternehmen auf Security Awareness Trainings. Diese Schulungen sollen Mitarbeitende für die Gefahren sensibilisieren und das Bewusstsein für IT-Sicherheit schärfen. Besonders IT-affine Branchen sind hierbei besser aufgestellt. In der Telekommunikationsbranche etwa haben nur 4,7 Prozent der Befragten noch nie von solchen Schulungen gehört, im Finanzsektor sind es 5,4 Prozent. Im Gesundheitswesen und sozialen Bereich liegt der Anteil hingegen bei fast einem Drittel.
Ohne Fachkräfte keine IT-Sicherheit
Der Fachkräftemangel in der IT und IT-Sicherheit ist seit Jahren bekannt. Die Studie zeigt, dass über 44 Prozent der Befragten den Mangel an IT-Sicherheitsfachkräften als hoch oder sehr hoch einstufen. Oft liegt die Verantwortung für die IT-Sicherheit bei den IT-Administratoren, was gravierende Folgen haben kann. So berichten über 43 Prozent der Befragten, dass Meldungen von Sicherheitslösungen wie Antiviren-Software nicht ausreichend ausgewertet werden. Über zwei Drittel bemängeln, dass kritische Systeme zu langsam mit Updates versorgt werden. Mehr als ein Viertel spricht von falsch konfigurierten Systemen. Gerade mittelständische Unternehmen haben Schwierigkeiten, qualifizierte Fachkräfte zu finden. Um diese Lücke zu schließen, setzen viele auf spezialisierte Dienstleister, die Managed-Security-Lösungen anbieten, wie etwa Managed Extended Detection and Response (MXDR).
Handlungsbedarf erkennen und angehen
Es ist offensichtlich, dass Firmen vor einer Vielzahl an Aufgaben bei der IT-Sicherheit stehen. Doch anstatt in allen Bereichen gleichzeitig aktiv zu werden, sollten Unternehmen priorisieren. Ein gezielter Blick auf die eigene IT-Sicherheitsstrategie zeigt, wo schnell gehandelt werden sollte. Wer jetzt anfängt, die bestehenden Defizite zu analysieren und gezielt abzuarbeiten, macht den ersten Schritt in Richtung eines besseren Schutzes vor Cyberangriffen. Eines sollte dabei klar sein: Der Kampf gegen Cyberkriminalität endet nie. Und ebenso wenig sollte das Streben nach bestmöglicher IT-Sicherheit jemals enden.
Cybersicherheit in Zahlen zum Download
„Cybersicherheit in Zahlen“ erscheint bereits zum vierten Mal und zeichnet sich durch eine hohe Informationsdichte und besondere methodische Tiefe aus: Die Marktforscher von Statista haben Zahlen, Daten und Fakten aus mehr als 300 Statistiken zu einem einzigartigen Gesamtwerk zusammengeführt. Mehr als 5.000 Arbeitnehmerinnen und Arbeitnehmer in Deutschland wurden im Rahmen einer repräsentativen Online-Studie zur Cybersicherheit im beruflichen und privaten Kontext befragt. Die Fachleute von Statista haben die Befragung eng begleitet und können dank einer Stichprobengröße, die weit über dem branchenüblichen Standard liegt, belastbare und valide Marktforschungsergebnisse im Magazin „Cybersicherheit in Zahlen“ präsentieren.
Das Magazin „Cybersicherheit in Zahlen“ steht hier zum Download bereit.