Autor: Stefan Karpenstein, PR-Manager bei G DATA CyberDefense

Künstliche Intelligenz (KI), fehlendes IT-Security-Know-how und ein weiterhin hohes Cyberrisiko – IT-Security-Verantwortliche in mittelständischen Unternehmen haben zurzeit viele wichtige Themen auf ihrer To-do-Liste. Wie es um die Kompetenzen der Angestellten beim Einsatz von KI steht und vor welchen weiteren Herausforderungen Führungskräfte stehen, zeigt die aktuelle Studie „Cybersicherheit in Zahlen“ von G DATA CyberDefense in Zusammenarbeit mit Statista und brand eins. Die Ergebnisse zeigen: Der Handlungsdruck ist groß.

Das Thema Künstliche Intelligenz (KI) ist in aller Munde und wird unter verschiedenen Aspekten diskutiert. Angesichts der aktuellen Diskussionen Grenzen und Gefahren stellen sich Fragen, wie Angestellte ihren Wissenstand in Bezug auf KI einschätzen und welche Maßnahmen Unternehmen zur sicheren Anwendung von KI umsetzen. Antworten dazu finden sich in der aktuellen Studie „Cybersicherheit in Zahlen“. Bereits zum vierten Mal hat Statista im Auftrag von G DATA CyberDefense eine repräsentative Studie zum Stand der IT-Sicherheit in Deutschland durchgeführt. Mehr als 5.000 Arbeitnehmerinnen und Arbeitnehmer wurden im beruflichen und privaten Kontext befragt. Rund 1.000 davon sind in mittelständischen Unternehmen beschäftigt.

Für den zielgerichteten Einsatz von KI benötigen Menschen nicht nur ein gutes Verständnis dieser Technologie, sondern auch eine Vorstellung, welches Ergebnis die Anwendung liefern soll, etwa bei einer Themenrecherche. Die Studie kommt aber zu dem Ergebnis, dass es vielen Studienteilnehmenden noch an Fachwissen fehlt. 88 Prozent aller befragten Personen in mittelständischen Firmen schätzen ihren Wissensstand zu KI nur als grundlegend oder vielmehr durchschnittlich ein. Nur 12 Prozent der Befragten bescheinigen sich selbst fortgeschrittene Kenntnisse oder Expertenwissen. Daher überrascht es nicht, dass viele Angestellte Bedenken in Bezug auf den Einsatz von KI aussprechen. Neben dem Datenschutz, den mehr als ein Drittel bedenklich finden, sind es die Manipulation sowie die mangelnde Kontrolle von KI-Systemen, denen Befragte gegenüber Besorgnis äußern. Auch Haftungsfragen und die fehlende Nachvollziehbarkeit von Entscheidungen werden immer wieder genannt. Hier müssen die Verantwortlichen in Unternehmen tätig werden und die Bedenken der Angestellten ernst nehmen.

IT-Sicherheit braucht Fachleute

Der Mangel an Personal in der IT und IT-Sicherheit ist nicht nur groß, sondern auch seit langem bekannt. In der Studie schätzen mehr als 44 Prozent der Befragten den Fachkräftemangel im Bereich IT-Sicherheit als hoch oder sehr hoch ein. Aber welche Auswirkungen hat der Mangel an Fachleuten auf Unternehmen? Vor allem in der aktuellen Lage müssen Administratoren viele sicherheitsrelevante Aufgaben übernehmen. Mehr als 43 Prozent sagen, dass sie Informationen zur IT-Sicherheit, wie etwa Meldungen von Sicherheitssystemen, nicht ausreichend analysieren können. Zudem berichten mehr als zwei Drittel, dass das Installieren von wichtigen Updates für Systeme zu langsam erfolgt. Mehr als ein Viertel der Teilnehmerinnen und Teilnehmer der Studie klagen über falsch eingestellte Systeme. Es ist daher nicht überraschend, dass ein Fünftel der Befragten der Meinung ist, dass die IT-Abteilung den heutigen Anforderungen an IT-Sicherheit nicht gewachsen ist. Wer seine Systeme nicht schnell genug aktualisiert, riskiert, dass Cyberkriminelle die Chance nutzen und die IT-Infrastruktur angreifen. Besonders mittelständische Unternehmen haben hier Probleme, da sie Schwierigkeiten haben, gesuchte Fachkräfte anzuziehen. Um die derzeitige Lücke zu schließen, ist gebündeltes Fachwissen nötig. Das bieten vor allem spezialisierte Dienstleister mit Managed-Security-Lösungen, wie zum Beispiel Managed Extended Detection and Response.

Unwissenheit schützt nicht vor Angriffen

In den vergangenen Jahren ist immer deutlicher geworden, dass es Angestellte mit IT-Sicherheitskompetenzen braucht, um Angriffsversuche etwa durch Phishing oder das Ausnutzen von Schwachstellen frühzeitig zu erkennen. Die Umfrage kommt zu dem Ergebnis, dass die IT-Sicherheitskompetenzen in Unternehmen immer noch sehr heterogen sind. Nur 27 Prozent der Befragten im Mittelstand schätzen ihre persönliche Kompetenz beim Thema IT-Sicherheit als groß oder sehr groß ein. Auf der anderen Seite stehen rund 29 Prozent, die sich geringes und sehr geringes Wissen bescheinigen. Erstaunlich ist in diesem Zusammenhang eine fatale Einschätzung von Sicherheit und Risiko. Denn drei Viertel der befragten Personen fühlen sich im beruflichen Umfeld gut und sehr gut geschützt. Gleichzeitig halten mehr als 46 Prozent der Befragten in einem mittelständischen Unternehmen das Risiko einer Cyberattacke für gering oder sehr gering. Nur jede und jeder vierte stuft das Risiko hoch beziehungsweise sehr hoch ein. Dabei ist das Risiko einer Cyberattacke wesentlicher höher einzustufen, wie tägliche Meldungen über erfolgreiche Cyberangriffe belegen. Dieser Unterschied zwischen der wirklichen Bedrohung und der Wahrnehmung des Risikos entsteht durch ein falsches Gefühl der Sicherheit, das durch vorhandene technische Maßnahmen verursacht wird. Solche falschen Einschätzungen führen dazu, dass die echten Gefahren unterschätzt werden und ein sorgloser Umgang mit Cyberrisiken gefördert wird.

Ganzheitlicher Schutz geht nur mit Security Awareness Trainings

Dass Cyberkriminelle immer wieder Menschen direkt ins Visier nehmen und persönliche Faktoren wie Gier, Neugier oder Zeitdruck ausnutzen, ist lange bekannt – aber dieses menschliche Verhalten lässt sich nicht ohne weitere anpassen. So überrascht es nicht, wenn Menschen aufgrund psychologischer Tricks Handlungen vornehmen und dabei unter Umständen die Sicherheit von Unternehmen gefährden. Jeder Vierte der Befragten haben eine potenziell unsichere Webseite oder Datei geöffnet und jeder Fünfte haben einen unbekannten QR-Code gescannt. Vor diesem Hintergrund kommen Security Awareness Trainings eine zentrale Rolle zu, um das Bewusstsein der Angestellten gegenüber digitalen Gefahren zu schärfen. Hier offenbart die Umfrage sich eine gravierende Kluft zwischen mittelständischen und großen Unternehmen. Denn während im Mittelstand nur jeder vierte Befragte von regelmäßigen Schulungen rund um das Thema Cybersicherheit berichtet, sind es in großen Firmen über 43 Prozent. 28 Prozent der Befragten aus dem Mittelstand haben noch nie von einem derartigen Angebot gehört.

Defizite finden und lösen

IT-Verantwortliche müssen gerade mehrere Aufgaben gleichzeitig bearbeiten. Deshalb ist es sinnvoll, die IT-Sicherheitsstrategie genauer zu analysieren. Wer diese jetzt prüft, Lücken erkennt und diese nach Wichtigkeit behebt, macht den ersten Schritt, um sich besser gegen Cyberangriffe zu schützen. Dabei sollte allen klar sein, dass der Kampf gegen Cyberkriminelle nie aufhört. Also muss auch das eigene Engagement für die bestmögliche Sicherheit fortlaufend sein. Denn IT-Sicherheit geht alle an – im privaten und beruflichen Kontext.

Cybersicherheit in Zahlen zum Download

„Cybersicherheit in Zahlen“ ist bereits bereits zum vierten Mal erschienen und zeichnet sich durch eine hohe Informationsdichte und besondere methodische Tiefe aus: Die Marktforscher von Statista haben Zahlen, Daten und Fakten aus mehr als 300 Statistiken zu einem einzigartigen Gesamtwerk zusammengeführt. Mehr als 5.000 Arbeitnehmerinnen und Arbeitnehmer in Deutschland wurden im Rahmen einer repräsentativen Online-Studie zur Cybersicherheit im beruflichen und privaten Kontext befragt. Die Fachleute von Statista haben die Befragung eng begleitet und können dank einer Stichprobengröße, die weit über dem branchenüblichen Standard liegt, belastbare und valide Marktforschungsergebnisse im Magazin „Cybersicherheit in Zahlen“ präsentieren.

Das Magazin „Cybersicherheit in Zahlen“ steht hier zum Download bereit.

Disclaimer:
„Für den oben stehenden Beitrag sowie für das angezeigte Bild- und Tonmaterial ist allein der jeweils angegebene Nutzer verantwortlich. Eine inhaltliche Kontrolle des Beitrags seitens der Seitenbetreiberin erfolgt weder vor noch nach der Veröffentlichung. Die Seitenbetreiberin macht sich den Inhalt insbesondere nicht zu eigen.“