Security-Awareness-Schulungen nur Mumpitz?

Die Dringlichkeit, Mitarbeiter für IT-Sicherheit zu sensibilisieren, war noch nie so groß wie heute. Dennoch gibt es in vielen Unternehmen immer noch erheblichen Verbesserungsbedarf. Laut der aktuellen Studie „Cybersicherheit in Zahlen“ von G DATA CyberDefense AG, Statista und brand eins glauben rund 46 Prozent der Befragten, dass allein technische Sicherheitslösungen ausreichen, um Cyberbedrohungen abzuwehren.

Das stellt nicht nur ein erhöhtes Risiko für Cyberangriffe wie Social Engineering dar, sondern wird auch zukünftigen gesetzlichen Vorgaben wie der NIS-2-Direktive widersprechen. Diese Regelung wird die Durchführung von Sicherheitsschulungen für alle Mitarbeiter verpflichtend machen. Die Umfrage deckt weitere Fehleinschätzungen auf.

Ein einziger Klick auf einen Phishing-Link kann Cyberkriminellen den Zugriff auf Unternehmensnetzwerke ermöglichen. Daher ist es besorgniserregend, dass fast die Hälfte der Befragten der Meinung ist, technische Sicherheitslösungen wie Firewalls und Antivirensoftware allein seien ausreichend, um sich vor Cyberbedrohungen zu schützen. Zudem geben mehr als ein Drittel der Befragten an, Sicherheitsschulungen nur auf IT-Mitarbeiter zu beschränken.

Produktempfehlung: E-Learning IT-Sicherheit

Doch das birgt ein erhebliches Risiko, da die gesamte Belegschaft in der Lage sein muss, potenzielle Bedrohungen zu erkennen und zu melden. Ein Beispiel hierfür ist die Buchhaltungsabteilung, die möglicherweise eine gefälschte Rechnung akzeptiert, oder das HR-Team, das versehentlich auf einen Phishing-Link in einer gefälschten Bewerbung klickt.

Darüber hinaus zögern rund 33 Prozent der Befragten aufgrund hoher Kosten, Sicherheitsschulungen durchzuführen. Doch während Schulungen als teuer angesehen werden, können die Kosten eines Cyberangriffs weitaus höher sein. Daher ist die Investition in Mitarbeiter-Sensibilisierung langfristig kosteneffizienter als die Bewältigung der Folgen eines erfolgreichen Angriffs.

Die Studienergebnisse verdeutlichen ein grundlegendes Missverständnis darüber, wie Cyberkriminelle vorgehen und wie sich Unternehmen wirksam schützen können. Durch gezieltes Social Engineering nutzen Angreifer menschliche Schwachstellen aus, was alle Mitarbeiter zu potenziellen Zielen macht. Vor diesem Hintergrund ist ein Umdenken erforderlich, insbesondere angesichts der bevorstehenden NIS-2-Direktive, die ein höheres gemeinsames Cybersicherheitsniveau in der EU anstrebt und verbindliche IT-Sicherheitsmaßnahmen vorschreibt.

Die entscheidende Rolle von Sicherheitsschulungen liegt darin, Mitarbeiter zu einem integralen Bestandteil der Abwehrstrategie gegen Cyberbedrohungen zu machen. Sie dienen auch der zukünftigen Einhaltung gesetzlicher Vorschriften wie der NIS-2-Direktive. Durch kontinuierliche Schulungen können Unternehmen proaktiv auf neue Bedrohungen reagieren und ihre Resilienz gegenüber Cyberangriffen stärken. Letztendlich sollten Sicherheitsschulungen als Teil einer umfassenden IT-Sicherheitsstrategie betrachtet werden, die sowohl technische als auch menschliche Aspekte umfasst.

Das Magazin „Cybersicherheit in Zahlen“ gibt es hier zum Download.