SECURITY9. Februar 2024

Cybersicherheit bei Banken und Versicherungen: Gut, aber auch gut genug?

Tim Berghoff, Security Evangelist bei G DATA CyberDefense, erklärt, wie Externe Partner bei der Umsetzung von DORA und NIS-2 helfen könne.
Tim Berghoff, Security Evangelist bei G DATA CyberDefenseG DATA

Bereits zum dritten Mal ist G DATA der Frage nachgegangen, wie es um die IT-Sicherheit in Deutschland steht. Die Ergebnisse der breit angelegten Umfrage hat das IT-Sicherheitsunternehmen in Zusammenarbeit mit Statista und brand eins in der Studie „Cybersicherheit in Zahlen“ zusammengefasst. Dabei hat die Umfrage auch einzelne Branchen untersucht. Ein Ergebnis für Banken und Versicherungen: Jeder dritte Angestellte schätzt die Gefahr von Cyberattacken auf das eigene Unternehmen als groß ein.

von Tim Berghoff Security Evangelist bei G DATA CyberDefense

Die Bedrohung im Cyberraum ist so hoch wie nie zuvor.“ Diese Aussage aus dem aktuellen Lagebericht zur IT-Sicherheit des BSI fasst die Situation (leider) perfekt zusammen. Auf unterschiedlichen Wegen gelingt es Cyberkriminellen immer wieder, Unternehmensnetzwerke zu infiltrieren. Nach Schätzungen des Branchenverbandes Bitkom lag der Schaden durch Cyberangriffe in Deutschland im Jahr 2022 bei insgesamt 202 Milliarden Euro. Vor diesem Hintergrund hat G DATA CyberDefense gemeinsam mit Statista und brand eins im Rahmen der Umfrage „Cybersicherheit in Zahlen“ eine Bestandsaufnahme zur IT-Sicherheit in Deutschland gemacht. Befragt wurden mehr als 5.000 Menschen aus allen Branchen. Auch rund 300 Angestellte aus der Finanz- und Versicherungsbranche haben sich an der Umfrage beteiligt und gewähren so einen Einblick in den aktuellen Status und zukünftige Einschätzungen. Grundsätzlich gilt:

Beim Thema IT-Sicherheit sind Banken und Versicherungen besser als viele andere Branchen aufgestellt.”

Aber die Ergebnisse sind trotzdem kein Freifahrtschein für IT-Verantwortliche. Handlungsbedarf besteht weiterhin.

Wie schätzen Sie ihre persönliche Kompetenz beim Thema IT-Sicherheit ein?
G DATA

Ein gutes Schutzgefühl bei Banken und Versicherungen

Bereits bei der Frage nach der persönlichen IT-Sicherheitskompetenz zeigen sich überdurchschnittliche Werte im Finanzsektor.

Mehr als 37 Prozent der Befragten schätzen ihre persönliche Kompetenz bei Thema IT-Sicherheit als hoch und sehr hoch ein.”

Über alle Branchen hinweg teilen nur 32 Prozent der Befragten diese Selbsteinschätzung. Auf der anderen Seite schreibt sich jede und jeder Zweite, der im Bereich Finanz- und Versicherungsdienstleistungen arbeitet, geringe und sehr geringe Fähigkeiten in Bezug auf IT-Sicherheit zu. Das sind zwar zehn Prozent weniger als der Durchschnitt, zeigt aber trotzdem Nachholbedarf. Wenn es solchen Mitarbeitenden an grundlegendem Wissen um IT-Sicherheit fehlt, etwa das Verständnis für Passwortsicherheit oder das Erkennen von Phishing-Nachrichten, ist die IT-Sicherheit des gesamten Unternehmens gefährdet.

Wie gut fühlen Sie sich durch Sicherheits- und Schutzmaßnahmen in ihrem privaten und beruflichen Umfeld geschützt?
G DATA

Die meisten Befragten fühlen sich durch die angewendeten Sicherheits- und Schutzmaßnahmen im beruflichen Umfeld gut und sehr gut geschützt.”

Sind es im Branchendurchschnitt mehr als 72 Prozent, kommt die Banken- und Versicherungsbranche sogar auf 83 Prozent. Sehr schlecht und schlecht geschützt fühlen sich nur 4 Prozent der Angestellten in diesem Sektor (Durchschnitt: 7 Prozent). Trotz dieses hohen Schutzgefühls schätzt jede und jeder dritte Befragte das Risiko eines Cyberangriffs als hoch oder sehr hoch ein. 46 Prozent stufen das Risiko, Cyberkriminelle zum Opfer zu fallen, als gering und sehr gering ein.

IT-Sicherheit ist eine Zeitfrage

Haben Sie in ihrem Unternehmen schon einmal eine IT-Sicherheitslücke erkannt und darauf hingewiesen?
G DATA

Die Studie ist auch der Frage nachgegangen, wie Angestellte und Unternehmen bei kritischen Situationen reagieren, wie beispielsweise bei der Erkennung von IT-Sicherheitslücken.

Jede und jeder zweite Befragte hat in seiner Firma schon eine IT-Sicherheitslücke erkannt und darauf hingewiesen.”

Allerdings haben Unternehmen unterschiedlich schnell darauf reagiert. Vier von fünf Mitarbeitenden in Banken und Versicherungen finden, dass ihr Arbeitgeber schnell beziehungsweise sehr schnell reagiert hat. Jeder Fünfte gibt an, dass die Verantwortlichen sehr und eher langsam reagiert haben.

Wie schnell hat Ihr Unternehmen auf einen Hinweis auf eine IT-Sicherheitslücke reagiert?
G DATA

Sicherlich unterscheiden sich Sicherheitslücken in ihrer Kritikalität und für manche Schwachstelle braucht es besonderes Fachwissen, um diese auszunutzen. Aber Zeit ist ein entscheidender Faktor bei der Behebung von IT-Sicherheitslücken.

Wer beim Schließen einer Schwachstelle zu langsam reagiert, läuft Gefahr, dass Tätergruppe diese bereits ausgenutzt und sich Zugang zum Netzwerk verschafft hat.”

IT-Sicherheit geht alle an

Die Umfrage belegt ein großes Vertrauen der Angestellten zu ihren Arbeitgebern in Banken und Versicherungen. Mehr als 92 Prozent haben das Gefühl, dass das Thema Cybersicherheit in ihrem Unternehmen ernst genommen wird. Nur knapp acht Prozent widersprechen der Aussage.

Haben Sie das Gefühl, dass das Thema Cybersicherheit in Ihrem Unternehmen ernst genommen wird?
G DATA

Aus Sicht vieler Mitarbeitenden liegt die Verantwortung für die unternehmensweite IT-Sicherheit bei den Fachleuten, die mit modernen Technologien das Netzwerk absichern.”

Allerdings denken viele Angestellte nicht daran, dass sie selbst Teil eines Sicherheitskonzepts sind. Dabei kann jeder Mitarbeitende mit dem eigenen Verhalten einen wichtigen Beitrag zur IT-Sicherheit leisten. Sei es durch den Einsatz von sicheren Passwörtern, den Schutz kritischer Daten oder durch das einfache Sperren des Rechners, wenn jemand seinen Platz verlässt. IT-Sicherheitsmaßnahmen wie diese schützen nicht nur den eigenen Arbeitsplatz, sondern das ganze Unternehmen. Doch was in der Theorie einfach klingt, zeigt in der Praxis erhebliche Lücken: Nur 64 Prozent der Befragten sagen, dass sie sich für den Einsatz sicherer Passwörter zuständig fühlen. Dabei sollte doch die Tatsache, dass sich einfache Kennwörter mittels automatisierter Tools schon innerhalb weniger Sekunden knacken lassen, bekannt sein.

Rund 60 Prozent der Befragten gehen verantwortungsvoll mit den Passwörtern um. Ebenfalls geben 60 Prozent an, dass sie beim Verlassen des Arbeitsplatzes den eigenen Rechner sperren. Für Unbefugte ist ein verlassener, nicht-gesperrter PC eine Einladung wie eine offenstehende Verandatür.

Bietet Ihr Unternehmen für alle Mitarbeiter Trainings rund um das Thema Cybersicherheit an?
G DATA

IT-Sicherheit – mit Schulungen zu mehr Wissen

Welche Relevanz das Thema IT-Sicherheit unter Angestellten hat, zeigt auch eine andere Statistik: Bei der Frage, in welchen Bereichen das eigene Unternehmen mehr investieren sollte, belegt IT-Sicherheit Platz 1 – mit 43 Prozent. Gefolgt von Mitarbeiterentwicklung (34 Prozent) und Nachhaltigkeit (32 Prozent). Sicherlich auch ein Indiz dafür, wie bedrohlich die Cybersicherheitslage aktuell ist.

Die Studie ist im Weiteren auch der Frage nachgegangen, in welchen IT-sicherheitsrelevanten Themen Angestellte mehr wissen möchten. Die Antworten nehmen die Verantwortlichen in die Pflicht und zeigen, wo wenig Wissen vorherrscht. An erster Stelle steht – wenig überraschend – Phishing und Datendiebstahl (50 Prozent). Das ist sicherlich auch der Tatsache geschuldet, dass Cyberkriminelle anstelle von einfach zu entlarvenden Massenmails immer individuellere Nachrichten verfassen. Der Aufwand, eine verdächtige E-Mail zu entlarven, wird größer, gelingt mit dem entsprechenden Know-how aber trotzdem.

Autor Tim Berghoff, G DATA CyberDefense
Tim Berghoff ist Security Evangelist der G DATA CyberDefense (Website). In seiner Position bei G DATA bildet er die Schnittstelle zwischen technischer Komplexität und dem Anwender. Er ist zu­stän­dig für ei­ne kla­re Kom­mu­ni­ka­ti­on von G DA­TA in der Si­cher­heits-Fach­welt, bei Pres­se, Händ­lern, Re­sel­lern und End­kun­den und er spricht häu­fig auf na­tio­na­len und in­ter­na­tio­na­len Ver­an­stal­tun­gen. Tim Berg­hoff ar­bei­tet seit 2009 bei G DA­TA, erst im Sup­port für Un­ter­neh­mens­kun­den, spä­ter im Con­sul­ting für in­ter­na­tio­na­le B2B-Dis­tri­bu­to­ren, Part­ner und Endkunden.
Weitere Themen auf der Liste sind der Umgang mit Passwörtern (46 Prozent) und Datenschutz (36 Prozent). Die Ergebnisse belegen, wie breit das Thema IT-Sicherheit ist. Ein Handout zu Phishing-Mails reicht einfach nicht aus, um mehr Bewusstsein in der Belegschaft zu fördern. Wer das Thema nachhaltig bei seinen Angestellten verankern will, braucht also Schulungen mit einem breiten Themenspektrum.

In der Finanz- und Versicherungsbranche hat sich die Erkenntnis schon durchgesetzt, dass IT-Sicherheit auf mehrere Säulen ruhen muss und insbesondere Mitarbeitende dabei eine wichtige Rolle spielen.”

76 Prozent der Unternehmen bieten für alle Angestellten Schulungen, Trainings oder Veranstaltungen rund um das Thema Cybersicherheit an. Zum Vergleich: Über alle Branchen hinweg liegt der Anteil nur bei 54 Prozent. Die Kehrseite der Medaille: 24 Prozent der Befragten geben an, dass nicht allen Angestellten ein Schulungsangebot offensteht. Hier werden offensichtlich nur bestimmte Gruppen innerhalb der Belegschaft geschult, beispielsweise alle IT-Angestellten oder ausschließlich Führungskräfte.

Jede und jeder sollte über Cyberrisiken aufgeklärt werden, der täglich im Netzwerk arbeitet. Und wenn es nur zum Drucken von Versandetiketten ist.”

Wofür fühlen Sie sich an Ihrem Arbeitsplatz zuständig?
G DATA

Wer ganzheitliche IT-Sicherheit will, muss die Belegschaft einbinden
Die Studie belegt, dass Unternehmen in der Finanz- und Versicherungsbranche beim Thema IT-Sicherheit überdurchschnittlich gut aufgestellt sind. Es sind aber trotzdem noch Stellschrauben erkennbar, an denen Unternehmen weiterarbeiten müssen. Eine davon: die eigene Belegschaft. Die Mitarbeitenden müssen mehr Verantwortung übernehmen beziehungsweise sich dieser bewusst werden. Dazu müssen aber zunächst Angestellte in Führungspositionen ihrer Verantwortung gerecht werden und ihre Angestellten dazu befähigen, Teil des IT-Sicherheitskonzepts zu werden. Dies gelingt beispielsweise mit Security Awareness Trainings. Dabei sollten Führungskräfte daran denken, dass IT-Sicherheit kein Sprint, sondern ein Marathon ist. Mit Schnellschüssen lässt sich Human Centered Security nicht umsetzen.

Cybersicherheit in Zahlen
Cybersicherheit in Zahlen“ zeich­net sich durch ei­ne ho­he In­for­ma­ti­ons­dich­te und be­son­de­re me­tho­di­sche Tie­fe aus: Die Re­se­ar­cher und Markt­for­scher von Sta­tis­ta ha­ben Zah­len, Da­ten und Fak­ten aus mehr als 300 Sta­tis­ti­ken zu ei­nem ein­zig­ar­ti­gen Ge­samt­werk zu­sam­men­ge­führt. Mehr als 5.000 Ar­beit­neh­me­rin­nen und Ar­beit­neh­mer in Deutsch­land wur­den im Rah­men ei­ner re­prä­sen­ta­ti­ven On­line-Stu­die zur Cy­ber­si­cher­heit im be­ruf­li­chen und pri­va­ten Kon­text be­fragt. Die Fach­leu­te von Sta­tis­ta ha­ben die Be­fra­gung eng be­glei­tet und kön­nen dank ei­ner Stich­pro­ben­grö­ße, die weit über dem bran­chen­üb­li­chen Stan­dard liegt, be­last­ba­re und va­li­de Markt­for­schungs­er­geb­nis­se im Heft „Cy­ber­si­cher­heit in Zah­len“ präsentieren.

Das Magazin “Cybersicherheit in Zahlen” gibt es hier zum Download kostenlos gegen Abgabe ihrer persönlichen Daten.

Tim Berghoff, G DATA

 

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert