Der Einsatz von künstlicher Intelligenz hat nicht nur positive Seiten. Denn die Steigerung der Effizienz und Qualität machen sich auch Cyberkriminelle zunutze und erstellen etwa schneller fehlerfreie Phishing-Mails, die für Anwenderinnen und Anwender kaum zu erkennen sind. Wie ernst die Lage ist, zeigt die fünfte Ausgabe von "Cybersicherheit in Zahlen". Gemeinsam mit brand eins und Statista hat das IT-Sicherheitsunternehmen G DATA CyberDefense wieder ein aktuelles Lagebild zur IT-Sicherheit in Deutschland erhoben. Es zeigt: Zwei von drei Befragten erwarten, dass sich durch KI die Bedrohungslage verschärfen wird oder bestimmte Angriffsarten zunehmen. Neben besseren Phishing-Mails gehört auch das Erstellen gefälschter Webseiten sowie das automatische Suchen von Schwachstellen in Systemen und Anwendungen zu den aktuellen Angriffsszenarien.

Unsichere Angestellte als Risikofaktor

Welche Auswirkungen der Einsatz von KI hat, belegt folgende Zahl: Nur 16,5 Prozent der befragten Personen sind überzeugt, dass sie gefährliche oder betrügerische Mails erkennen. Auf der anderen Seite stehen mehr als 83 Prozent, die unsicher sind, was die Echtheit von E-Mails angeht. Ein weiteres Indiz: Einer von zehn Befragten gaben an, schlecht auf Social-Engineering-Angriffe vorbereitet zu sein. Es besteht also die Gefahr, dass diese Menschen bei einem Fake-Anruf vertrauliche Informationen weitergeben.
Im Glauben, dass sie mit einem Vorgesetzten sprechen. Hier braucht es also Aufklärungsarbeit mittels Security Awareness Trainings oder Phishing Simulationen, um das Sicherheitsbewusstsein bei Angestellten zu steigern. Phishing-Mails und auch Social-Engineering-Attacken zielen auf alle Menschen – von der Geschäftsführung bis hin zum Mitarbeitenden in der Buchhaltung oder Logistik. Und trotz besserer Rechtschreibung oder gezielterer Ansprache gibt es immer noch Warnsignale, um Angriffsversuche zu entlarven.

IT-Sicherheit beginnt beim Chef

Wer nach den Gründen für fehlende oder mangelhafte IT-Sicherheit sucht, findet eine Antwort darauf in der Frage, wie stark sich Menschen persönlich für die IT-Sicherheit in ihrem Unternehmen verantwortlich fühlen. Schließlich fühlt sich ein Drittel der Befragten gar nicht oder nur in geringem Maße verantwortlich. Wie gravierend das Problem ist, zeigt ein genauerer Blick in die Hierarchie von Unternehmen. So liegt der Anteil von Menschen mit sehr hohem Verantwortungsbewusstsein in der Geschäftsleitung bei mehr als 77 Prozent, aber bei Mitarbeitenden ohne Führungsposition nur bei 23. Dabei ist auch diese Gruppe ein potenzielles Ziel für Angreifer.
Den Tätern fällt es umso leichter, wenn ihr Gegenüber Schutzmaßnahmen nicht umsetzt wie etwa den Gebrauch komplexer und damit sicherer Passwörter. Um Mitarbeitende von der Sinnhaftigkeit einfacher Maßnahmen zu überzeugen, müssen Führungskräfte ihrer Vorbildfunktion gerecht werden und dies regelmäßig thematisieren. So lässt sich ein Sinneswandel und damit auch eine Verhaltensänderung herbeiführen. Aber auch Security Awareness Trainings führen Angestellten vor Augen, wie wichtig sicherheitsbewusstes Verhalten ist.

Awareness Trainings: Noch keine Selbstverständlichkeit

Die Studie zeigt außerdem: Die Zahl der Unternehmen, die Security Awareness Trainings anbieten, nimmt zu. Zwei von fünf Befragten gaben an, dass ihr Unternehmen alle Angestellten rund um Cybersicherheit aufklärt. 2024 lag der Anteil bei 36 Prozent. Und auch die Zahl der Unternehmen, die keine Schulungen anbieten, ist gesunken. Sprach 2024 noch jede und jeder Fünfte davon, dass er oder sie noch nie von solchen Angeboten gehört hat, sind es aktuell nur noch knapp 16 Prozent. Dabei ist es entscheidend, dass die gesamte Belegschaft an diesen Maßnahmen teilnimmt.
Dass Awareness-Trainings für Mitarbeitende relevant sind, verdeutlicht folgendes Ergebnis: Insgesamt werden Schulungsangebote als besonders hilfreich eingeschätzt, um sich in der IT-Sicherheit besser zurechtzufinden. Das sagen 58 Prozent der Befragten. Regelmäßige Updates zu Bedrohungen (54 Prozent) und interne Ansprechpersonen (42 Prozent) sind weitere wichtige Aspekte für Arbeitnehmerinnen und Arbeitnehmer. Auch das Fazit von Menschen, die Security Awareness Trainings bereits absolviert haben, ist positiv. Mehr als drei Viertel der Teilnehmerinnen und Teilnehmer bewerten diese als hilfreich und sehr hilfreich. Ein gutes Zeichen, dass sich das Sicherheitsbewusstsein dieser Personengruppe für Cybergefahren verbessert hat.
Eine Möglichkeit, um die Wirksamkeit von IT-Security-Schulungen zu überprüfen, bieten Phishing Simulationen. Die Auswertungen dieser zeigen, wie hoch der Anteil von Mitarbeitenden ist, die gefährliche Anhänge geöffnet oder persönliche Daten auf einer gefälschten Webseite eingegeben haben. Verantwortliche erhalten auf diese Weise einen Überblick, wie es um das Sicherheitsbewusstsein der Belegschaft bestellt ist.

Fazit: Der Handlungsdruck bleibt groß

Die Herausforderungen für IT-Verantwortliche werden eher größer als kleiner. Dazu zählen etwa regulatorische Vorgaben wie NIS-2, der Missbrauch von KI durch Cyberkriminelle sowie das fehlende Sicherheitsbewusstsein in der Belegschaft. Unternehmen sind weiterhin unter Zugzwang, das IT-Sicherheitsniveau nachhaltig zu steigern. Ein wichtiger Baustein neben modernster Sicherheitstechnologien sind Security Awareness Trainings. Ohne diese kann kein Unternehmen ihre IT ganzheitlich absichern. Und angesichts der bestehenden Bedrohungslage sollte das niemand auf die lange Bank schieben.