Deutschlands Arbeitnehmerinnen und Arbeitnehmer haben beim Thema IT-Sicherheit Nachholbedarf. Das geht aus einer Statista-Befragung unter rund 5.000 Arbeitnehmer hervor, die Teil des von G Data CyberDefense in Zusammenarbeit mit Brandeins herausgegebenen Magazins Cybersicherheit in Zahlen ist [1].

Demnach sehen Umfrageteilnehmer mit Leitungsfunktion in der IT-Security oder IT/EDV die größten Wissenslücken in den Bereichen »Nutzung von künstlicher Intelligenz«, »Phishing/Datendiebstahl« sowie »mobiler Sicherheit« beziehungsweise »Cloud Sicherheit« – der Anteil liegt hier jeweils bei mindestens 33 Prozent.

Aber auch in anderen Bereichen sieht es nicht viel besser, wie der Blick auf die Statista-Grafik zeigt. So glauben beispielsweise rund 29 Prozent der Tech-Profis, dass es bei ihren Kollegen nicht mal für die »Grundlagen der IT-Sicherheit« reicht. Das sie damit richtig liegen könnten, zeigt sich bei einer anderen Frage, die thematisiert was Arbeitnehmer alles aus Neugierde tun. Mathias Brandt

https://de.statista.com/infografik/33116/umfrage-zu-it-sicherheit-wissensluecken-bei-arbeitnehmerinnen/

[1] https://www.gdata.de/cybersicherheit-in-zahlen/#c226238

 

Wie kann man die Wissenslücken der Mitarbeiter im Bereich der IT-Sicherheit am besten schließen?

Studien zeigen, dass Mitarbeiterinnen und Mitarbeiter gerade bei Phishing, KI-Nutzung, mobiler Sicherheit und Cloud-Sicherheit die größten Wissenslücken haben. Um diese Lücken wirksam zu schließen, braucht es einen mehrschichtigen Ansatz, der sowohl Wissen als auch Verhalten adressiert.

Strategische Ansatzpunkte

1. Gezielte Awareness-Programme

• Phishing-Simulationen: Regelmäßige Tests mit realistischen Szenarien, um Erkennungsfähigkeit zu trainieren.
• Micro-Learning: Kurze, interaktive Lerneinheiten (5–10 Minuten), die kontinuierlich Wissen auffrischen.
• Gamification: Wettbewerbe, Badges oder Rankings, um Motivation zu steigern.

2. Rollenbasierte Schulungen

• Mitarbeiter allgemein: Grundlagen (Passwortsicherheit, Phishing, mobiles Arbeiten).
• Führungskräfte: Risikobewusstsein, Entscheidungswege im Notfall.
• IT-Teams: Vertiefte Trainings zu Cloud-Security, Incident Response, KI-Risiken.

3. Integration in den Arbeitsalltag

• Security by Design: Sicherheitsthemen in Onboarding, Projekt-Reviews und Change-Management-Prozesse einbauen.
• Just-in-Time-Hinweise: Kontextbezogene Warnungen (z. B. beim Öffnen verdächtiger Links).
• Policy-to-Practice: Richtlinien nicht nur kommunizieren, sondern mit konkreten Beispielen und Tools operationalisieren.

4. Kultur & Governance

• Chefsache machen: IT-Sicherheit als Teil der Unternehmensstrategie (BSI-Empfehlung).
• Fehlerkultur fördern: Mitarbeiter sollen Vorfälle melden, ohne Angst vor Sanktionen.
• KPIs etablieren: z. B. Phishing-Erkennungsrate, Teilnahmequote an Trainings, Awareness-Score in Mitarbeiterbefragungen.

Management-Framework: »Awareness Cycle«

1. Assess – Wissenslücken identifizieren (z. B. durch Umfragen, Tests).
2. Educate – Schulungen & Simulationen durchführen.
3. Reinforce – Inhalte regelmäßig wiederholen, Gamification nutzen.
4. Measure – KPIs tracken, Fortschritte sichtbar machen.
5. Adapt – Inhalte an neue Bedrohungen (z. B. KI-gestützte Angriffe) anpassen.

Empfehlung

• Kurzfristig: Phishing-Simulation + Micro-Learning einführen.
• Mittelfristig: Rollenbasierte Trainings und KPI-Dashboard für Awareness.
• Langfristig: Sicherheitskultur verankern, Governance-Framework für IT-Sicherheit etablieren.

 

Management-Plan (»Awareness-Programm IT-Sicherheit«) für Mitarbeiter

Ziel: Schließen der größten Wissenslücken der Mitarbeiter in IT-Sicherheit (Phishing, KI-Nutzung, mobile & Cloud-Sicherheit).

1. Handlungsfelder

• Grundlagen stärken: Passwortsicherheit, sichere Nutzung von E-Mail & Cloud.
• Phishing & Social Engineering: Erkennen und Melden von Angriffen.
• KI & neue Technologien: Chancen und Risiken im Arbeitsalltag.
• Mobiles Arbeiten: Sicherer Umgang mit Endgeräten & Netzwerken.

2. Maßnahmenpaket

• Phishing-Simulationen (vierteljährlich, realistische Szenarien).
• Micro-Learning (5–10 Min. Module, kontinuierlich, mobil verfügbar).
• Rollenbasierte Trainings (Mitarbeiter, Führungskräfte, IT-Spezialisten).
• Gamification & Incentives (Badges, Wettbewerbe, Anerkennung).
• Just-in-Time Awareness (kontextbezogene Hinweise bei riskanten Aktionen).

3. KPIs zur Steuerung

• Teilnahmequote an Trainings (>90 % Ziel).
• Phishing-Erkennungsrate (Steigerung um +20 % p.a.).
• Awareness-Score aus Mitarbeiterbefragungen.
• Incident-Reporting-Quote (mehr Meldungen = höhere Sensibilität).

4. Governance & Kultur

• Top-Management-Sponsorship (CISO/CEO als sichtbare Treiber).
• Fehlerkultur fördern (Melden statt vertuschen).
• Jährliche Skill-Gap-Analyse (Soll-Ist-Abgleich).

5. Entscheidungsvorlage

• Start 2026 mit Pilot in zwei Abteilungen (z. B. Vertrieb & IT).
• Rollout 2027 unternehmensweit.
• Integration in HR-Dashboard zur laufenden KPI-Steuerung.

Das ist ein steuerbares Awareness-Programm, das sowohl konkrete Maßnahmen als auch klare KPIs liefert – und direkt auf die identifizierten Wissenslücken einzahlt.

Genki Albert Absmeier

 

Sind die Deutschen fit beim Thema Cybersicherheit?

5. Oktober 2025