Haben Sie schon mal aus Neugierde einen fremden Link in einer E-Mail angeklickt? Fragen wie diese hat Statista etwas mehr als 5.000 Arbeitnehmerinnen und Arbeiternehmer in Deutschland gestellt. Die Erhebung ist Teil des von G Data CyberDefense in Zusammenarbeit mit Brandeins herausgegebenen Magazins Cybersicherheit in Zahlen und liefert eine Reihe von Antworten, die IT-Verantwortlichen den Schweiß auf die Stirn treiben dürfte [1].

Um beim Beispiel des ersten Satzes zu bleiben: Rund 17 Prozent der Befragten haben schon einmal auf solch einen Link geklickt. Dabei macht es einen Unterschied, wie viel IT-Kompetenz sich die Studienteilnehmer selbst zuschreiben. Bei den acht abgefragten, potenziell riskanten Verhaltensweisen, war den Anteil bei den »(sehr) Kompetenten« in sieben Fällen der höchste, wie der Blick auf die Statista-Grafik zeigt. Insofern stellt sich die Frage, ob Arbeitnehmer ihre eigene Fähigkeiten tendenziell überschätzen.

Für Cyberkriminelle ist das eine gute Nachricht. Denn ein Klick auf den falschen Link kann für ein Unternehmen schnell teuer werden – etwa dann, wenn Schadsoftware auf den Arbeitsrechner geladen wird. Auch das Aufrufen beziehungsweise öffnen eine potenziell unsichere Webseite oder Datei sowie einen unbekannten USB-Stick in den Arbeitsrechner zu stecken, birgt unkalkulierbare Risiken. Mathias Brandt

https://de.statista.com/infografik/33115/anteil-der-befragten-die-schon-mal-folgende-dinge-aus-neugierde-gemacht-haben/?lid=3apfatbs8jq7

Wo haben Arbeitnehmer die größten IT-Sicherheit-Wissenslücken?

Deutschlands Arbeitnehmerinnen und Arbeitnehmer haben beim Thema IT-Sicherheit Nachholbedarf. Das geht aus einer Statista-Befragung unter rund 5.000 Arbeitnehmer hervor, die Teil des von G Data CyberDefense in Zusammenarbeit mit Brandeins herausgegebenen Magazins Cybersicherheit in Zahlen ist [1].

Demnach sehen Umfrageteilnehmer mit Leitungsfunktion in der IT-Security oder IT/EDV die größten Wissenslücken in den Bereichen »Nutzung von künstlicher Intelligenz«, »Phishing/Datendiebstahl« sowie »mobiler Sicherheit« beziehungsweise »Cloud Sicherheit« – der Anteil liegt hier jeweils bei mindestens 33 Prozent.

Aber auch in anderen Bereichen sieht es nicht viel besser, wie der Blick auf die Statista-Grafik zeigt. So glauben beispielsweise rund 29 Prozent der Tech-Profis, dass es bei ihren Kollegen nicht mal für die »Grundlagen der IT-Sicherheit« reicht. Das sie damit richtig liegen könnten, zeigt sich bei einer anderen Frage, die thematisiert was Arbeitnehmer alles aus Neugierde tun. Mathias Brandt

https://de.statista.com/infografik/33116/umfrage-zu-it-sicherheit-wissensluecken-bei-arbeitnehmerinnen/

Wie kann man die Wissenslücken der Mitarbeiter im Bereich der IT-Sicherheit am besten schließen?

Studien zeigen, dass Mitarbeiterinnen und Mitarbeiter gerade bei Phishing, KI-Nutzung, mobiler Sicherheit und Cloud-Sicherheit die größten Wissenslücken haben. Um diese Lücken wirksam zu schließen, braucht es einen mehrschichtigen Ansatz, der sowohl Wissen als auch Verhalten adressiert.

Strategische Ansatzpunkte

Gezielte Awareness-Programme

Phishing-Simulationen: Regelmäßige Tests mit realistischen Szenarien, um Erkennungsfähigkeit zu trainieren.

Micro-Learning: Kurze, interaktive Lerneinheiten (5–10 Minuten), die kontinuierlich Wissen auffrischen.

Gamification: Wettbewerbe, Badges oder Rankings, um Motivation zu steigern.

Rollenbasierte Schulungen

Mitarbeiter allgemein: Grundlagen (Passwortsicherheit, Phishing, mobiles Arbeiten).

Führungskräfte: Risikobewusstsein, Entscheidungswege im Notfall.

IT-Teams: Vertiefte Trainings zu Cloud-Security, Incident Response, KI-Risiken.

Integration in den Arbeitsalltag

Security by Design: Sicherheitsthemen in Onboarding, Projekt-Reviews und Change-Management-Prozesse einbauen.

Just-in-Time-Hinweise: Kontextbezogene Warnungen (z. B. beim Öffnen verdächtiger Links).

Policy-to-Practice: Richtlinien nicht nur kommunizieren, sondern mit konkreten Beispielen und Tools operationalisieren.

Kultur & Governance

Chefsache machen: IT-Sicherheit als Teil der Unternehmensstrategie (BSI-Empfehlung).

Fehlerkultur fördern: Mitarbeiter sollen Vorfälle melden, ohne Angst vor Sanktionen.

KPIs etablieren: z. B. Phishing-Erkennungsrate, Teilnahmequote an Trainings, Awareness-Score in Mitarbeiterbefragungen.

Management-Framework: »Awareness Cycle«

Assess – Wissenslücken identifizieren (z. B. durch Umfragen, Tests). Educate – Schulungen & Simulationen durchführen. Reinforce – Inhalte regelmäßig wiederholen, Gamification nutzen. Measure – KPIs tracken, Fortschritte sichtbar machen. Adapt – Inhalte an neue Bedrohungen (z. B. KI-gestützte Angriffe) anpassen.

Empfehlung

Kurzfristig: Phishing-Simulation + Micro-Learning einführen.

Mittelfristig: Rollenbasierte Trainings und KPI-Dashboard für Awareness.

Langfristig: Sicherheitskultur verankern, Governance-Framework für IT-Sicherheit etablieren.

Management-Plan (»Awareness-Programm IT-Sicherheit«) für Mitarbeiter

Awareness-Programm IT-Sicherheit

Ziel: Schließen der größten Wissenslücken der Mitarbeiter in IT-Sicherheit (Phishing, KI-Nutzung, mobile & Cloud-Sicherheit).

Handlungsfelder

Grundlagen stärken: Passwortsicherheit, sichere Nutzung von E-Mail & Cloud.

Phishing & Social Engineering: Erkennen und Melden von Angriffen.

KI & neue Technologien: Chancen und Risiken im Arbeitsalltag.

Mobiles Arbeiten: Sicherer Umgang mit Endgeräten & Netzwerken.

Maßnahmenpaket

Phishing-Simulationen (vierteljährlich, realistische Szenarien).

Micro-Learning (5–10 Min. Module, kontinuierlich, mobil verfügbar).

Rollenbasierte Trainings (Mitarbeiter, Führungskräfte, IT-Spezialisten).

Gamification & Incentives (Badges, Wettbewerbe, Anerkennung).

Just-in-Time Awareness (kontextbezogene Hinweise bei riskanten Aktionen).

KPIs zur Steuerung

Teilnahmequote an Trainings (>90 % Ziel).

Phishing-Erkennungsrate (Steigerung um +20 % p.a.).

Awareness-Score aus Mitarbeiterbefragungen.

Incident-Reporting-Quote (mehr Meldungen = höhere Sensibilität).

Governance & Kultur

Top-Management-Sponsorship (CISO/CEO als sichtbare Treiber).

Fehlerkultur fördern (Melden statt vertuschen).

Jährliche Skill-Gap-Analyse (Soll-Ist-Abgleich).

Entscheidungsvorlage

Start 2026 mit Pilot in zwei Abteilungen (z. B. Vertrieb & IT).

Rollout 2027 unternehmensweit.

Integration in HR-Dashboard zur laufenden KPI-Steuerung.

Das ist ein steuerbares Awareness-Programm, das sowohl konkrete Maßnahmen als auch klare KPIs liefert – und direkt auf die identifizierten Wissenslücken einzahlt.

Genki Albert Absmeier