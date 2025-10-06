Deutschlands Arbeitnehmerinnen und Arbeitnehmer haben beim Thema IT-Sicherheit Nachholbedarf. Das geht aus einer Statista-Befragung unter rund 5.000 Arbeitnehmer hervor, die Teil des von G Data CyberDefense in Zusammenarbeit mit Brandeins herausgegebenen Magazins Cybersicherheit in Zahlen ist [1].

Demnach sehen Umfrageteilnehmer mit Leitungsfunktion in der IT-Security oder IT/EDV die größten Wissenslücken in den Bereichen »Nutzung von künstlicher Intelligenz«, »Phishing/Datendiebstahl« sowie »mobiler Sicherheit« beziehungsweise »Cloud Sicherheit« – der Anteil liegt hier jeweils bei mindestens 33 Prozent.

Aber auch in anderen Bereichen sieht es nicht viel besser, wie der Blick auf die Statista-Grafik zeigt. So glauben beispielsweise rund 29 Prozent der Tech-Profis, dass es bei ihren Kollegen nicht mal für die »Grundlagen der IT-Sicherheit« reicht. Das sie damit richtig liegen könnten, zeigt sich bei einer anderen Frage, die thematisiert was Arbeitnehmer alles aus Neugierde tun. Mathias Brandt

https://de.statista.com/infografik/33116/umfrage-zu-it-sicherheit-wissensluecken-bei-arbeitnehmerinnen/

Wie kann man die Wissenslücken der Mitarbeiter im Bereich der IT-Sicherheit am besten schließen?

Studien zeigen, dass Mitarbeiterinnen und Mitarbeiter gerade bei Phishing, KI-Nutzung, mobiler Sicherheit und Cloud-Sicherheit die größten Wissenslücken haben. Um diese Lücken wirksam zu schließen, braucht es einen mehrschichtigen Ansatz, der sowohl Wissen als auch Verhalten adressiert.

Strategische Ansatzpunkte

Gezielte Awareness-Programme

Phishing-Simulationen: Regelmäßige Tests mit realistischen Szenarien, um Erkennungsfähigkeit zu trainieren.

Micro-Learning: Kurze, interaktive Lerneinheiten (5–10 Minuten), die kontinuierlich Wissen auffrischen.

Gamification: Wettbewerbe, Badges oder Rankings, um Motivation zu steigern.

Rollenbasierte Schulungen

Mitarbeiter allgemein: Grundlagen (Passwortsicherheit, Phishing, mobiles Arbeiten).

Führungskräfte: Risikobewusstsein, Entscheidungswege im Notfall.

IT-Teams: Vertiefte Trainings zu Cloud-Security, Incident Response, KI-Risiken.

Integration in den Arbeitsalltag

Security by Design: Sicherheitsthemen in Onboarding, Projekt-Reviews und Change-Management-Prozesse einbauen.

Just-in-Time-Hinweise: Kontextbezogene Warnungen (z. B. beim Öffnen verdächtiger Links).

Policy-to-Practice: Richtlinien nicht nur kommunizieren, sondern mit konkreten Beispielen und Tools operationalisieren.

Kultur & Governance

Chefsache machen: IT-Sicherheit als Teil der Unternehmensstrategie (BSI-Empfehlung).

Fehlerkultur fördern: Mitarbeiter sollen Vorfälle melden, ohne Angst vor Sanktionen.

KPIs etablieren: z. B. Phishing-Erkennungsrate, Teilnahmequote an Trainings, Awareness-Score in Mitarbeiterbefragungen.

Management-Framework: »Awareness Cycle«

Assess – Wissenslücken identifizieren (z. B. durch Umfragen, Tests). Educate – Schulungen & Simulationen durchführen. Reinforce – Inhalte regelmäßig wiederholen, Gamification nutzen. Measure – KPIs tracken, Fortschritte sichtbar machen. Adapt – Inhalte an neue Bedrohungen (z. B. KI-gestützte Angriffe) anpassen.

Empfehlung

Kurzfristig: Phishing-Simulation + Micro-Learning einführen.

Mittelfristig: Rollenbasierte Trainings und KPI-Dashboard für Awareness.

Langfristig: Sicherheitskultur verankern, Governance-Framework für IT-Sicherheit etablieren.

Management-Plan (»Awareness-Programm IT-Sicherheit«) für Mitarbeiter

Ziel: Schließen der größten Wissenslücken der Mitarbeiter in IT-Sicherheit (Phishing, KI-Nutzung, mobile & Cloud-Sicherheit).

Handlungsfelder

Grundlagen stärken: Passwortsicherheit, sichere Nutzung von E-Mail & Cloud.

Phishing & Social Engineering: Erkennen und Melden von Angriffen.

KI & neue Technologien: Chancen und Risiken im Arbeitsalltag.

Mobiles Arbeiten: Sicherer Umgang mit Endgeräten & Netzwerken.

Maßnahmenpaket

Phishing-Simulationen (vierteljährlich, realistische Szenarien).

Micro-Learning (5–10 Min. Module, kontinuierlich, mobil verfügbar).

Rollenbasierte Trainings (Mitarbeiter, Führungskräfte, IT-Spezialisten).

Gamification & Incentives (Badges, Wettbewerbe, Anerkennung).

Just-in-Time Awareness (kontextbezogene Hinweise bei riskanten Aktionen).

KPIs zur Steuerung

Teilnahmequote an Trainings (>90 % Ziel).

Phishing-Erkennungsrate (Steigerung um +20 % p.a.).

Awareness-Score aus Mitarbeiterbefragungen.

Incident-Reporting-Quote (mehr Meldungen = höhere Sensibilität).

Governance & Kultur

Top-Management-Sponsorship (CISO/CEO als sichtbare Treiber).

Fehlerkultur fördern (Melden statt vertuschen).

Jährliche Skill-Gap-Analyse (Soll-Ist-Abgleich).

Entscheidungsvorlage

Start 2026 mit Pilot in zwei Abteilungen (z. B. Vertrieb & IT).

Rollout 2027 unternehmensweit.

Integration in HR-Dashboard zur laufenden KPI-Steuerung.

Das ist ein steuerbares Awareness-Programm, das sowohl konkrete Maßnahmen als auch klare KPIs liefert – und direkt auf die identifizierten Wissenslücken einzahlt.

Genki Albert Absmeier

