Studie

Junge Mitarbeiter in deutschen Behörden ignorieren Security-Einmaleins

Cyber Security

Laut Angaben des Deutschen Beamtenbunds wird in den kommenden zehn Jahren etwa ein Viertel der Beschäftigten im öffentlichen Dienst ihren Arbeitsplatz aus Altersgründen abgeben. An ihre Stelle treten junge Mitarbeiter aus Millenials und der Generation „Z“. Wie sich dieser Generationenwechsel auf die Sicherheitsposition der öffentlichen Verwaltung auswirkt, hat der Security-Anbieter Ivanti im Rahmen der internationalen Studie „Government Cybersecurity Status 2023“ untersucht. Eine wichtige Erkenntnis daraus: Jüngere Mitarbeiter halten sich signifikant seltener an Sicherheitsregeln als ihre älteren Kollegen. 

Ein Beispiel hierzu: Gut ein Drittel der Mitarbeiter der Generation Z verwendet private Passwörter auch beruflich (35 %). Bei den Millenials findet sich dieses Verhalten noch bei jedem vierten Befragten (26 %). Dagegen nutzen gerade einmal 8 % der vor 1965 geborenen Beschäftigten (Baby Boomer) die gleichen Passwörter für den privaten und dienstlichen Gebrauch. Junge Mitarbeiter setzen zudem auch eher gleiche oder ähnliche Passwörter für mehrere Konten oder Geräte ein (Generation Z: 48 %, Millennials: 40 %, Generation X: 31 %, Baby Boomer: 22 %). Ein solches Verhalten erleichtert es Bedrohungsakteuren erheblich, einen ersten Zugang zu den IT-Systemen einer Verwaltung zu erlangen. 

Anzeige

Ebenfalls bei den jüngeren Mitarbeitern ist die Bereitschaft verbreitet, Dritten Zugriff auf dienstliche Geräte zu gestatten. Jeder fünfte Beschäftigte der Generation Z (22 %) lässt Familienmitglieder mit diesen Geräten arbeiten. Bei den Baby Boomern trifft dies nur auf 10 % zu. 

Deutsche Behörden schlecht auf neue IT-Gefahren vorbereitet

Die Vernachlässigung von Basisregeln der Datensicherheit durch junge Mitarbeiter kommt nicht von ungefähr. Im Ländervergleich schneiden deutsche Behörden in der Prävention von IT-Bedrohungen nur unzureichend ab. Ein Beispiel sind Security-Schulungen. Nur etwas mehr als die Hälfte (54%) der Befragten hierzulande durchlaufen verpflichtende Trainings. Zum Vergleich: Weltweit schreiben 61 % der Behörden ihren Mitarbeitern Cyber-Schulungen vor. Diese Situation wirkt sich auch auf die Bedrohungsperzeption der Angestellten aus. Nach eigener Einschätzung fühlen sich zwar 77 % ausreichend darauf vorbereitet, Bedrohungen wie Malware und Phishing am Arbeitsplatz zu erkennen und zu melden. Sehr gut vorbereitet wähnt sich jedoch gerade einmal jeder fünfte deutsche Angestellte (19%). Auch damit hinkt Deutschland in dem globalen Durchschnitt hinterher. 

Jeder Vierte erhält Phishing-Mails

Angesichts der immer raffinierteren Phishing-Mails, die dank generativer KI künftig kaum noch von legitimen Mails zu unterscheiden sein werden, wären umfassende Schulungen allerdings angeraten. Und die Gefahr ist real: So berichten 24 % der Angestellten in Deutschland (weltweit 30%), dass sie in den letzten 12 Monaten von Phishing-Mails betroffen waren. 5 % (in Deutschland und weltweit) haben auf einen Link in einer Phishing-Mail geklickt oder Geld an einen Betrüger überwiesen. Interessanterweise entsprechen diese Werte auch den Angaben von Büromitarbeitern aus der Privatwirtschaft. In einer Vergleichsstudie aus dem Dezember 2022 ermittelte Ivanti, dass 23 % von ihnen im letzten Jahr von Phishing betroffen waren (State of Cybersecurity Preparedness 2023). Nach beiden Studien werden demnach Angestellte in Verwaltungen und Unternehmen seltener angegriffen als im weltweiten Durchschnitt.  

Insgesamt bedenklich ist jedoch die Grundhaltung vieler Angestellter im öffentlichen Dienst: „IT-Sicherheit geht mich nichts an.“ Laut der Studie:

  • glauben 53 Prozent der Mitarbeiter in Deutschland (weltweit: 34%) nicht, dass ihr Handeln die Sicherheit ihrer Behörde beeinträchtigt
  • fühlen sich 11 Prozent (weltweit: 17%) nicht wohl, wenn sie dem IT-Team Fehler melden, die sie gemacht haben
  • ist es 9 Prozent (weltweit: 17%) sogar egal, ob ihre Behörde gehackt wird

„Wir müssen dringend kritische Infrastrukturen in Behörden sichern und dabei die Mitarbeiter einbinden sowie die äußerst sensiblen Daten, auf die sie zugreifen”, sagt Johannes Carl, Expert Manager PreSales – UEM & Security bei Ivanti. „Trotz der aktuellen Vorgaben zum technischen Schutz von Infrastrukturen sollte der öffentliche Dienst Cybersicherheit als Teamleistung sehen und proaktive Trainings anbieten. Nur wenn Mitarbeiter gut auf die aktuellen Gefahren vorbereitet werden und konkrete Handlungsanweisungen erhalten, lassen sich die IT-Systeme und damit auch die persönlichen Daten von Millionen Bürgerinnen und Bürgern ausreichend schützen.”

 www.ivanti.de 

Anzeige

Artikel zu diesem Thema

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.