Laut Angaben des Deutschen Beamtenbunds wird in den kommenden zehn Jahren etwa ein Viertel der Beschäftigten im öffentlichen Dienst ihren Arbeitsplatz aus Altersgründen abgeben[1]. An ihre Stelle treten junge Mitarbeiter aus Millenials und der Generation „Z“. Wie sich dieser Generationenwechsel auf die Sicherheitsposition der öffentlichen Verwaltung auswirkt, hat der Security-Anbieter Ivanti im Rahmen der internationalen Studie „Government Cybersecurity Status 2023“ untersucht. Eine wichtige Erkenntnis daraus: Jüngere Mitarbeiter halten sich signifikant seltener an Sicherheitsregeln als ihre älteren Kollegen.
Ein Beispiel hierzu: Gut ein Drittel der Mitarbeiter der Generation Z verwendet private Passwörter auch beruflich (35 %). Bei den Millenials findet sich dieses Verhalten noch bei jedem vierten Befragten (26 %). Dagegen nutzen gerade einmal 8 % der vor 1965 geborenen Beschäftigten (Baby Boomer) die gleichen Passwörter für den privaten und dienstlichen Gebrauch. Junge Mitarbeiter setzen zudem auch eher gleiche oder ähnliche Passwörter für mehrere Konten oder Geräte ein (Generation Z: 48 %, Millennials: 40 %, Generation X: 31 %, Baby Boomer: 22 %). Ein solches Verhalten erleichtert es Bedrohungsakteuren erheblich, einen ersten Zugang zu den IT-Systemen einer Verwaltung zu erlangen.
Ebenfalls bei den jüngeren Mitarbeitern ist die Bereitschaft verbreitet, Dritten Zugriff auf dienstliche Geräte zu gestatten. Jeder fünfte Beschäftigte der Generation Z (22 %) lässt Familienmitglieder mit diesen Geräten arbeiten. Bei den Baby Boomern trifft dies nur auf 10 % zu.
Deutsche Behörden schlecht auf neue IT-Gefahren vorbereitet
Die Vernachlässigung von Basisregeln der Datensicherheit durch junge Mitarbeiter kommt nicht von ungefähr. Im Ländervergleich schneiden deutsche Behörden in der Prävention von IT-Bedrohungen nur unzureichend ab. Ein Beispiel sind Security-Schulungen. Nur etwas mehr als die Hälfte (54%) der Befragten hierzulande durchlaufen verpflichtende Trainings. Zum Vergleich: Weltweit schreiben 61 % der Behörden ihren Mitarbeitern Cyber-Schulungen vor. Diese Situation wirkt sich auch auf die Bedrohungsperzeption der Angestellten aus. Nach eigener Einschätzung fühlen sich zwar 77 % ausreichend darauf vorbereitet, Bedrohungen wie Malware und Phishing am Arbeitsplatz zu erkennen und zu melden. Sehr gut vorbereitet wähnt sich jedoch gerade einmal jeder fünfte deutsche Angestellte (19%). Auch damit hinkt Deutschland in dem globalen Durchschnitt hinterher.
Jeder Vierte erhält Phishing-Mails
Angesichts der immer raffinierteren Phishing-Mails, die dank generativer KI künftig kaum noch von legitimen Mails zu unterscheiden sein werden, wären umfassende Schulungen allerdings angeraten. Und die Gefahr ist real: So berichten 24 % der Angestellten in Deutschland (weltweit 30%), dass sie in den letzten 12 Monaten von Phishing-Mails betroffen waren. 5 % (in Deutschland und weltweit) haben auf einen Link in einer Phishing-Mail geklickt oder Geld an einen Betrüger überwiesen. Interessanterweise entsprechen diese Werte auch den Angaben von Büromitarbeitern aus der Privatwirtschaft. In einer Vergleichsstudie aus dem Dezember 2022 ermittelte Ivanti, dass 23 % von ihnen im letzten Jahr von Phishing betroffen waren (State of Cybersecurity Preparedness 2023). Nach beiden Studien werden demnach Angestellte in Verwaltungen und Unternehmen seltener angegriffen als im weltweiten Durchschnitt.
Insgesamt bedenklich ist jedoch die Grundhaltung vieler Angestellter im öffentlichen Dienst: „IT-Sicherheit geht mich nichts an.“ Laut der Studie:
- glauben 53 Prozent der Mitarbeiter in Deutschland (weltweit: 34%) nicht, dass ihr Handeln die Sicherheit ihrer Behörde beeinträchtigt
- fühlen sich 11 Prozent (weltweit: 17%) nicht wohl, wenn sie dem IT-Team Fehler melden, die sie gemacht haben
- ist es 9 Prozent (weltweit: 17%) sogar egal, ob ihre Behörde gehackt wird
„Wir müssen dringend kritische Infrastrukturen in Behörden sichern und dabei die Mitarbeiter einbinden sowie die äußerst sensiblen Daten, auf die sie zugreifen”, sagt Johannes Carl, Expert Manager PreSales – UEM & Security bei Ivanti. „Trotz der aktuellen Vorgaben zum technischen Schutz von Infrastrukturen sollte der öffentliche Dienst Cybersicherheit als Teamleistung sehen und proaktive Trainings anbieten. Nur wenn Mitarbeiter gut auf die aktuellen Gefahren vorbereitet werden und konkrete Handlungsanweisungen erhalten, lassen sich die IT-Systeme und damit auch die persönlichen Daten von Millionen Bürgerinnen und Bürgern ausreichend schützen.”
Für die Untersuchung hat Ivanti weltweit 800 Mitarbeiter in Behörden befragt. Die Ergebnisse stehen hier zum Download bereit.
Über Ivanti
Ivanti fördert und sichert das Arbeiten von jedem Ort, damit Menschen und Organisationen erfolgreich sein können. Wir sorgen dafür, dass Technologie für den Menschen arbeitet, nicht umgekehrt. Mitarbeiter von heute nutzen eine Vielzahl von Firmen- und Privatgeräten, um über verschiedene Netzwerke auf IT-Anwendungen und Daten zuzugreifen und produktiv zu bleiben – egal wo und wie sie arbeiten. Ivanti ist das einzige Technologieunternehmen, das alle IT-Assets und Endgeräte in einem Unternehmen findet, verwaltet und schützt. Mehr als 40.000 Kunden, darunter 88 der Fortune 100, haben sich für Ivanti entschieden, um ihren Mitarbeitern ein hervorragendes digitales Erlebnis zu bieten und die Produktivität und Effizienz ihrer IT- und Sicherheitsteams zu verbessern. Bei Ivanti bemühen wir uns, ein Arbeitsumfeld zu schaffen, in dem alle Perspektiven gehört, respektiert und geschätzt werden. Wir engagieren uns für eine nachhaltigere Zukunft für unsere Kunden, Partner, Mitarbeiter und den Planeten. Für weitere Informationen besuchen Sie www.ivanti.de und folgen Sie @GoIvanti.
[1] https://www.dbb.de/fileadmin/user_upload/globale_elemente/pdfs/2023/dbb_monitor_oeffentlicher_dienst_2023.pdf dbb, Monitor öffentlicher Dienst 2023, Seite 24.