Cybersicherheit von Kommunen: Proofpoint fordert stärkeren Fokus auf den Risikofaktor Mensch

Mit der Initiative macht das BSI zweifellos einen wichtigen Schritt in die richtige Richtung. Allerdings wird wie so oft in der Cybersecurity-Debatte der Fokus vor allem auf technische Maßnahmen gerichtet. Diese dürfen zwar nicht vernachlässigt werden, aber der primäre Unsicherheitsfaktor in der IT-Sicherheit ist und bleibt der Mensch. Nur wenn es gelingt, die eigenen Beamten und Mitarbeiter umfassend für moderne Cybergefahren zu sensibilisieren, werden kommunale und andere Behörden ein bestmögliches Schutzniveau erzielen können.

Insbesondere mangelnde Kenntnisse in Sachen IT-Sicherheit und ein fehlendes Problembewusstsein unter Angestellten sind hier die größten Risikofaktoren. Laut Proofpoints diesjährigem „State of the Phish“-Report können hierzulande beispielsweise nur etwas mehr als die Hälfte der Anwender (53 %) den Begriff Phishing korrekt zuordnen. Noch schlechter sieht es beim Thema Ransomware aus. Dabei gelang es nur einem Drittel (33 %) der in Deutschland befragten Angestellten diesen Begriff richtig einzuordnen.

Daher ist es kaum verwunderlich, dass im Rahmen des Voice of the CISO Report 2023 fast die Hälfte (45 %) der deutschen Chief Information Security Officers (CISOs) den Menschen als größtes Cyberrisiko ihrer Organisation einstuften. Weltweit stimmten sogar 60 Prozent der befragten Security-Verantwortlichen dieser Aussage zu.

Hinzukommt, dass selbst bei einer ausgereiften Cybersicherheitsstrategie die entsprechenden Maßnahmen auch wirklich umgesetzt werden müssen – leider ist dies nicht immer und überall der Fall. Nach Angaben des Voice of the CISO Reports bestätigen hierzulande nur zwei von fünf (39 Prozent) der Befragten, dass sie mit ihrer Geschäftsführung auf Augenhöhe kommunizieren. Wenig überraschend fordern daher mehr als die Hälfte (51 %), dass Kenntnisse im Bereich Cybersecurity eine Voraussetzung für Mitglieder des Vorstands sein sollten – weltweit sprachen sich sogar 62 Prozent der CISOs dafür aus. Diese Zahlen lassen sich zweifelsohne auch auf den öffentlichen Sektor übertragen.

Zudem ist wichtig, dass auch möglichst sämtliche Kommunen in Deutschland das Thema IT-Sicherheit nicht als Nebensache erachten, sondern es auf der Prioritätenliste einen der obersten Plätze einnimmt. Es muss darum gehen, hochsensible Daten und Prozesse bestmöglich im Sinne der Bürgerinnen und Bürger zu schützen. Wenn persönliche Daten, die die Kommunen von uns allen haben (müssen), in die Hände von Cyberkriminellen gelangen, sind die Folgen unermesslich. Sicherlich ein Albtraum für alle!