Awareness-Umfrage Ergebnisse, Stand

Transkript

1 Awareness-Umfrage 2015 Ergebnisse, Stand

2 Allianz für Cyber-Sicherheit Die Allianz für Cyber-Sicherheit ist eine Initiative des Bundesamtes für Sicherheit in der Informationstechnik, die 2012 in Zusammenarbeit mit dem Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e.v. (BITKOM) gegründet wurde. Die Allianz hat das Ziel, die Cyber-Sicherheit in Deutschland zu erhöhen und die Widerstandsfähigkeit des Standortes Deutschland gegenüber Cyber-Angriffen zu stärken. Sie richtet sich vorrangig an Unternehmen und Behörden, darüber hinaus aber auch an sonstige Institutionen und Organisationen in Deutschland. Interessenten haben die Möglichkeit, sich in verschiedenen Rollen als Teilnehmer, Partner oder Multiplikator an der Allianz beteiligen. Weitere Informationen zur Allianz für Cyber-Sicherheit: Bundesamt für Sicherheit in der Informationstechnik Ergebnisse der Awareness-Umfrage Seite 2

3 Eine Gemeinschaftsaktion der Allianz für Cyber-Sicherheit Die Awareness-Umfrage 2015 wurde durchgeführt im Auftrag des Bundesamtes für Sicherheit in der Informationstechnik zusammen mit dem Erfahrungskreis Awareness der Allianz für Cyber-Sicherheit, aufbauend auf der HECOM-Studie Security Awareness in der betrieblichen Praxis von Ziel der Umfrage ist es, Informationen zur tatsächlichen Betroffenheit durch Cyber-Angriffe, der subjektiven Gefährdungslage und dem Umsetzungsstand von Schutzmaßnahmen aus Sicht von Unternehmen, Behörden und anderen Institutionen zu erhalten. Aus den Ergebnissen der Umfrage lassen sich unter anderem praxisbezogene Lösungsansätze und Empfehlungen sowie Beratungsschwerpunkte ableiten, die der Erfahrungskreis Awareness einbringen und auch anderen Unternehmen und Institutionen zur Verfügung stellen kann. Auftragnehmer SecuMedia Verlags GmbH, Realisierung: OTARIS Interactive Services GmbH Bundesamt für Sicherheit in der Informationstechnik Ergebnisse der Awareness-Umfrage Seite 3

4 Angaben zur Datenbasis und zum Teilnehmerfeld

5 Rahmendaten und Datenbasis Öffentliche Online-Umfrage vom bis , Die Umfrage war anonym. Das BSI hat ausschließlich anonyme Umfrageergebnisse erhalten. Die Identifizierung von Umfrageteilnehmern ist somit nicht möglich. Datenbasis nach Ende der Umfrage 585 Datensätze wurden insgesamt angelegt 161 Datensätze entfallen nach Plausibilitätsprüfung 424 Datensätze gehen in die Auswertung ein Bundesamt für Sicherheit in der Informationstechnik Ergebnisse der Awareness-Umfrage Seite 5

6 In welchem Wirtschaftsfeld sind die Institutionen der Befragten überwiegend tätig? Top 14 Branchen, alle Weiteren jeweils < 0,8% Branche Anzahl in % Öffentlicher Dienst ,3% Sonstige 41 9,7% IT-Dienstleister 33 7,9% Banken, Versicherungen, Finanzen 30 7,1% Informations-Kommunikationstechnologie 19 4,5% Automobilbau 14 3,3% Energieerzeugung und -versorgung 12 2,8% Branche Anzahl in % Maschinenbau 10 2,4% Forschung 8 1,9% Gesundheit/Medizinische Versorgung 7 1,7% Verkehr und Logistik 7 1,7% Handel 5 1,2% Medizinische Versorgung 4 0,9% Energieversorgung 4 0,9% Die Befragten Institutionen stammen aus den Branchen: Baugewerbe / Bau, Chemische Industrie, Energieversorgung, Entsorgung, Erziehung und Unterricht, Finanzdienstleistungen / Banken / Börsen, Forschung und Wissenschaft, Grundstücks- und Wohnungswesen, Handel, IT-Dienstleister, IT-Hersteller, IT/TK-Provider, Kunst Unterhaltung und Erholung, Lebensmittelhandel, Logistik, Luft- und Raumfahrttechnologie, Medien / Rundfunk, Medizinische Versorgung, Medizintechnik / Pharmaindustrie, Öffentlicher Dienst, Produzierendes Gewerbe, Rüstungsindustrie, Sonstige Dienstleistungen, Sonstige freiberufliche Dienstleistungen, Verbände und Vereine, Verkehr, Versicherungen, Weitere 0 machten keine Angabe Statistische Auswertung, Frage 1 Basis: n = 424 Bundesamt für Sicherheit in der Informationstechnik Ergebnisse der Awareness-Umfrage Seite 6

7 In welcher Funktion sind die Befragten tätig? Compliance / Qualitätsmanagement 8 Personalabteilung 8 Geschäftsleitung 20 IT-Administration 36 IT-Management 42 Andere Funktion 150 IT-Sicherheits-Beauftragte/r / CISO / Datenschutzbeauftragte/r Statistische Auswertung, Frage 2 Basis: n = 424, darin enthalten 4x keine Angabe Bundesamt für Sicherheit in der Informationstechnik Ergebnisse der Awareness-Umfrage Seite 7

8 Wie viele Mitarbeiter beschäftigen die Institutionen der Befragten? bis und mehr Mitarbeiter Statistische Auswertung, Frage 3 Basis: n = 424 Bundesamt für Sicherheit in der Informationstechnik Ergebnisse der Awareness-Umfrage Seite 8

9 Allgemein Motivation zur Durchführung von Awareness-Maßnahmen

10 War die Institutionen der Befragten bereits Ziel eines Cyber- Angriffs? 37% der Institutionen waren bereits Ziel eines Cyber-Angriffe 46% 37% Ja Nein 46% der Befragten gaben nicht bekannt an 17% konnten keine Angriffe feststellen Nicht bekannt 17% Block 1, Frage 1 Basis: n = 424 Bundesamt für Sicherheit in der Informationstechnik Ergebnisse der Awareness-Umfrage Seite 10

11 Wie schätzen die Befragten ihre Kenntnisse im Themengebiet Security-Awareness ein? Keine Kenntnisse Experte % der Befragten setzen bereits Awareness-Maßnahmen um und schätzen ihre Kenntnisse für fortgeschritten bis Experte ein Grundkenntnisse 129 Fortgeschrittene Kenntnisse Block 1, Frage 2 Basis: n = 424 Bundesamt für Sicherheit in der Informationstechnik Ergebnisse der Awareness-Umfrage Seite 11

12 Welchen der folgenden Begriffe assoziieren die Befragten mit Awareness-Maßnahmen oder -Kampagnen in Unternehmen? Marketing / Kommunikation 10 Awareness 34 Sensibilisierung Schulung / Training 72 Sicherheitskultur 117 Sensibilisierung Block 1, Frage 3 Basis: n = 424, darin enthalten 5x keine Angabe Bundesamt für Sicherheit in der Informationstechnik Ergebnisse der Awareness-Umfrage Seite 12

13 Würden die Befragten kostenfreie Informationsangebote der Allianz für Cyber-Sicherheit zum Thema Awareness nutzen? 26% 5% Ja Nein Vielleicht 69% Block 1, Frage 4 Basis: n = 424, darin enthalten 4x keine Angabe Bundesamt für Sicherheit in der Informationstechnik Ergebnisse der Awareness-Umfrage Seite 13

14 Wurden oder werden in der Institution der Befragten Awareness-Maßnahmen umgesetzt? 23% 14% 63% Ja Nein Nicht bekannt Block 1, Frage 5 Basis: n = 424, darin enthalten 4x keine Angabe Bundesamt für Sicherheit in der Informationstechnik Ergebnisse der Awareness-Umfrage Seite 14

15 Bei 63% (269) der Befragten werden Awareness-Maßnahmen in der Institution umgesetzt Die Ergebnisse des nachfolgenden Fragen-Block 2 beziehen sich nur auf die 63% der Befragten, welche bereits Awareness-Maßnahmen umgesetzt haben. (entspricht 269 von insgesamt 424 Datensätzen)

16 Was hat die Institution der Befragten zur Umsetzung der Awareness-Maßnahmen veranlasst? Forderung von Kunden 29 Aktueller Sicherheitsvorfall 33 Sonstige Gründe 73 Präventivmaßnahme aufgrund wachsender Risiken Block 2, Frage 1 Basis: n = 269, Mehrfachnennung möglich Bundesamt für Sicherheit in der Informationstechnik Ergebnisse der Awareness-Umfrage Seite 16

17 Welche Organisationseinheit hat die Awareness-Maßnahmen initiiert? Personalabteilung 7 Interne Revision 7 Andere 19 Risikomanagement 19 IT-Betrieb / IT-Administration 64 Behörden- / Unternehmensleitung 68 IT- / Informations- / Unternehmenssicherheit Block 2, Frage 2 Basis: n = 269, Mehrfachnennung möglich Bundesamt für Sicherheit in der Informationstechnik Ergebnisse der Awareness-Umfrage Seite 17

18 Welche Organisationseinheit war für die operative Umsetzung der Awareness-Maßnahmen verantwortlich? Interne Revision 3 Risikomanagement Andere Externe Auftragnehmer Personalabteilung Eigens für das Vorhaben eingerichtete Projektgruppe Behörden- / Unternehmensleitung Datenschutzbeauftragte/r 41 IT-Betrieb / IT-Administration 64 IT- / Informations- / Unternehmenssicherheit Block 2, Frage 3 Basis: n = 269, Mehrfachnennung möglich Bundesamt für Sicherheit in der Informationstechnik Ergebnisse der Awareness-Umfrage Seite 18

19 Welche Organisationseinheiten wurden zur Umsetzung der Awareness-Maßnahmen mit einbezogen? Interne Revision Andere Risikomanagement 39 Externe Auftragnehmer 54 Fachabteilung 78 Personalabteilung 92 Datenschutzbeauftragte/r Behörden- / Unternehmensleitung IT-Betrieb / IT-Administration 153 IT- / Informations- / Unternehmenssicherheit Block 2, Frage 4 Basis: n = 269, Mehrfachnennung möglich Bundesamt für Sicherheit in der Informationstechnik Ergebnisse der Awareness-Umfrage Seite 19

20 Wie bewerten die Befragten die Unterstützung der Unternehmens- / Behördenleitung bei der Umsetzung? 9% 4% 18% Sehr gut Zwei Drittel der Befragten beurteilen die Unterstützung durch die Unternehmens-leitung als gut bis sehr gut Gut 27% Ausreichend Mangelhaft Ungenügend 42% Block 2, Frage 5 Basis: n = 269 Bundesamt für Sicherheit in der Informationstechnik Ergebnisse der Awareness-Umfrage Seite 20

21 Wurden Personen in der Haupttätigkeit im letzten Jahr zur Umsetzung von Awareness-Maßnahmen in den Institutionen eingesetzt? Bei 126 Befragten setzen Mitarbeiter als Haupttätigkeit Awareness-Maßnahmen in der Institution um Zusätzlich unterstützen bei 89 der Befragten auch Mitarbeiter mit Awareness als Nebentätigkeit Bei 85 Befragten werden die Awareness-Maßnahmen durch Mitarbeiter als Nebentätigkeit umgesetzt 58 der Befragten machten keine Angaben Block 2, Frage 6 Basis: n = 269 Bundesamt für Sicherheit in der Informationstechnik Ergebnisse der Awareness-Umfrage Seite 21

22 Für welche Zielgruppen wurden die Awareness-Maßnahmen entwickelt? 3% 3% Ein Maßnahmenpaket für alle Mitarbeiter 9% 9% 8% 14% 15% 39% IT-Mitarbeiter Fachabteilung (z.b. Verwaltung, Personal, Produktion u.s.w.) Nutzer von mobilen Endgeräten Behörden-/Unternehmensleitung Mitarbeiter mit privilegierten Berechtigungen Mitarbeiter externer Dienstleister Andere Block 2, Frage 7 Basis: n = 269 Bundesamt für Sicherheit in der Informationstechnik Ergebnisse der Awareness-Umfrage Seite 22

23 Welche Methoden wurden dabei eingesetzt? Andere 29 Testszenarien zur Prüfung des Mitarbeiterverhaltens 31 Einzelunterrichtung / E-Learning 72 Events / Mitarbeiterveranstaltungen (z. B. Roadshow) 96 Informationskampagnen (z. B. Flyer, Poster) 144 Schulungen / Seminare in Gruppen 159 Dienstanweisungen / Vorschriften / Policies Block 2, Frage 8a Basis: n = 269, Mehrfachnennung möglich Bundesamt für Sicherheit in der Informationstechnik Ergebnisse der Awareness-Umfrage Seite 23

24 Welche Medien kamen dabei zum Einsatz? Instant Messenger / SMS Blogs Botschaften auf Bildschirmschoner / Desktop-Hintergrund / (Gewinn-)Spiele Andere Videos Mitarbeiterzeitschrift Poster Broschüren / Flyer Folienpräsentationen Intranet Block 2, Frage 8b Basis: n = 269, Mehrfachnennung möglich Bundesamt für Sicherheit in der Informationstechnik Ergebnisse der Awareness-Umfrage Seite 24

25 In welchen zeitlichen Abständen werden die Awareness- Maßnahmen in den Institution der Befragten durchgeführt? sporadisch jährlich permanent monatlich Block 2, Frage 8c Basis: n = 269, Mehrfachnennung möglich Bundesamt für Sicherheit in der Informationstechnik Ergebnisse der Awareness-Umfrage Seite 25

26 Wurden bei der Auswahl der Awareness-Maßnahmen branchenspezifische Risiken/Gefährdungen berücksichtigt? 54% 46% ja nein Block 2, Frage 9 Basis: n = 269 Bundesamt für Sicherheit in der Informationstechnik Ergebnisse der Awareness-Umfrage Seite 26

27 Wie messen die Befragten den Erfolg ihrer Awareness- Maßnahmen? Statistische Auswertung von Anfragen der Mitarbeiter zur Informationssicherheit 21 Andere Auswertung von Testszenarien zur Prüfung des Mitarbeiterverhaltens Statistische Auswertung des Abrufs der bereitgestellten Materialien (z. B. Klickraten 32 Befragung in persönlichen Interviews 37 Statistische Auswertung von Sicherheitsvorfällen 46 Befragung mit Feedback-Bögen / Online-Befragung 61 Teilnahmequote bei Schulungen 67 Es wurde keine Erfolgsmessung vorgenommen Block 2, Frage 10 Basis: n = 269, Mehrfachnennung möglich Bundesamt für Sicherheit in der Informationstechnik Ergebnisse der Awareness-Umfrage Seite 27

28 Bei 14% der Befragten (59) wurden bisher keine Awareness-Maßnahmen in der Institution umgesetzt, 56% davon planen diese in den kommenden 12 Monaten einzuführen.

29 Warum wurden bisher keine Awareness-Maßnahmen in Ihrer Institution durchgeführt? Top 5 Begründungen, alle Weiteren jeweils < 11% Top 1: Keine Zeit / Ressourcen 51 % Top 2: Fehlende Unterstützung durch die Unternehmensleitung 41 % Top 3: Mangelndes internes Know-how bzgl. Security-Awareness 37 % Top 4: Maßnahmen wurden zugunsten technischer Maßnahmen zurückgestellt 17 % Top 5: Keine Sicherheitsvorfälle 17% Block 3, Frage 1 Basis: n = 59, Mehrfachnennung erwünscht Bundesamt für Sicherheit in der Informationstechnik Ergebnisse der Awareness-Umfrage Seite 29

30 Vielen Dank für Ihr Interesse Kontakt Geschäftsstelle der Allianz für Cyber-Sicherheit c/o Bundesamt für Sicherheit in der Informationstechnik (BSI) Godesberger Allee Bonn Bundesamt für Sicherheit in der Informationstechnik Ergebnisse der Awareness-Umfrage Seite 30