Arctic Wolf gibt anlässlich des Security Awareness Month Oktober die Ergebnisse seines 2024 Human Risk Behavior Snapshot Report bekannt. Der Report vermittelt Sicherheitsexperten ein besseres Verständnis von Verhaltensmustern in einer Post-Gen-AI-Welt und gewährt Einblicke in die häufigsten menschlichen Risikofaktoren.
Phishing-Attacken erkennen: Missverhältnis von Wahrnehmung und Realität
Obwohl Phishing-Attacken durch die leichte Zugänglichkeit von KI-Tools immer personalisierter und raffinierter werden, sind 81 % der IT-Führungskräfte in DACH zuversichtlich, dass ihr Unternehmen nicht auf einen Phishing-Versuch hereinfallen wird. Gleichzeitig gaben jedoch 62 % an, selbst schon einmal auf einen Phishing-Link geklickt zu haben, bei den Endanwendern waren es 39 %. Letzteres könnte jedoch darauf zurückzuführen sein, dass die Endnutzer den Phishing-Link nicht als solchen erkannt haben.
Business E-Mail Compromise (BEC) beginnt oft mit einem Phishing-Angriff, um Anmeldedaten oder Zugang zu bestimmten E-Mail-Konten zu erhalten. 40 % der IT-Führungskräfte verschicken mindestens alle zwei Wochen Phishing-Simulationen, um ihre Sicherheitsvorkehrungen zu testen. Dabei klicken 81 % der Mitarbeitenden zumindest gelegentlich auf diese Phishing-Simulationslinks.
„Die Zuversicht vieler IT-Verantwortlicher steht im Missverhältnis zu der Zahl der Klicks auf Phishing Links – Simulationslinks und tatsächliche Phishing-Links“, so Dr. Sebastian Schmerl, Regional Vice President Security Services EMEA bei Arctic Wolf. „Das Risko ist also größer als von Sicherheitsverantwortlichen wahrgenommen, und das wird regelmäßig sehr gefährlich. Es braucht daher ein Umdenken bei den Verantwortlichen und Trainings, die auf die wirklichen Gefahren zugeschnitten sind. Gleichzeitig kommen Trainings an ihre Grenzen. Menschen ohne tiefgehende IT-Fachkenntnisse kann man nur begrenzt auf IT-Security-Szenarien vorbereiten. Deswegen muss zusätzlich vorgesorgt werden, falls das schwächste Glied der Sicherheitskette bricht. Ohne kontinuierliches Monitoring und schnelle Detektion und Reaktion ist es nur eine Frage der Zeit, bis es zu einem folgenschweren Sicherheitsvorfall kommt.“
Security-Verantwortliche deaktivieren Sicherheitsmaßnahmen
„Es ist besorgniserregend, dass viele IT-Verantwortliche seit Jahren anerkannte Best Practise nicht umsetzen und damit das Cyberrisiko wissentlich erhöhen“, so Dr. Schmerl. „Zusätzliche Sicherheitsmaßnahmen sind immer auch mit gewissen Beeinträchtigungen für Nutzererfahrung und Prozesse verbunden. Umso wichtiger ist es daher, eine Balance zwischen Schutz und Benutzerfreundlichkeit zu finden. Statt Best-Practice-Maßnahmen zu negieren, sollte der Fokus darauf liegen, mit Vorbild voranzugehen, gute Verhaltensweisen im Unternehmen zu etablieren und mitigierende Schutzmaßnahmen umzusetzen, falls wirklich der heutzutage seltene Fall eintritt, das Security Maßnahmen aus operativen Notwendigkeiten ausschalten werden müssen.“
Angst, Sicherheitsvorfälle zu melden
Eine gute Cybersicherheitskultur basiert auf Offenheit und Vertrauen. Mitarbeitende müssen Vorfälle ohne Angst vor negativen Konsequenzen melden können. Doch während 89 % der IT-Führungskräfte in DACH glauben, dass Mitarbeitende dies bedenkenlos tun, sind es in Wirklichkeit nur 63 %. Von den Endanwendern, die sich unwohl fühlen, Vorfälle zu melden, gaben weltweit 45 % Bedenken bezüglich negativer Folgen für ihre berufliche Zukunft an.
Die Sorgen der Endanwender sind nicht unbegründet: 38 % der IT-Führungskräfte in DACH haben bereits erlebt, dass Mitarbeitende aufgrund eines Cyberangriffs, wie Phishing, entlassen wurden. Und nur rund ein Drittel (34 %) der IT-Leiter schließt eine Kündigung nach einem Sicherheitsvorfall aus.
„Unternehmen sollten den Fehler vermeiden, Sündenböcke zu suchen, wenn es zum Sicherheitsvorfall kam. Schuldzuweisungen und Kündigungen sind keine Lösung. Nicht zuletzt, weil Angriffe ohne State-of-the-art-Security-Monitoring und Security-Experten teilweise nur schwer – wenn überhaupt – zu erkennen sind. Es ist wichtig, schon vorher die ‚Hausaufgaben‘ gemacht zu haben: Es braucht eine umfassende Cybersicherheitsstrategie mit 24/7-Monitoring und dedizierten Reaktionsplänen, um im Ernstfall schnell reagieren zu können. Und Mitarbeitende sollten dazu ermutigt werden, Vor- und Verdachtsfälle gleich zu melden. So können alle gemeinsam lernen und die Sicherheitslage des Unternehmens nachhaltig verbessern.“
Mangelnde Passworthygiene
Die Wiederverwendung von Passwörtern ist noch immer gängige Praxis: 69 % der IT- und Cybersicherheitsverantwortlichen in DACH geben zu, dass sie Systempasswörter wiederverwenden.
Dies ist besonders kritisch zu bewerten, wenn man bedenkt, dass Administratoren Zugang zu weiten Teilen der IT-Umgebung haben. Zudem verwendet noch immer knapp ein Drittel der DACH-Führungskräfte (30 %) schriftliche Notizen und Tabellen, um sich an Systempasswörter zu erinnern, was ein zusätzliches Sicherheitsrisiko darstellt.
91 % der befragten IT-Verantwortlichen in DACH haben in den letzten 90 Tagen Passwortänderungen verlangt, 66 % der Endnutzer haben dies befolgt. Insgesamt geben jedoch 44 % der Endnutzer an, dass sie ihr Passwort nicht geändert haben, weil dies von ihrem Unternehmen gefordert war, sondern aus persönlicher Entscheidung. Dies deutet darauf hin, dass es Verbesserungspotenzial bei der Risikokommunikation gibt.
„Awareness-Training bedeutet nicht nur, dass man der Belegschaft erklärt, was sie tun und lassen soll. Es ist wichtig, dass alle Mitarbeitende – von der studentischen Hilfskraft bis zum C-Level – verstehen, warum sie bestimmte Maßnahmen durchführen sollen. Nur so kann man die Akzeptanz für zusätzliche ‚Arbeitsschritte‘ erhöhen. Außerdem gibt es insbesondere für das Passwortmanagement oder „passwortlose“ Authentifizierung effektive Lösungen, die Prozesse verschlanken und vereinfachen“, erklärt Dr. Schmerl.
Awareness-Trainings müssen auch Spaß machen
20 % der Endanwender in DACH gaben an, dass sie das Security-Awareness-Training, das sie in ihrem Unternehmen absolvieren müssen, langweilig und veraltet finden. Security-Awareness-Trainings sind seit langem ein zentraler Bestandteil von Sicherheitsstrategien. Traditionelle Schulungen, die nur einmal im Jahr stattfinden und lediglich durchgeführt werden, um rechtliche Vorschriften zu erfüllen, haben sich jedoch als sehr ineffektiv erwiesen. Das Wissen einer solchen ‚Druckbetankung‘ ist meist nicht von langer Dauer. Schnell fallen Mitarbeitende demotiviert und unzureichend informiert wieder in alte Verhaltensmuster zurück. Lösungen wie Arctic Wolf Managed Security Awareness können Unternehmen dabei unterstützen, effektive Sicherheitstrainings zu etablieren und eine Sicherheitskultur statt einer Kultur der Schuldzuweisung zu schaffen.
„Der Arctic Wolf Human Risk Behavior Report 2024 zeigt, dass sowohl Führungskräfte als auch Endanwender noch viel Arbeit vor sich haben“, so Adam Marre, Chief Information Security Officer bei Arctic Wolf. „Bei der Cybersicherheit geht es nicht nur um Technologie, sondern auch um Menschen. Da die Bedrohungsakteure immer raffinierter werden, müssen Sicherheitsverantwortliche über die traditionellen Sicherheitsschulungsmethoden hinausgehen und eine umfassende Strategie für das Human Risk Management einführen, die ihnen nicht nur dabei hilft, Bedrohungen besser zu erkennen und zu entschärfen, sondern vor allem eine proaktivere und sicherheitsbewusstere Belegschaft zu fördern.“
Weiter Informationen finden Sie im 2024 Human Risk Behavior Snapshot Report.
Methodik
Es wurden zwei Umfragen unter 750 IT- und Sicherheitsverantwortlichen aus den Bereichen C-Level Executive, Director/VVP und Owner sowie 750 Endanwendern aus dem mittleren und gehobenen Management von Abteilungen wie Finanzen, Personalwesen, Recht, Marketing, Betrieb und Beschaffung durchgeführt. Die Teilnehmer stammten aus Organisationen mit mehr als 50 Mitarbeitenden bis hin zu Großunternehmen und kamen aus 16 Ländern: Vereinigte Staaten, Kanada, Australien, Neuseeland, Vereinigtes Königreich, Irland, Deutschland, Niederlande, Belgien, Luxemburg, Schweiz, Österreich, Finnland, Dänemark, Norwegen und Schweden. Die Interviews wurden von Sapio Research im Juli 2024 per E-Mail-Einladung und Online-Umfrage durchgeführt.
(pd/Arctic Wolf)