Der Sicherheitsanbieter Ivanti hat in einer aktuellen Studie die Risikoexposition von Unternehmen weltweit genauer unter die Lupe genommen – von riskantem Mitarbeiterverhalten bis hin zu Ungereimtheiten in der Sicherheitskultur. Denn häufig täuschen hervorragende Security-Leistungen auf breiter Ebene über versteckte Risikofelder hinweg.
Die Studie verdeutlicht, dass eine von oben auferlegte, standardisierte Unternehmenssicherheit dazu tendiert, spezielle Risiken zu ignorieren. Diese gehen unter anderem mit Demografie, Geschlecht und Funktion im Unternehmen einher. Eine wesentliche Erkenntnis der Studie: Jeder dritte Mitarbeitende ist der Ansicht, dass sein Handeln keinen Einfluss auf die Unternehmenssicherheit hat. Dabei legen gerade jüngere Mitarbeiter eine bedenkliche Unbekümmertheit an den Tag.
Für die Untersuchung „Versteckte Bedrohungen 2023“ befragte Ivanti weltweit 6.500 Führungskräfte, Cyberfachleute und Büroangestellte. Ziel war es, herauszufinden, wie sich die Demografie der Belegschaft auf die unternehmensweite Sicherheitslage auswirkt.
Passwort-Hygiene & bösartige Links
Viele Unternehmen gehen davon aus, dass ältere Arbeitnehmer weniger technisch versiert sind und daher eher zu riskantem Verhalten neigen. In Wirklichkeit ist das Gegenteil der Fall. Bei jüngeren Berufstätigen (unter 40) ist die Wahrscheinlichkeit, dass sie elementare Sicherheitsrichtlinien missachten, deutlich höher als bei der Generation X und älter. Das gilt für die Passworthygiene, den Umgang mit Phishing-Links und die gemeinsame Nutzung von Geräten mit Familie und Freunden:
- Während beispielsweise 38 Prozent der unter 40-jährigen gleiche Passwörter auf mehreren Geräten verwenden, sind dies in der älteren Belegschaft nur noch 28 Prozent.
- Ein Geburtsdatum findet man in Passwörtern von 34 Prozent der jüngeren Mitarbeiter, während dies bei der älteren Generation deutlich seltener anzutreffen ist (19%).
- Jeder dritte jüngere Mitarbeiter teilt seine digitalen Arbeitsgeräte mit Freunden oder Familienmitgliedern. Bei der älteren Belegschaft sinkt dieser Wert auf gerade einmal jeden Fünften.
- 13 Prozent der Büromitarbeiter unter 40 Jahren klicken auf einen Phishing-Link, wenn man sie gezielt darauf hinweist. Bei den Älteren liegt dieser Wert bei guten 8 Prozent.
(Bildquelle: Ivanti)
Stereotype über altersbedingtes technisches Wissen können Unternehmen also in die Irre führen. Und das Problem hängt nicht nur mit Cyberhygiene zusammen. Die Studie zeigt auch, dass jüngere Berufstätige weniger bereit sind, Gefahren zu melden. Von den Arbeitnehmern unter 40 Jahren gaben 23 Prozent an, dass sie die letzte Phishing-E-Mail, die sie erhalten haben, nicht gemeldet haben. Zum Vergleich: Bei den über 40-Jährigen hatten nur 12 Prozent keine Meldung gemacht. Der häufigste Grund für das Verhalten: „Mir war nicht bewusst, dass dies wichtig ist.”
„Die Annahme, dass jüngere Mitarbeitende sicherheitsbewusster und technisch versierter sind, ist überholt und sogar gefährlich. Unternehmen sollten diese Annahmen auf den Prüfstand stellen, indem sie interne Untersuchungen durchführen, die die Einstellung ihrer eigenen Mitarbeitenden zu Sicherheitsrisiken und ihre Rolle bei deren Bewältigung erfassen“, sagt Daniel Spicer, Chief Security Officer bei Ivanti.
Scheu vor den SecOps-Teams
Um die Sicherheit eines Unternehmens zu gewährleisten, müssen Informationen über Sicherheitsvorfälle oder -verletzungen nahezu in Echtzeit zur Verfügung stehen. Die Studie zeigt jedoch, dass bestimmte Segmente der Belegschaft zögern, Gefahren zu melden – ein Umstand, der bei der Entwicklung von Informations- und Schulungsprogrammen Berücksichtigung finden muss:
- Dienstalter: Die größte Variable bei Meldungen von Vorfällen ist das Dienstalter. Zweiundsiebzig Prozent der befragten Führungskräfte gaben an, dass sie sich mit einer Frage oder einem Anliegen an einen Cybersecurity-Mitarbeitende gewandt haben, verglichen mit nur 28 Prozent der Büroangestellten.
- Geschlecht: Bei Frauen ist die Wahrscheinlichkeit, dass sie Vorfälle melden, geringer als bei Männern. 28 Prozent haben sich mit einer Frage oder einem Anliegen an einen Cybersicherheitsmitarbeitenden gewandt, verglichen mit 36 Prozent bei den Männern.
Unterschiede in Bezug auf Schulungen und Einstellungen zur Cybersicherheit gibt es auch in der Länderbetrachtung: 43 Prozent der Befragten in Frankreich geben an, dass ihre Unternehmen keine obligatorischen Schulungen zur Cybersicherheit anbieten. Mit gerade einmal 22 Prozent sind deutsche Firmen in diesem Punkt sehr gut aufgestellt.
„Mitarbeitende verstehen nicht immer, dass sie wertvolle Mitglieder des erweiterten Sicherheitsteams sind, auch wenn Unternehmen versuchen, sie zu schulen und aufzuklären”, ergänzt Daniel Spicer. „Sicherheitsverantwortliche müssen alle Mitarbeitenden in die Lage versetzen, sich gegen Bedrohungsakteure zu wehren und proaktiv eine offene und aufgeschlossene Sicherheitskultur aufzubauen.“
Viele Unternehmen verfolgen einen Top-Down-Ansatz in Bezug auf Schulungen und die firmenweite Sicherheitskultur. Die Studie zeigt jedoch, dass eine kooperative und positive Sicherheitskultur deutlich zielführender ist. Unzureichend geschulte Mitarbeitende und Cyber-Laissez-faire schwächen die Sicherheitslage des Unternehmens als Ganzes. Firmen müssen daher ihren technischen Stack so gestalten, dass die Reibung für den Endanwender möglichst gering bleibt.
Über die Studie
Ivanti befragte im 4. Quartal 2022 über 6.500 Führungskräfte, Fachleute für Cybersicherheit und Büroangestellte – 650 davon aus Deutschland. (Büroangestellte ≤40 Jahre: 3.609 Büroangestellte >40 Jahre: 2.769)
Die Studie „Versteckte Bedrohungen: Wie die demografische Entwicklung der Belegschaft Ihre Sicherheitslage beeinflusst“ steht hier zum Download bereit.
www.ivanti.com