Human Risk Behavior Snapshot Report
IT-Leiter geben oft schlechtes Beispiel
Arctic Wolf hat die Ergebnisse eines aktuellen Reports bekannt gegeben. Der Bericht basiert auf einer von Sapio Research durchgeführten Umfrage, an der weltweit 1.500 leitende IT- und Sicherheitsentscheider sowie Endanwender aus über sechzehn Ländern teilgenommen haben, darunter 200 aus Deutschland.
Phishing-Attacken erkennen: Es gibt offenbar ein krasses Missverhältnis von Wahrnehmung und Realität. Denn obwohl Phishing-Attacken durch die leichte Zugänglichkeit von KI-Tools immer personalisierter und raffinierter werden, sind 81 Prozent der IT-Führungskräfte in DACH zuversichtlich, dass ihr Unternehmen nicht auf einen Phishing-Versuch hereinfallen wird. Gleichzeitig gaben jedoch 62 Prozent an, selbst schon einmal auf einen Phishing-Link geklickt zu haben, bei den Endanwendern waren es 39 Prozent. Letzteres könnte jedoch darauf zurückzuführen sein, dass die Endnutzer den Phishing-Link nicht als solchen erkannt haben.
Business E-Mail Compromise (BEC) beginnt oft mit einem Phishing-Angriff, um Anmeldedaten oder Zugang zu bestimmten E-Mail-Konten zu erhalten. 40 Prozent der IT-Führungskräfte verschicken mindestens alle zwei Wochen Phishing-Simulationen, um ihre Sicherheitsvorkehrungen zu testen. Dabei klicken 81 Prozent der Mitarbeitenden zumindest gelegentlich auf diese Phishing-Simulationslinks.
„Die Zuversicht vieler IT-Verantwortlicher steht im Missverhältnis zu der Zahl der Klicks auf Phishing Links – Simulationslinks und tatsächliche Phishing-Links“, so Dr. Sebastian Schmerl, Regional Vice President Security Services EMEA bei Arctic Wolf. „Das Risko ist also größer als von Sicherheitsverantwortlichen wahrgenommen, und das wird regelmäßig sehr gefährlich. Es braucht daher ein Umdenken bei den Verantwortlichen und Trainings, die auf die wirklichen Gefahren zugeschnitten sind. Gleichzeitig kommen Trainings an ihre Grenzen. Menschen ohne tiefgehende IT-Fachkenntnisse kann man nur begrenzt auf IT-Security-Szenarien vorbereiten. Deswegen muss zusätzlich vorgesorgt werden, falls das schwächste Glied der Sicherheitskette bricht. Ohne kontinuierliches Monitoring und schnelle Detektion und Reaktion ist es nur eine Frage der Zeit, bis es zu einem folgenschweren Sicherheitsvorfall kommt.“
Obwohl IT-Führungskräfte mit gutem Beispiel vorangehen sollten, zeigt der Report auch, dass diese Gruppe überraschend nachlässig in Bezug auf Sicherheitspraktiken ist: Mehr als ein Drittel (40 %) der befragten IT-Führungskräfte hat Sicherheitsmaßnahmen in genutzten Systemen deaktiviert. Bei den Endnutzern sind es lediglich elf Prozent, weil diese die in der Regel nicht über die erforderlichen Adminrechte verfügen.
„Es ist besorgniserregend, dass viele IT-Verantwortliche seit Jahren anerkannte Best Practise nicht umsetzen und damit das Cyberrisiko wissentlich erhöhen“, so Dr. Schmerl. „Zusätzliche Sicherheitsmaßnahmen sind immer auch mit gewissen Beeinträchtigungen für Nutzererfahrung und Prozesse verbunden. Umso wichtiger ist es daher, eine Balance zwischen Schutz und Benutzerfreundlichkeit zu finden. Statt Best-Practice-Maßnahmen zu negieren, sollte der Fokus darauf liegen, mit Vorbild voranzugehen, gute Verhaltensweisen im Unternehmen zu etablieren und mitigierende Schutzmaßnahmen umzusetzen, falls wirklich der heutzutage seltene Fall eintritt, das Security Maßnahmen aus operativen Notwendigkeiten ausschalten werden müssen.“
Eine gute Cybersicherheitskultur basiert auf Offenheit und Vertrauen. Mitarbeitende müssen Vorfälle ohne Angst vor negativen Konsequenzen melden können. Doch während 89 Prozent der IT-Führungskräfte in DACH glauben, dass Mitarbeitende dies bedenkenlos tun, sind es in Wirklichkeit nur 63 Prozent. Von den Endanwendern, die sich unwohl fühlen, Vorfälle zu melden, gaben weltweit 45 Prozent Bedenken bezüglich negativer Folgen für ihre berufliche Zukunft an.
Die Sorgen der Endanwender sind nicht unbegründet: 38 Prozent der IT-Führungskräfte in DACH haben bereits erlebt, dass Mitarbeitende aufgrund eines Cyberangriffs, wie Phishing, entlassen wurden. Und nur rund ein Drittel (34 Prozent) der IT-Leiter schließt eine Kündigung nach einem Sicherheitsvorfall aus.
„Unternehmen sollten den Fehler vermeiden, Sündenböcke zu suchen, wenn es zum Sicherheitsvorfall kam. Schuldzuweisungen und Kündigungen sind keine Lösung. Nicht zuletzt, weil Angriffe ohne State-of-the-art-Security-Monitoring und Security-Experten teilweise nur schwer – wenn überhaupt – zu erkennen sind. Es ist wichtig, schon vorher die ‚Hausaufgaben‘ gemacht zu haben: Es braucht eine umfassende Cybersicherheitsstrategie mit 24/7-Monitoring und dedizierten Reaktionsplänen, um im Ernstfall schnell reagieren zu können. Und Mitarbeitende sollten dazu ermutigt werden, Vor- und Verdachtsfälle gleich zu melden. So können alle gemeinsam lernen und die Sicherheitslage des Unternehmens nachhaltig verbessern.“
Die Wiederverwendung von Passwörtern ist noch immer gängige Praxis: 69 Prozent der IT- und Cybersicherheitsverantwortlichen in DACH geben zu, dass sie Systempasswörter wiederverwenden.
Dies ist besonders kritisch zu bewerten, wenn man bedenkt, dass Administratoren Zugang zu weiten Teilen der IT-Umgebung haben. Zudem verwendet noch immer knapp ein Drittel der DACH-Führungskräfte (30 %) schriftliche Notizen und Tabellen, um sich an Systempasswörter zu erinnern, was ein zusätzliches Sicherheitsrisiko darstellt.
91 Prozent der befragten IT-Verantwortlichen in DACH haben in den letzten 90 Tagen Passwortänderungen verlangt, 66 Prozent der Endnutzer haben dies befolgt. Insgesamt geben jedoch 44 Prozent der Endnutzer an, dass sie ihr Passwort nicht geändert haben, weil dies von ihrem Unternehmen gefordert war, sondern aus persönlicher Entscheidung. Dies deutet darauf hin, dass es Verbesserungspotenzial bei der Risikokommunikation gibt.
„Awareness-Training bedeutet nicht nur, dass man der Belegschaft erklärt, was sie tun und lassen soll. Es ist wichtig, dass alle Mitarbeitende – von der studentischen Hilfskraft bis zum C-Level – verstehen, warum sie bestimmte Maßnahmen durchführen sollen. Nur so kann man die Akzeptanz für zusätzliche ‚Arbeitsschritte‘ erhöhen. Außerdem gibt es insbesondere für das Passwortmanagement oder „passwortlose“ Authentifizierung effektive Lösungen, die Prozesse verschlanken und vereinfachen“, erklärt Dr. Schmerl.
20 Prozent der Endanwender in DACH gaben an, dass sie das Security-Awareness-Training, das sie in ihrem Unternehmen absolvieren müssen, langweilig und veraltet finden. Security-Awareness-Trainings sind seit langem ein zentraler Bestandteil von Sicherheitsstrategien. Traditionelle Schulungen, die nur einmal im Jahr stattfinden und lediglich durchgeführt werden, um rechtliche Vorschriften zu erfüllen, haben sich jedoch als sehr ineffektiv erwiesen. Das Wissen einer solchen ‚Druckbetankung‘ ist meist nicht von langer Dauer. Schnell fallen Mitarbeitende demotiviert und unzureichend informiert wieder in alte Verhaltensmuster zurück, so Arctic Wolf.
„Der Arctic Wolf Human Risk Behavior Report 2024 zeigt, dass sowohl Führungskräfte als auch Endanwender noch viel Arbeit vor sich haben“, so Adam Marre, Chief Information Security Officer bei Arctic Wolf. „Bei der Cybersicherheit geht es nicht nur um Technologie, sondern auch um Menschen. Da die Bedrohungsakteure immer raffinierter werden, müssen Sicherheitsverantwortliche über die traditionellen Sicherheitsschulungsmethoden hinausgehen und eine umfassende Strategie für das Human Risk Management einführen, die ihnen nicht nur dabei hilft, Bedrohungen besser zu erkennen und zu entschärfen, sondern vor allem eine proaktivere und sicherheitsbewusstere Belegschaft zu fördern.“
Für Interessierte empfiehlt sich in diesem Zusammenhang auch der kostenlose Security Awareness Newsletter von connect professional, den Sie hier abonnieren können.
Lesen Sie mehr zum Thema
