Home Office und IT-Sicherheit: Mitarbeiter machen 90 Prozent der Fehler in Überzeugung, das Richtige zu tun. Kaspersky-Training zeigt deutlich, dass Mitarbeiter ihre eigenen Kenntnisse immer wieder überschätzen.
Die kostenfreie Security-Schulung von Kaspersky und Area 9 Lyceum zeigt, dass Mitarbeiter ihr Wissen bezüglich IT-Sicherheit überschätzen: in zwei Drittel der Fälle (66 Prozent) wurden zwar korrekte Antworten gegeben [1], jedoch waren in neun von zehn Fällen, in denen die Antwort falsch war, die Mitarbeiter trotzdem weiterhin von ihren Kenntnissen überzeugt. Als schwierigste Lernziele wurden der Einsatz von virtuellen Maschinen, Software-Updates und die Gründe zur Nutzung der unternehmensbezogenen IT-Ressourcen im Home Office identifiziert.
Die Corona-Pandemie führte bei vielen Unternehmen zu einer Umstellung auf ,Remote Work’ beziehungsweise den Umzug der Mitarbeiter ins Home Office. Eng damit verknüpft ist eine steigende Anzahl internetbasierter Angriffe [2], Phishing-Mails mit COVID-19-Bezug [3] und einer zunehmenden Schatten-IT [4]. Um Unternehmen weltweit bei der Verbesserung der Security-Kenntnisse ihrer Mitarbeiter zu unterstützen, haben Kaspersky und Area9 Lyceum Anfang April 2020 einen adaptives Online-Training speziell für im Home Office Arbeitende zur Verfügung gestellt [5], das diesbezüglich grundlegendes Cybersicherheitswissen vermittelt.
Kasperskys Analyse zeigt: Mitarbeiter überschätzen sich
Die Analyse der anonymisierten Lernergebnisse zeigt jedoch, dass Mitarbeiter im Home Office dazu neigen, ihre Kenntnisse hinsichtlich IT-Sicherheit zu überschätzen. In 90 Prozent der Fälle, in denen die Lernenden eine falsche Antwort wählten, waren sie überzeugt, richtig zu liegen und gaben an: “Ich weiß es” oder “Ich glaube, ich weiß es”. Dies wurde durch die adaptive Lernmethodik aufgedeckt, bei der die Teilnehmer gebeten wurden, den Grad ihres Selbstvertrauens hinsichtlich der Antworten und der Beantwortung der Testfragen zu beurteilen.
Durch die Analyse konnte Kaspersky zudem die schwierigsten Lernziele beim Thema Security-Awareness identifizieren. Als größte Herausforderung wurde der Einsatz virtueller Maschinen festgestellt. Ganze 60 Prozent der gegebenen Antworten diesbezüglich waren falsch und 90 Prozent der Antwortenden fielen in die Kategorie “unbewusste Inkompetenz”. Letzteres bedeutet, dass die Lernenden trotz der falschen Antwort weiterhin überzeugt waren, die richtige Option gewählt zu haben.
52 Prozent nutzen unternehmenseigenen IT-Ressourcen inkorrekt
Darüber hinaus waren mehr als die Hälfte der Antworten (52 Prozent) auf Fragen zur Nutzung der unternehmenseigenen IT-Ressourcen aus dem Home-Office (wie beispielsweise Mail-, Messaging-, oder Cloud-Storage-Dienste) inkorrekt. In 88 Prozent der Fälle gingen Remote-Mitarbeiter fälschlicherweise davon aus, dass sie über ein entsprechendes Wissen zu diesem Thema verfügen. Auch bei der Beantwortung der Frage zur Installation von Software-Updates lag die Fehlerquote bei 50 Prozent. In diesem Fall glaubte eine überwältigende Mehrheit von 92 Prozent derer, die falsche Antworten gegeben hatten, dass sie über die erforderlichen Fähigkeiten verfügten.
“Wenn Mitarbeiter keine Gefahr in riskanten Aktionen sehen, wie zum Beispiel die Speicherung sensibler Dokumente im persönlichen Speicher, ist es unwahrscheinlich, dass sie Rat bei der IT- oder IT-Sicherheitsabteilung suchen”, zeigt sich Denis Barinov, Leiter der Kaspersky Academy, skeptisch. “Aufgrund von derartigen, lang etablierten Gewohnheiten ist es für Mitarbeiter schwierig, ihr Verhalten zu ändern und die damit verbundenen Cyberrisiken zu erkennen. Diese “unbewusste Inkompetenz” stellt eine der relevantesten Herausforderungen dar, die mit unserem Security-Awareness-Training erkannt und gelöst werden können.”
Mehr dazu beim Awareness-Trainung bei Kaspersky.de
Über Kaspersky Kaspersky ist ein internationales Cybersicherheitsunternehmen, das im Jahr 1997 gegründet wurde. Die tiefgreifende Threat Intelligence sowie Sicherheitsexpertise von Kaspersky dient als Grundlage für innovative Sicherheitslösungen und -dienste, um Unternehmen, kritische Infrastrukturen, Regierungen und Privatanwender weltweit zu schützen. Das umfassende Sicherheitsportfolio des Unternehmens beinhaltet führenden Endpoint-Schutz sowie eine Reihe spezialisierter Sicherheitslösungen und -Services zur Verteidigung gegen komplexe und sich weiter entwickelnde Cyberbedrohungen. Über 400 Millionen Nutzer und 250.000 Unternehmenskunden werden von den Technologien von Kaspersky geschützt. Weitere Informationen zu Kaspersky unter www.kaspersky.com/