In der Umfrage Human Risk Behavior Snapshot Report erwägen 7 von 10 IT-Verantwortlichen im D-A-CH-Bereich eine Mitarbeiterkündigung nach einem Sicherheitsvorfall. Aber: auch 69 Prozent der IT-Leiter nutzen Systempasswörter auch mehrfach und agieren auch nicht besser.
Die Ergebnisse des 2024 Human Risk Behavior Snapshot Report basieren auf einer von Sapio Research durchgeführten Umfrage, an der weltweit 1.500 leitende IT- und Sicherheitsentscheider sowie Endanwender aus über sechzehn Ländern teilgenommen haben, darunter 200 aus Deutschland. Der Report vermittelt Entscheidern und Sicherheitsexperten ein besseres Verständnis von Verhaltensmustern in einer Post-Gen-AI-Welt und gewährt Einblicke in die häufigsten menschlichen Risikofaktoren.
Phishing-Attacken: Missverhältnis von Wahrnehmung und Realität
Mitarbeiter haben keine Angst einen Sicherheitsvorfall zu melden (Bild: Arctic Wolf).
Obwohl Phishing-Attacken durch die leichte Zugänglichkeit von KI-Tools immer personalisierter und raffinierter werden, sind 81 % der IT-Führungskräfte in DACH zuversichtlich, dass ihr Unternehmen nicht auf einen Phishing-Versuch hereinfallen wird. Gleichzeitig gaben jedoch 62 % an, selbst schon einmal auf einen Phishing-Link geklickt zu haben, bei den Endanwendern waren es 39 %. Letzteres könnte jedoch darauf zurückzuführen sein, dass die Endnutzer den Phishing-Link nicht als solchen erkannt haben.
Business E-Mail Compromise (BEC) beginnt oft mit einem Phishing-Angriff, um Anmeldedaten oder Zugang zu bestimmten E-Mail-Konten zu erhalten. 40 % der IT-Führungskräfte verschicken mindestens alle zwei Wochen Phishing-Simulationen, um ihre Sicherheitsvorkehrungen zu testen. Dabei klicken 81 % der Mitarbeitenden zumindest gelegentlich auf diese Phishing-Simulationslinks.
Security-Verantwortliche deaktivieren Sicherheitsmaßnahmen
Obwohl IT-Führungskräfte mit gutem Beispiel vorangehen sollten, zeigt der Report, dass diese Gruppe überraschend nachlässig in Bezug auf Sicherheitspraktiken ist: Mehr als ein Drittel (40 %) der befragten IT-Führungskräfte hat Sicherheitsmaßnahmen in genutzten Systemen deaktiviert. Bei den Endnutzern sind es lediglich 11 %, weil diese die in der Regel nicht über die erforderlichen Adminrechte verfügen.
Angst, Sicherheitsvorfälle zu melden
Eine gute Cybersicherheitskultur basiert auf Offenheit und Vertrauen. Mitarbeitende müssen Vorfälle ohne Angst vor negativen Konsequenzen melden können. Doch während 89 % der IT-Führungskräfte in DACH glauben, dass Mitarbeitende dies bedenkenlos tun, sind es in Wirklichkeit nur 63 %. Von den Endanwendern, die sich unwohl fühlen, Vorfälle zu melden, gaben weltweit 45 % Bedenken bezüglich negativer Folgen für ihre berufliche Zukunft an. Die Sorgen der Endanwender sind nicht unbegründet: 38 % der IT-Führungskräfte in DACH haben bereits erlebt, dass Mitarbeitende aufgrund eines Cyberangriffs, wie Phishing, entlassen wurden. Und nur rund ein Drittel (34 %) der IT-Leiter schließt eine Kündigung nach einem Sicherheitsvorfall aus.
Mangelnde Passworthygiene
Die Wiederverwendung von Passwörtern ist noch immer gängige Praxis: 69 % der IT- und Cybersicherheitsverantwortlichen in DACH geben zu, dass sie Systempasswörter wiederverwenden.
Dies ist besonders kritisch zu bewerten, wenn man bedenkt, dass Administratoren Zugang zu weiten Teilen der IT-Umgebung haben. Zudem verwendet noch immer knapp ein Drittel der DACH-Führungskräfte (30 %) schriftliche Notizen und Tabellen, um sich an Systempasswörter zu erinnern, was ein zusätzliches Sicherheitsrisiko darstellt.
91 % der befragten IT-Verantwortlichen in DACH haben in den letzten 90 Tagen Passwortänderungen verlangt, 66 % der Endnutzer haben dies befolgt. Insgesamt geben jedoch 44 % der Endnutzer an, dass sie ihr Passwort nicht geändert haben, weil dies von ihrem Unternehmen gefordert war, sondern aus persönlicher Entscheidung. Dies deutet darauf hin, dass es Verbesserungspotenzial bei der Risikokommunikation gibt.
Awareness-Trainings müssen auch Spaß machen
20 % der Endanwender in DACH gaben an, dass sie das Security-Awareness-Training, das sie in ihrem Unternehmen absolvieren müssen, langweilig und veraltet finden. Security-Awareness-Trainings sind seit langem ein zentraler Bestandteil von Sicherheitsstrategien. Traditionelle Schulungen, die nur einmal im Jahr stattfinden und lediglich durchgeführt werden, um rechtliche Vorschriften zu erfüllen, haben sich jedoch als sehr ineffektiv erwiesen. Das Wissen einer solchen ‚Druckbetankung‘ ist meist nicht von langer Dauer. Schnell fallen Mitarbeitende demotiviert und unzureichend informiert wieder in alte Verhaltensmuster zurück. Lösungen wie Arctic Wolf Managed Security Awareness können Unternehmen dabei unterstützen, effektive Sicherheitstrainings zu etablieren und eine Sicherheitskultur statt einer Kultur der Schuldzuweisung zu schaffen.
„Der Arctic Wolf Human Risk Behavior Report 2024 zeigt, dass sowohl Führungskräfte als auch Endanwender noch viel Arbeit vor sich haben“, so Adam Marre, Chief Information Security Officer bei Arctic Wolf. „Bei der Cybersicherheit geht es nicht nur um Technologie, sondern auch um Menschen. Da die Bedrohungsakteure immer raffinierter werden, müssen Sicherheitsverantwortliche über die traditionellen Sicherheitsschulungsmethoden hinausgehen und eine umfassende Strategie für das Human Risk Management einführen, die ihnen nicht nur dabei hilft, Bedrohungen besser zu erkennen und zu entschärfen, sondern vor allem eine proaktivere und sicherheitsbewusstere Belegschaft zu fördern.“
Mehr bei ArcticWolf.com
Über Arctic Wolf Arctic Wolf ist ein weltweiter Marktführer im Bereich Security Operations und bietet die erste cloudnative Security-Operations-Plattform zur Abwehr von Cyber-Risiken. Basierend auf Threat Telemetry, die Endpunkt-, Netzwerk- und Cloud-Quellen umfasst, analysiert die Arctic Wolf® Security Operations Cloud weltweit mehr als 1,6 Billionen Security Events pro Woche. Sie liefert unternehmenskritische Erkenntnisse zu nahezu allen Security Use Cases und optimiert die heterogenen Sicherheitslösungen der Kunden. Die Arctic Wolf Plattform ist bei mehr als 2.000 Kunden weltweit im Einsatz. Sie bietet automatisierte Threat Detection und Response und ermöglicht es Unternehmen jeder Größe, auf Knopfdruck erstklassige Security Operations einzurichten.