Ein Anbieter von Cyber-Sicherheitslösungen und Endpoint-Management hat Ergebnisse einer demografischen Analyse von Kundenbefragungen zum Thema Cybersicherheit veröffentlich und fordert Unternehmen nun auf, insbesondere jüngere Mitarbeiter besser zu schulen. Das US-amerikanische IT-Softwareunternehmen Ivanti hatte einerseits in Unternehmen unterschiedlicher Branchen Führungskräfte und IT-Fachleute befragt, andererseits über 6.000 Büroangestellte, von denen jeweils etwa die Hälfte älter bzw. jünger als 40 Jahre alt waren.
Viele Unternehmen gehen davon aus, dass ältere Arbeitnehmer weniger technisch versiert sind und daher eher ein Risiko für das Unternehmen darstellen; die Ivanti-Studie kommt nun zu dem Ergebnis, dass tatsächlich das Gegenteil der Fall ist. Bei den jüngeren Berufstätigen, in dieser Studie gehören dazu alle Mitarbeiter unter 40, sei die Wahrscheinlichkeit deutlich höher, dass von ihnen elementare Sicherheitsrichtlinien nicht beachtet werden. Das gelte insbesondere für den Umgang mit Phishing-Links, die Passworthygiene und die gemeinsame Nutzung von Geräten mit der Familie und Freunden.
So stelle es für ein Drittel der jüngeren Mitarbeiter eine Selbstverständlichkeit dar, digitale Arbeitsgeräte mit Freunden oder Familienmitgliedern zu teilen, auch wenn das eindeutig gegen die Compliance-Richtlinien ihres Arbeitgebers verstößt. Unter den Älteren praktiziert so ein risikoreiches Verhalten nicht einmal jeder Fünfte. Identische Passwörter werden von 38 Prozent der unter 40-jährigen auf mehreren Geräten verwendet, in der älteren Belegschaft findet sich dies nur bei 28 Prozent der Mitarbeiter. Dass Geburtsdatum als Passwort zu wählen, eine Option von der üblicherweise in IT-Richtlinien abgeraten wird, hielten innerhalb der älteren Generation nur wenige für eine gute Idee, während in Passwörtern von 34 Prozent der jüngeren Mitarbeiter genau das anzutreffen war.
Noch gravierender dürften für Unternehmen die Unterschiede bei der Reaktion auf Phishing sein: Nach einer dezidierten Aufforderung, einen Phishing-Link anzuklicken, taten dies 13 Prozent der Büromitarbeiter unter 40 Jahren, bei den Älteren lag dieser Wert um fünf Prozentpunkte niedriger. Zudem zeigt die Studie auch, dass jüngere Berufstätige weniger bereit sind, Gefahren zu melden. So machten mehr als doppelt so viele Jüngere (23 Prozent) die Angabe, sie hätten die letzte bei ihnen im Postfach eingegangene Phishing-E-Mail nicht gemeldet. Als häufigsten Grund dafür benannten sie zudem, ihnen sei nicht bewusst gewesen, dass die Weitergabe von Phishing-E-Mails für die unternehmenseigene IT-Abteilung von Relevanz sei.
Um die Sicherheit des eigenen Unternehmens zu schützen, ist es jedoch unabdingbar, dass Informationen zu Sicherheitsvorfällen schnell zur Verfügung stehen. Wenn bestimmte Teile der Belegschaft zögern, solche Gefahren zu melden, sollten Unternehmen darauf reagieren und für ihre Mitarbeiter aktuelle Informationen und Schulungsprogramme bereitstellen „Die Annahme, dass jüngere Mitarbeitende sicherheitsbewusster und technisch versierter sind“, mahnt Daniel Spicer, Chief Security Officer bei Ivanti, „ist überholt und sogar gefährlich.“ Der Cyber-Sicherheitsexperte rät: „Unternehmen sollten diese Annahmen auf den Prüfstand stellen, indem sie interne Untersuchungen durchführen, die die Einstellung ihrer eigenen Mitarbeitenden zu Sicherheitsrisiken und ihre Rolle bei deren Bewältigung erfassen.“
Scheu vor den SecOps-Teams zeige sich zudem vor allem in den unteren Bereichen der Unternehmenshierarchie. So hatten 72 Prozent der befragten Führungskräfte angegeben, dass sie sich mit einer Frage oder einem Anliegen an Mitarbeiter der unternehmenseigenen Cyber-Security-Abteilung gewendet haben, während unter den Büroangestellten nur magere 28 Prozent von sich aus
den Kontakt zur eigenen IT-Abteilung gesucht hatten. „Mitarbeitende verstehen nicht immer, dass sie wertvolle Mitglieder des erweiterten Sicherheitsteams sind“, erläutert Ivanti Chief Security Officer Spicer. Viele Unternehmen verfolgten einen Top-to-Down-Ansatz in Bezug auf Schulungen und die firmenweite Sicherheitskultur. Die Studie zeige jedoch, dass eine kooperative und positive Sicherheitskultur deutlich zielführender ist. „Sicherheitsverantwortliche müssen alle Mitarbeitenden in die Lage versetzen“, so Spicer, „sich gegen Bedrohungsakteure zu wehren und proaktiv eine offene und aufgeschlossene Sicherheitskultur aufzubauen.“ Unzureichend geschulte Mitarbeiter, ganz gleich auf welcher Ebene der Unternehmenshierarchie, und Cyber-Laissez-faire führten für das jeweilige Unternehmen als Ganzes zu einer vermeidbaren Verschlechterung der Sicherheitslage. Spicer sieht es daher als dringend angezeigt, dass Firmen ihren technischen Stack so gestalten, dass es keine unnötigen Hürden für die Endanwender gebe.
