29 Okt 2023

Cybercrime: Wer schuld ist, wenn nichts mehr geht

0 Kommentare

(kunid) Der Unternehmensberater EY Österreich erklärt in einer aktuellen Studie: Private Nutzung von Arbeitsgeräten, fehlende sichere Authentifizierungsmethoden oder mangelnde Schulungen kumulieren zu massiven Risiken.

Das Beratungsunternehmen EY Österreich hat 1.043 Angestellte zwischen 18 und 65 Jahren in heimischen Unternehmen zum Thema Cybersecurity befragt. Voraussetzung war, dass die Studienteilnehmer in ihrem Berufsalltag „fast immer“ einen Laptop oder Desktop-Computer verwenden.

Während sich die meisten anderen Studien dem Thema aus Unternehmenssicht nähern, hat man sich hier explizit mit den Arbeitnehmern beschäftigt, betont Gottfried Tonweber, Partner und Leiter Cybersecurity & Data Privacy Österreich bei EY.

Privates als Sicherheitsrisiko

Mitarbeiter sind das kostengünstigste und effizienteste Einfallstor für Cyberkriminelle, sagt Tonweber, und er warnt vor einer „Verschiebung in den privaten Kontext“.

Dem größten Teil der Befragten (61,9 %) ist es nämlich gestattet, private E-Mails auch auf Geräten des Arbeitgebers zu lesen. Und das tun viele auch: 23,9 % täglich, 17,6 % mehrmals in der Woche. Nur 25,6 % lesen nie private E-Mails auf Arbeitsgeräten.

Verdächtige E-Mails bzw. E-Mails mit verdächtigen Attachments haben laut Studie bereits 87,6 % der Befragten erhalten – im privaten, im beruflichen Kontext oder in beiden. Am häufigsten haben sie dabei Phishing-Versuche oder Malware-Downloads erlebt.

Gleichzeitig wird es immer schwieriger, Phishing zu erkennen, sagt Bernhard Zacherl, Director und Experte für Cybersecurity bei EY Österreich: 24,2 % der Arbeitnehmer geben an, gefälschte Mails nicht oder nur schwer erkennen zu können.

Teilweise lockerer Umgang mit Cybersicherheit

Ein Drittel der Befragten hat schon einmal einen Cyberangriff erlebt – 20,2 % im beruflichen und 19,1 % im privaten Kontext.

Und die meisten fühlen sich gut vorbereitet, um Fehler bei der Cybersicherheit zu umgehen oder zu vermeiden: Beruflich sehen sich 30,5 % sehr gut und weitere 52,5 % eher gut vorbereitet, im privaten Bereich 18,3 % sehr gut und 59,1 % eher gut vorbereitet.

Nach wie vor wichtigste Methode der Authentifizierung bei der Anmeldung auf Arbeitsgeräten ist das Passwort, das von 82,3 % der Befragten benutzt wird. Multi-Faktor-Authentifizierungen werden nur von 21 % beruflich und 26 % privat verwendet.

Im Gesamtkontext nicht gerade hilfreich ist dabei, dass 58,7 % der Befragten angeben, dasselbe Passwort mehrfach zu verwenden, teilweise sogar sowohl beruflich als auch privat.

Schulungen und Informationen mit Luft nach oben

Ein großer Teil der Arbeitnehmer wird nicht regelmäßig geschult, kritisiert EY. So haben 27,6 % an ihrem derzeitigen Arbeitsplatz noch keine Cybersicherheitsschulung erhalten, bei nur 39,6 % hat eine Schulung in den letzten zwölf Monaten stattgefunden.

Wichtigste Informationsquelle bezüglich Cybersicherheit sind Gespräche mit Kollegen, Freunden und Bekannten; 46,9 % der Befragten erhalten so Informationen, ein „gefährliches Halbwissen“, wie Tonweber erklärt. 43,5 % erhalten Informationen von ihrem Unternehmen.

Insgesamt sind aber 65,4 % der Befragten der Meinung, dass ihr Arbeitgeber gut für den Fall eines Cyberangriffs gerüstet ist, nur 22.6 % sind der Meinung, dass ihr Unternehmen besonders anfällig für Cyberangriffe ist.

Problematisch ist, dass 15,5 % der Angestellten obligatorische Software-Aktualisierungen so lange wie möglich aufschieben. Und 3,2 % sagen, dass sie den Schutz der Cybersicherheit weder auf privaten noch auf Endgeräten ihres Dienstgebers ernst nehmen!

Handlungsbedarf

Risiken für Unternehmen kumulieren, wenn sich ein Viertel der Mitarbeiter in dem Thema Cybersicherheit nicht abgeholt fühlt, es keine regelmäßigen Schulungen auf neue Bedrohungen gibt, sichere Authentifizierungsmethoden fehlen und Unternehmenseigentum für private Aktivitäten verwendet wird.

Aufgrund dessen ortet EY starken Handlungsbedarf. Vorgeschlagen werden Schulungen, Mindestanforderungen im Passwortmanagement, Schwachstellenanalysen und die Zertifizierung der IT-Sicherheit.

Denn Cybersicherheit in Unternehmen funktioniert nur mit Hilfe aller Mitarbeiter und die Sensibilisierung der Mitarbeiter ist auch die einfachste und kostengünstigste Lösung.

[zum Anfang]