IT-Leiter nutzen Systempasswörter mehrfach


Arctic Wolf Human Risk Behavior Snapshot Report: Sieben von zehn IT-Verantwortlichen in DACH erwägen Mitarbeiterkündigung nach Sicherheitsvorfall
Acht von zehn IT-Führungskräften sind zuversichtlich, dass ihr Unternehmen nicht auf Phishing-Links hereinfällt Mehr als 80 Prozent der Mitarbeitenden haben schon einmal auf einen Phishing-Simulations-Link geklickt



Arctic Wolf gab die Ergebnisse ihres 2024 Human Risk Behavior Snapshot Report bekannt. Der Arctic Wolf-Bericht basiert auf einer von Sapio Research durchgeführten Umfrage, an der weltweit 1.500 leitende IT- und Sicherheitsentscheider sowie Endanwender aus über sechzehn Ländern teilgenommen haben, darunter 200 aus Deutschland. Der Report vermittelt Entscheidern und Sicherheitsexperten ein besseres Verständnis von Verhaltensmustern in einer Post-Gen-AI-Welt und gewährt Einblicke in die häufigsten menschlichen Risikofaktoren.

Phishing-Attacken erkennen: Missverhältnis von Wahrnehmung und Realität
Obwohl Phishing-Attacken durch die leichte Zugänglichkeit von KI-Tools immer personalisierter und raffinierter werden, sind 81 Prozent der IT-Führungskräfte in DACH zuversichtlich, dass ihr Unternehmen nicht auf einen Phishing-Versuch hereinfallen wird. Gleichzeitig gaben jedoch 62 Prozent an, selbst schon einmal auf einen Phishing-Link geklickt zu haben, bei den Endanwendern waren es 39 Prozent. Letzteres könnte jedoch darauf zurückzuführen sein, dass die Endnutzer den Phishing-Link nicht als solchen erkannt haben.

Business E-Mail Compromise (BEC) beginnt oft mit einem Phishing-Angriff, um Anmeldedaten oder Zugang zu bestimmten E-Mail-Konten zu erhalten. 40 Prozent der IT-Führungskräfte verschicken mindestens alle zwei Wochen Phishing-Simulationen, um ihre Sicherheitsvorkehrungen zu testen. Dabei klicken 81 Prozent der Mitarbeitenden zumindest gelegentlich auf diese Phishing-Simulationslinks.

"Die Zuversicht vieler IT-Verantwortlicher steht im Missverhältnis zu der Zahl der Klicks auf Phishing Links – Simulationslinks und tatsächliche Phishing-Links", so Dr. Sebastian Schmerl, Regional Vice President Security Services EMEA bei Arctic Wolf. "Das Risko ist also größer als von Sicherheitsverantwortlichen wahrgenommen, und das wird regelmäßig sehr gefährlich. Es braucht daher ein Umdenken bei den Verantwortlichen und Trainings, die auf die wirklichen Gefahren zugeschnitten sind. Gleichzeitig kommen Trainings an ihre Grenzen. Menschen ohne tiefgehende IT-Fachkenntnisse kann man nur begrenzt auf IT-Security-Szenarien vorbereiten. Deswegen muss zusätzlich vorgesorgt werden, falls das schwächste Glied der Sicherheitskette bricht. Ohne kontinuierliches Monitoring und schnelle Detektion und Reaktion ist es nur eine Frage der Zeit, bis es zu einem folgenschweren Sicherheitsvorfall kommt."

Security-Verantwortliche deaktivieren Sicherheitsmaßnahmen
Obwohl IT-Führungskräfte mit gutem Beispiel vorangehen sollten, zeigt der Report, dass diese Gruppe überraschend nachlässig in Bezug auf Sicherheitspraktiken ist: Mehr als ein Drittel (40 Prozent) der befragten IT-Führungskräfte hat Sicherheitsmaßnahmen in genutzten Systemen deaktiviert. Bei den Endnutzern sind es lediglich 11 Prozent, weil diese die in der Regel nicht über die erforderlichen Adminrechte verfügen.

"Es ist besorgniserregend, dass viele IT-Verantwortliche seit Jahren anerkannte Best Practise nicht umsetzen und damit das Cyberrisiko wissentlich erhöhen", so Dr. Schmerl. "Zusätzliche Sicherheitsmaßnahmen sind immer auch mit gewissen Beeinträchtigungen für Nutzererfahrung und Prozesse verbunden. Umso wichtiger ist es daher, eine Balance zwischen Schutz und Benutzerfreundlichkeit zu finden. Statt Best-Practice-Maßnahmen zu negieren, sollte der Fokus darauf liegen, mit Vorbild voranzugehen, gute Verhaltensweisen im Unternehmen zu etablieren und mitigierende Schutzmaßnahmen umzusetzen, falls wirklich der heutzutage seltene Fall eintritt, das Security Maßnahmen aus operativen Notwendigkeiten ausschalten werden müssen."

Angst, Sicherheitsvorfälle zu melden
Eine gute Cybersicherheitskultur basiert auf Offenheit und Vertrauen. Mitarbeitende müssen Vorfälle ohne Angst vor negativen Konsequenzen melden können. Doch während 89 Prozent der IT-Führungskräfte in DACH glauben, dass Mitarbeitende dies bedenkenlos tun, sind es in Wirklichkeit nur 63 Prozent. Von den Endanwendern, die sich unwohl fühlen, Vorfälle zu melden, gaben weltweit 45 Prozent Bedenken bezüglich negativer Folgen für ihre berufliche Zukunft an.

Die Sorgen der Endanwender sind nicht unbegründet: 38 Prozent der IT-Führungskräfte in DACH haben bereits erlebt, dass Mitarbeitende aufgrund eines Cyberangriffs, wie Phishing, entlassen wurden. Und nur rund ein Drittel (34 Prozent) der IT-Leiter schließt eine Kündigung nach einem Sicherheitsvorfall aus.

"Unternehmen sollten den Fehler vermeiden, Sündenböcke zu suchen, wenn es zum Sicherheitsvorfall kam. Schuldzuweisungen und Kündigungen sind keine Lösung. Nicht zuletzt, weil Angriffe ohne State-of-the-art-Security-Monitoring und Security-Experten teilweise nur schwer – wenn überhaupt – zu erkennen sind. Es ist wichtig, schon vorher die ‚Hausaufgaben‘ gemacht zu haben: Es braucht eine umfassende Cybersicherheitsstrategie mit 24/7-Monitoring und dedizierten Reaktionsplänen, um im Ernstfall schnell reagieren zu können. Und Mitarbeitende sollten dazu ermutigt werden, Vor- und Verdachtsfälle gleich zu melden. So können alle gemeinsam lernen und die Sicherheitslage des Unternehmens nachhaltig verbessern."

Mangelnde Passworthygiene
Die Wiederverwendung von Passwörtern ist noch immer gängige Praxis: 69 Prozent der IT- und Cybersicherheitsverantwortlichen in DACH geben zu, dass sie Systempasswörter wiederverwenden.

Dies ist besonders kritisch zu bewerten, wenn man bedenkt, dass Administratoren Zugang zu weiten Teilen der IT-Umgebung haben. Zudem verwendet noch immer knapp ein Drittel der DACH-Führungskräfte (30 Prozent) schriftliche Notizen und Tabellen, um sich an Systempasswörter zu erinnern, was ein zusätzliches Sicherheitsrisiko darstellt.

91 Prozent der befragten IT-Verantwortlichen in DACH haben in den letzten 90 Tagen Passwortänderungen verlangt, 66 Prozent der Endnutzer haben dies befolgt. Insgesamt geben jedoch 44 Prozent der Endnutzer an, dass sie ihr Passwort nicht geändert haben, weil dies von ihrem Unternehmen gefordert war, sondern aus persönlicher Entscheidung. Dies deutet darauf hin, dass es Verbesserungspotenzial bei der Risikokommunikation gibt.

"Awareness-Training bedeutet nicht nur, dass man der Belegschaft erklärt, was sie tun und lassen soll. Es ist wichtig, dass alle Mitarbeitende – von der studentischen Hilfskraft bis zum C-Level – verstehen, warum sie bestimmte Maßnahmen durchführen sollen. Nur so kann man die Akzeptanz für zusätzliche ‚Arbeitsschritte‘ erhöhen. Außerdem gibt es insbesondere für das Passwortmanagement oder "passwortlose" Authentifizierung effektive Lösungen, die Prozesse verschlanken und vereinfachen", erklärt Dr. Schmerl.

Awareness-Trainings müssen auch Spaß machen
20 Prozent der Endanwender in DACH gaben an, dass sie das Security-Awareness-Training, das sie in ihrem Unternehmen absolvieren müssen, langweilig und veraltet finden. Security-Awareness-Trainings sind seit langem ein zentraler Bestandteil von Sicherheitsstrategien. Traditionelle Schulungen, die nur einmal im Jahr stattfinden und lediglich durchgeführt werden, um rechtliche Vorschriften zu erfüllen, haben sich jedoch als sehr ineffektiv erwiesen. Das Wissen einer solchen ‚Druckbetankung‘ ist meist nicht von langer Dauer. Schnell fallen Mitarbeitende demotiviert und unzureichend informiert wieder in alte Verhaltensmuster zurück. Lösungen wie Arctic Wolf Managed Security Awareness können Unternehmen dabei unterstützen, effektive Sicherheitstrainings zu etablieren und eine Sicherheitskultur statt einer Kultur der Schuldzuweisung zu schaffen.

"Der Arctic Wolf Human Risk Behavior Report 2024 zeigt, dass sowohl Führungskräfte als auch Endanwender noch viel Arbeit vor sich haben", so Adam Marre, Chief Information Security Officer bei Arctic Wolf. "Bei der Cybersicherheit geht es nicht nur um Technologie, sondern auch um Menschen. Da die Bedrohungsakteure immer raffinierter werden, müssen Sicherheitsverantwortliche über die traditionellen Sicherheitsschulungsmethoden hinausgehen und eine umfassende Strategie für das Human Risk Management einführen, die ihnen nicht nur dabei hilft, Bedrohungen besser zu erkennen und zu entschärfen, sondern vor allem eine proaktivere und sicherheitsbewusstere Belegschaft zu fördern."

Methodik
Es wurden zwei Umfragen unter 750 IT- und Sicherheitsverantwortlichen aus den Bereichen C-Level Executive, Director/VVP und Owner sowie 750 Endanwendern aus dem mittleren und gehobenen Management von Abteilungen wie Finanzen, Personalwesen, Recht, Marketing, Betrieb und Beschaffung durchgeführt. Die Teilnehmer stammten aus Organisationen mit mehr als 50 Mitarbeitenden bis hin zu Großunternehmen und kamen aus 16 Ländern: Vereinigte Staaten, Kanada, Australien, Neuseeland, Vereinigtes Königreich, Irland, Deutschland, Niederlande, Belgien, Luxemburg, Schweiz, Österreich, Finnland, Dänemark, Norwegen und Schweden. Die Interviews wurden von Sapio Research im Juli 2024 per E-Mail-Einladung und Online-Umfrage durchgeführt. (Arctic Wolf: ra)

eingetragen: 30.11.24
Newsletterlauf: 21.01.25

Arctic Wolf: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Kostenloser PMK-Verlags-Newsletter
Ihr PMK-Verlags-Newsletter hier >>>>>>



Meldungen: Security-Studien

  • Zahl der "risikoreichen" Endgeräte sehr hoch

    Trend Micro veröffentlichte neue Studienergebnisse zu Cyberrisiken in Unternehmen. Der "Cyber Risk Report" liefert umfangreiche Daten aufgeschlüsselt nach Region, Unternehmensgröße, Branche und Asset-Typ.

  • Unklare Vorgaben für die Cybersicherheitsstrategie

    Trend Micro veröffentlichte neue Studienergebnisse zum Umgang mit Cyberrisiken. Die Studie von Sapio Research zeigt: Unternehmen mangelt es an Ressourcen und an der Bereitschaft der Geschäftsleitung, ihre digitale Angriffsoberfläche zu erfassen und zu minimieren

  • Cybergangster aktualisieren Methoden

    Auf der HP Imagine veröffentlichte HP (Hewlett-Packard) ihren neuesten Threat Insights Report. Dieser zeigt, wie Angreifer generative KI nutzen, um bösartigen Code zu schreiben.

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen