Zusammenbruch der Cybersicherheit: Verbesserung des Bewusstseins am Arbeitsplatz

Die Weihnachtseinkäufe sind in vollem Gange, und die Mitarbeiter nutzen zunehmend firmeneigene Geräte, um ihre Geschenkeinkäufe während der Arbeitszeit zu erledigen.Eine aktuelle Studie von Robert Half Technology ergab, dass 75 % der Mitarbeiter zugaben, am Cyber Monday während der Arbeitszeit mit einem Firmengerät einzukaufen, und 23 % verbrachten sogar noch mehr Zeit mit der Online-Schnäppchenjagd, während sie im Büro waren. Diese Daten zeigen, wie wichtig es für Unternehmen ist, sich der Risiken bewusst zu sein, die ihre Mitarbeiter während der Weihnachtszeit und darüber hinaus darstellen.

Um herauszufinden, wie die Mitarbeiter von heute während der Arbeitszeit das Internet nutzen, befragte Mimecast mehr als 1.000 Personen, die von der Firma zur Verfügung gestellte Geräte (z. B. Mobiltelefone, Desktop-Computer oder Laptops) am Arbeitsplatz verwenden. So konnten wir nicht nur ihr Verhalten besser einschätzen, sondern auch ihr Bewusstsein für grundlegende Bedrohungen die Unternehmen plagen. Wir haben uns auch erkundigt, ob und in welchem Umfang sie von ihrem Arbeitgeber Schulungen zum Thema Cybersicherheit erhalten haben.

Hier ist, was wir gefunden haben:

Den Mitarbeitern von heute fehlt es an grundlegendem Bewusstsein für Cybersicherheit

Es scheint, als gäbe es jeden Tag eine neue Sicherheitslücke (das jüngste Beispiel ist Marriott Hotels ), eine Schwachstelle oder einen anderen Vorfall im Bereich der Cybersicherheit in den Nachrichten. Cyberangriffe sind das größte Geschäftsrisiko in Nordamerika , und doch haben wir herausgefunden, dass fast jeder vierte Mitarbeiter die häufigsten Bedrohungen nicht kennt, mit denen Unternehmen heute konfrontiert sind - wie Phishing-Angriffe, Identitätswechsel und Ransomware .

Erhalten Sie weitere Beiträge wie diesen jede Woche in Ihren Posteingang. Abonnieren Sie jetzt Cyber Resilience Insights .

Darüber hinaus geben 15 % der Befragten zu, dass sie entweder vorsichtiger sein könnten oder ganz darauf vertrauen, dass die E-Mails, die an ihre Geräte gesendet werden, vor jeder Art von Bedrohung sicher sind. In einer Zeit, in der ein einziger falscher Klick eines einzelnen Mitarbeiters die gesamte Infrastruktur eines Unternehmens gefährden kann, sind dies ziemlich alarmierende Zahlen.

Auf die Frage, wofür sie ihr vom Unternehmen zur Verfügung gestelltes Gerät nutzen, gaben mehr als zwei Drittel (69 %) an, dass sie es zum Teil für nicht arbeitsbezogene Aktivitäten verwenden. Die drei wichtigsten persönlichen Verwendungszwecke sind das Lesen von Nachrichten (53 %), das Abrufen persönlicher E-Mails (33 %) und das Surfen in sozialen Medien (23 %).

Darüber hinaus nutzen fast 28 % ihr vom Unternehmen zur Verfügung gestelltes Gerät mindestens eine Stunde pro Tag für private Zwecke, wobei diese Zahl bei jüngeren Arbeitnehmern (18-24-Jährige) auf 40 % steigt. Schockierenderweise nutzt jeder zehnte Arbeitnehmer sein Gerät mehr als vier Stunden pro Tag für private Zwecke.

Durch die private Nutzung von Firmengeräten wird nicht nur wertvolle Arbeitszeit vergeudet, sondern es entstehen auch Sicherheitsbedenken. Für Arbeitgeber und IT-Abteilungen ist es äußerst schwierig, genau zu wissen, was diese Personen jeden Arbeitstag anklicken, durchsuchen und tun .

Letztlich sind also die Mitarbeiter schuld daran, dass die Hacker ihre Arbeit leichter machen, oder? Nun, nicht ganz...

Werfen wir einen Blick darauf, was die Arbeitgeber selbst tun (oder nicht tun), um die Sache zu unterstützen.

Schulungen zur Cybersicherheit und Sensibilisierung fehlen in einer Zeit, in der sie am dringendsten benötigt werden

Unseren Ergebnissen zufolge sind sich fast 60 % der Arbeitnehmer entweder nicht bewusst, dass ihr Unternehmen eine formelle Richtlinie für die persönliche Internetnutzung am Arbeitsplatz hat, oder es gibt überhaupt keine solche Richtlinie.

Tatsächlich bieten nur 45 % der modernen Unternehmen obligatorische formale Cybersicherheitsschulungen an, obwohl menschliches Versagen eine der häufigsten Ursachen für Sicherheitsvorfälle ist. Weitere 10 % bieten diese Art von Schulung als optional an. Darüber hinaus bieten von den Unternehmen, die in irgendeiner Form Cybersicherheitsschulungen anbieten (Hut ab vor den wenigen Mutigen), nur 6 % monatliche Schulungen an, während 4 % dies vierteljährlich tun. 9 % der Befragten gaben an, dass sie nur während des Onboarding-Prozesses, als sie ihre Stelle antraten, eine formelle Cybersicherheitsschulung erhalten haben.

Bei näherer Betrachtung stellen wir fest, dass viele Unternehmen auf recht veraltete und offen gesagt unwirksame Praktiken zurückgreifen. Der häufigste Ansatz besteht in einer per E-Mail oder in gedruckter Form versandten Liste mit Tipps und Hinweisen zur Cybersicherheit (33 %). Es folgen proaktive Aufforderungen zu sicheren und unsicheren Links (30 %) und interaktive Videos mit bewährten Verfahren (28 %).

Was bedeutet das alles?

Dies könnte darauf hindeuten, dass Unternehmen ihren Mitarbeitern von Natur aus zutrauen, dass sie wissen, was sie anklicken und was nicht, und dass sie sich beim Surfen im Internet klug verhalten - sowohl aus beruflichen als auch aus privaten Gründen. Es könnte auch bedeuten, dass die heutigen Unternehmen einfach nicht über die Ressourcen oder das Know-how verfügen, um formelle Cybersecurity- und Sensibilisierungsschulungen durchzuführen .

Und da sich Cyberbedrohungen ständig weiterentwickeln, so dass sie herkömmliche Sicherheitsmethoden wie Antiviren- und Anti-Spam-Filter umgehen können, ist es für Unternehmen unerlässlich, Schulungen zum Thema Cybersicherheit in ihre Gesamtstrategie für Cyber-Resilienz zu integrieren.

Drei bewährte Praktiken für die Cybersicherheit

Für Unternehmen, die ihre Cybersicherheitsaufklärung neu starten oder auffrischen wollen, können ein paar einfache Tipps den Unterschied ausmachen:

• Bleiben Sie hartnäckig: Ein einmaliger Ansatz ist nicht genug. Es ist wichtig, die Mitarbeiter immer wieder darauf hinzuweisen, worauf sie achten müssen, wenn es um Cyber-Bedrohungen und bewährte Praktiken zum Erkennen von bösartigen Nachrichten, Websites usw. geht. Versuchen Sie nicht, in einer einzigen Einführungsschulung oder jährlichen Auffrischungssitzung alles zu vermitteln. Lehren Sie stattdessen in kurzen Abschnitten von nicht mehr als ein paar Minuten.
• Machen Sie es zur Pflicht: Schulungen sollten alle 30 Tage stattfinden. Noch wichtiger ist, dass Sie nach ein- oder zweimaliger Schulung nicht damit aufhören, sondern es zu einer konsequenten, obligatorischen, unternehmensweiten Praxis machen.
• Machen Sie es lustig: Der einfachste Weg, Ihr Publikum zu verlieren, ist, die Schulung langweilig, irrelevant und vor allem vergesslich zu machen. Die Einbindung von Persönlichkeiten, wiederkehrenden Charakteren und Inhalten mit Wiedererkennungswert kann viel dazu beitragen, dass die Inhalte eine nachhaltige Wirkung haben.

Mit Blick auf das Jahr 2019, in dem Vorfälle im Bereich der Cybersicherheit mit ziemlicher Sicherheit in diesem hektischen Tempo weitergehen werden, ist es für Unternehmen der perfekte Zeitpunkt, formellere Schulungen und Weiterbildungsmaßnahmen zum Thema Cybersicherheit einzuführen um sich gegen eine der größten Bedrohungen zu schützen - sich selbst.

Erfahren Sie mehr darüber, wie Mimecast Ihr Unternehmen bei der Sensibilisierung für Cybersicherheit sowie bei der Schulung und Ausbildung unterstützen kann hier .