Human Risk verstehen: Der Faktor 48%

Cyber-Risiken beginnen mit dem menschlichen Verhalten 

Bei der Cybersicherheit geht es nicht um Firewalls und Überwachungssysteme - es geht um Menschen. Laut dem Mimecast Exposing Human Risk Report 2024 zeigen 48% der Mitarbeiter ein riskantes Online-Verhalten, das ihr Unternehmen Cyber-Bedrohungen aussetzt. Das ist fast die Hälfte der Mitarbeiter, die ihr Unternehmen anfällig für Angriffe machen. 

Die Frontlinie bei der Cyberverteidigung hat sich verschoben. Während sich die externen Bedrohungen durch geschickte Hacker weiterentwickeln, bleibt das interne menschliche Element eine große Herausforderung. Um dieses Problem anzugehen, müssen wir verstehen, welche Arten von Verhaltensweisen Mitarbeiter an den Tag legen, warum diese Risiken bestehen und wie Unternehmen darauf reagieren können. 

48% der häufigsten Risikoverhaltensweisen von Mitarbeitern 

Der Mimecast-Bericht identifiziert drei Hauptverhaltensweisen, die Unternehmen immer wieder Cyberrisiken aussetzen:

1. Anklicken von Phishing-E-Mails: Mitarbeiter fallen immer noch auf Phishing-Links herein. 3% der Benutzer fallen sowohl bei Phishing-Simulationen als auch bei tatsächlichen Phishing-Angriffen durch. 
2. Herunterladen oder Ausführen von Malware: Mitarbeiter führen unbeabsigtigt Software aus, die bösartigen Akteuren Tür und Tor öffnet. 

Verstoß gegen die Richtlinien für das Surfen im Internet: Vom Besuch riskanter Websites bis zum Ignorieren von IT-Protokollen - Fehler beim Surfen führen oft zu Sicherheitslücken. Interessanterweise treten die meisten risikoreichen Verhaltensweisen als isolierte Vorfälle auf, aber 13% der Mitarbeiter führen mehrere risikoreiche Handlungen aus, was die Wahrscheinlichkeit, dass sie einen Verstoß verursachen, erheblich erhöht. 

Der Bericht hebt hervor, dass Cyberrisiken nicht gleichmäßig verteilt sind. Bestimmte Rollen und Dienstgrade sind einer höheren Belastung ausgesetzt als andere. 

• Manager sind die am meisten angesprochene Gruppe, aber auch diejenige, die am seltensten auf Phishing-E-Mails klickt. Ihre höhere Zielquote bedeutet jedoch, dass sie das größte jährliche Risiko haben. 
• Neu eingestellte Mitarbeiter sind besonders anfällig für Phishing-E-Mails, wobei die Klickraten mit zunehmender Betriebszugehörigkeit sinken. Umgekehrt werden Mitarbeiter, die schon lange im Unternehmen sind, häufiger angegriffen, weil ihre E-Mail-Adressen bekannter sind. 
• Labormitarbeiter und Kunden, die zwar nicht so stark betroffen sind, haben alarmierende Klickraten, was darauf hindeutet, dass Schulungen für diese Gruppen das Risiko drastisch verringern könnten. 

Darüber hinaus werden Vertriebsmitarbeiter und Vorstandsmitglieder- beides sehr öffentlichkeitswirksame Rollen - häufig Opfer von Phishing-Versuchen. Ihre Rollen gewähren ihnen oft hohe Zugriffsprivilegien, so dass ein erfolgreicher Angriff auf diese Benutzer besonders verheerend ist. 

Warum bleiben Mitarbeiter nach der Ausbildung riskant? 

Ein besonders aufschlussreicher Aspekt der Studie ist, dass das menschliche Risiko nicht nur verhaltensbedingt ist, sondern auch situationsbedingt. Mitarbeiter, die in der Öffentlichkeit stehen oder höhere Positionen bekleiden, sind von Natur aus stärker exponiert, einfach aufgrund der Art ihrer Arbeit. 

Manager haben beispielsweise eine geringere Klickrate auf Phishing-E-Mails als die meisten Angestellten, sind aber mit weit mehr Versuchen konfrontiert. Das Volumen der Angriffe erhöht ihr Risikoprofil, was darauf hindeutet, dass der Schutz vor Bedrohungen (durch verbesserte Filtersysteme) ebenso wichtig ist wie zusätzliche Schulungen. 

Wie können Unternehmen das Human Risk effektiv angehen? 

Das Management menschlicher Risiken erfordert eine vielschichtige Strategie. Unternehmen können sich nicht nur auf Schulungsprogramme oder technische Lösungen verlassen, die für alle geeignet sind. Maßgeschneiderte Interventionen sind der Schlüssel zum Erfolg. 

1. Identifizieren Sie Hochrisikogruppen: Wenn Sie wissen, welche Mitarbeiter am häufigsten auf Phishing-E-Mails klicken, können Sie Ihre Bemühungen auf die Bereiche konzentrieren, in denen sie die größte Wirkung erzielen. 
2. Schneiden Sie Schulungsprogramme zu: Bieten Sie statt allgemeiner Lektionen spezifische Anleitungen für bestimmte Rollen an. So müssen Vertriebsmitarbeiter vielleicht lernen, E-Mails mit einem kritischen Auge zu prüfen, während IT-Mitarbeiter ständig an die Richtlinien für das Surfen im Internet erinnert werden müssen. 
3. Verhindern Sie Angriffe: Für Rollen wie Manager oder Vorstandsmitglieder kann der Schutz vor Phishing-Angriffen durch fortschrittliche IT-Schutzmaßnahmen effektiver sein als weitere Schulungen. 
4. Verstärken Sie die Ausbildung kontinuierlich: Cybersecurity ist kein einmaliger Kurs. Mitarbeiter brauchen regelmäßige Auffrischungen und sich weiterentwickelnde Simulationen, um vorbereitet zu bleiben.

Kein Unternehmen ist immun gegen Cyber-Risiken, aber der Mimecast Exposing Human Risk Report macht eines deutlich: Risikominimierung beginnt mit dem Verständnis Ihrer Mitarbeiter. Die Daten zeigen, dass risikoreiche Verhaltensweisen durch gezielte Aufklärung, intelligentere Verteidigungsstrategien und einen proaktiven Ansatz zur Identifizierung von Schwachstellen reduziert werden können.

Möchten Sie mehr erfahren? Erfahren Sie, wie Ihr Unternehmen noch heute von Menschen verursachte Cyberrisiken bekämpfen kann. Lesen Sie den vollständigen Exposing Human Risk Report.