Wenn das Risiko zur Gewohnheit wird: Mitarbeiterverhalten und organisatorische Sicherheit

Laut "Exposing Human Risk" ist menschliches Verhalten ein bedeutender und oft übersehener Risikofaktor bei der Cybersicherheit von Unternehmen. Der Bericht hebt hervor, wie riskante Handlungen von Mitarbeitern – wie z.B. das Fallen auf Phishing, das Herunterladen von Malware oder die Verletzung von Browsing-Richtlinien – Schwachstellen schaffen können, die Unternehmen Cyber-Bedrohungen aussetzen. Die Ergebnisse bieten wichtige Erkenntnisse darüber, wie Unternehmen das Risiko verringern können, indem sie auf bestimmte Verhaltensweisen ihrer Mitarbeiter eingehen. 

Riskantes Verhalten und Gewohnheitstäter 

Eine der wichtigsten Erkenntnisse aus der Studie ist die unverhältnismäßige Auswirkung einer kleinen Anzahl von Mitarbeitern, die sich riskant verhalten. Diese Personen, die als "Gewohnheitstäter" bekannt sind, sind für einen beträchtlichen Teil der Cybersicherheitsvorfälle in Unternehmen verantwortlich: 

• Zum Beispiel haben 5% der Mitarbeiter, die für Browsing-Verstöße verantwortlich sind, 62% aller derartigen Vorfälle verursacht. 
• In Bezug auf Phishing, Malware und Browsing-Verhalten waren nur 5% der Nutzer für 75% der entdeckten Ereignisse verantwortlich.  
• Nur 1% der Nutzer steckt hinter 44% aller angeklickten Phishing-E-Mails. 

Was zeigt dieses Muster? Wenn man sich auf das Verhalten einiger weniger Risikokonsumenten konzentriert, könnte dies zu erheblichen Verbesserungen bei der allgemeinen Risikominderung führen. 

Mehrere Risikoverhaltensweisen 

Die Studie zeigt auch, dass viele Arbeitnehmer nur eine Form von riskantem Verhalten an den Tag legen, während eine kleine Gruppe von Personen mehrere gefährliche Handlungen an den Tag legt. Von den 48% Mitarbeitern, die riskante Verhaltensweisen an den Tag legten, begingen die meisten nur eine Art. Allerdings haben 13% zwei Arten von Übertretungen begangen, und weniger als 1% in drei oder mehr Bereichen. 

Interessanterweise treten die höchsten Fehlerquoten bei echten Phishing-Versuchen und nicht bei simulierten Phishing-Tests auf. Etwa 3% der Mitarbeiter fielen sowohl bei den echten als auch bei den simulierten Phishing-Tests durch, während 1% bei den echten Phishing-Tests durchfiel, nicht aber bei den Simulationen.  

Sind simulierte Phishing-Tests irreführend? 

Es gibt einen starken Kontrast zwischen den Reaktionen der Mitarbeiter auf simulierte und echte Phishing-Angriffe. Die Daten zeigen, dass die Klickraten für simuliertes Phishing viel höher sind als für echte Angriffe, was bedeuten könnte, dass die Mitarbeiter besser in der Lage sind, echte Phishing-Nachrichten zu erkennen. Dies wirft die Frage auf, ob simulierte Phishing-Tests zu komplex oder unrealistisch sind und die Mitarbeiter möglicherweise in die Irre führen, wie ein echter Phishing-Versuch aussieht. 

Die Rolle der beruflichen Funktion bei der Risikoexposition 

Eine weitere wichtige Entdeckung in der Studie betrifft die Frage, wie unterschiedliche Rollen innerhalb des Unternehmens die Anfälligkeit für Phishing-Angriffe beeinflussen. Manager, Führungskräfte und Vertriebsmitarbeiter erhalten mehr Phishing-E-Mails, da sie in der Öffentlichkeit stehen und mehr Zugriffsrechte haben. Allerdings haben sie im Vergleich zu anderen Mitarbeitern tendenziell niedrigere Klickraten.  

Interessanterweise werden Manager zwar häufiger angegriffen, aber ihre höhere Gefährdung führt zu einer höheren Wahrscheinlichkeit erfolgreicher Angriffe, was darauf hindeutet, dass ein proaktiverer Schutz dieser Mitarbeiter effektiver sein könnte als eine einfache zusätzliche Schulung. 

Die Quintessenz  

Exposing Human Risk unterstreicht die Bedeutung des Verständnisses und des Managements menschlicher Risiken bei der Cybersicherheit. Während die Bedrohungen von außen nach wie vor erheblich sind, stellt das Verhalten der Mitarbeiter - insbesondere derjenigen, die sich immer wieder auf riskante Aktionen einlassen - eine ständige Herausforderung dar.  

Durch die Identifizierung von Benutzern mit hohem Risiko und maßgeschneiderte Interventionsstrategien können Unternehmen ihre Cybersicherheitsrisiken verringern. Regelmäßige Schulungen, genauere Phishing-Simulationen und ein spezieller Schutz für besonders gefährdete Rollen sind wichtige Schritte zur Verbesserung der Cybersicherheit eines Unternehmens. 

Um mehr darüber zu erfahren, was passiert, wenn riskante Verhaltensweisen zur Gewohnheit werden, lesen Sie den vollständigen Bericht.