Site Logo

Beseitigung der Insider-Bedrohung durch Digital Natives

Themen:
26. Sep.. 2022
|
Phil Muncaster

Es wird oft gesagt, dass die Mitarbeitenden das schwächste Glied in der Cybersecurity-Kette eines Unternehmens sein können. Seltener wird darüber diskutiert, ob bestimmte Typen von Mitarbeitenden eine größere Insider-Bedrohung darstellen als andere. Dies könnte erhebliche Auswirkungen auf das Geschäftsergebnis haben. Einer Schätzung zufolge kostete die Behebung von Insider-Bedrohungen globale Organisationen im vergangenen Jahr durchschnittlich über 15 Millionen USD.

Laut einer neuen EY-Studie ist es die jüngere Generation von Mitarbeitenden, die Cybersecurity weniger ernst nimmt. Die Suche nach einer Möglichkeit, das Verhalten von Digital Natives zu ändern und zu einer Vorgehensweise zu motivieren, die sachkundiger und verantwortungsvoller ist, wird für IT-Führungskräfte schwierig sein. Aber es ist machbar.

Was EY herausgefunden hat

Die Studie basiert auf einer Umfrage unter 1.000 Mitarbeitenden in den USA zu ihrem Bewusstsein und ihren Praktiken in Bezug auf Security. Die Teilnehmenden der „Generation Z“ oder „Millennials“ (Generation Y) erscheinen in keinem besonders guten Licht. Konkret geht daraus Folgendes hervor:

  • Etwa die Hälfte der Befragten der Generation Z (48 %) und zwei Fünftel (39 %) der Millennials geben zu, dass sie die Security persönlicher Geräte ernster nehmen als den Schutz ihrer Arbeitsgeräte;
  • Generation Z (58 %) und Generation Y (42 %) ignorieren obligatorische IT-Updates eher als Generation X (31 %) und Babyboomer (15 %);
  • Generation Z (30 %) und Gen Y (31 %) verwenden eher identische Passwörter für berufliche und private Konten als Gen X (22 %) und Babyboomer (15 %).

Auf den ersten Blick leuchten die Ergebnisse nicht ein. Denn wenn die Digital Natives technisch versierter sind, verstehen Sie Cyberrisiken sicherlich besser und sind bereit Best Practices für Security einzuhalten? Die Studie versucht nicht zu beantworten, warum dies nicht der Fall ist. Sie hat ergeben, dass die überwiegende Mehrheit (83 %) der befragten Mitarbeitenden die Cybersecurity-Protokolle ihres Arbeitgebers versteht. Also scheinen sich jüngere Berufstätige bewusst dafür zu entscheiden, sie nicht zu befolgen.

Eine neue Ära des hybriden Arbeitsrisikos

Dies wird eine zunehmende Herausforderung für IT- und Security-Führungskräfte sein, da immer mehr Menschen der Generation Z ihren Weg in die Arbeitswelt finden. Bis 2025 werden sie voraussichtlich über ein Viertel (27 %) der Berufstätigen ausmachen. Könnte es sein, dass sie als erste Generation, die ohne Kenntnisse über eine Welt ohne Internet aufgewachsen ist, die möglichen Auswirkungen von riskantem Verhalten gelassener sehen?

Dies spielt in einer hybriden Arbeitsumgebung eine zunehmend wichtigere Rolle, in der:

  • Es mehr Freiheit gibt, Risiken einzugehen. Eine Studie im Jahr 2021 ergab, dass eine große Anzahl von Homeoffice-Beschäftigten Firmenlaptops für private Zwecke nutzt, wie Spielen, Online-Shopping und Internet-Downloads.
  • Externe Mitarbeitende sind möglicherweise abgelenkter und daher anfällig für Fehler, was zu versehentlichen Klicks auf Phishing-E-Mails führen könnte.
  • Persönliche Geräte und Netzwerke möglicherweise nicht so gut geschützt sind wie ihre Äquivalente in Unternehmen.

Beginnen Sie mit Schulungen

In diesem Zusammenhang muss die Cybersecurity in Unternehmen auf Menschen ausgerichtet sein. Das bedeutet Kontrollen zum Schutz von kritischen Daten und Systeme für den Fall, dass die Benutzer Fehler machen – wie Verschlüsselung, Multi-Faktor-Authentifizierung und Verhinderung von Datenverlust. Und eine konsequentere Durchsetzung von Richtlinien rund um Patching und das Management von externen Geräten, um die Angriffsfläche in einer heute viel stärker verteilten IT-Umgebung zu verringern. Aber es bedeutet auch, Schulungsprogramme zur User Awareness zu überdenken und zu aktualisieren.

Ziehen Sie Folgendes in Betracht, wenn es um die Bewertung dieses unerlässlichen Aspekts der Cybersicherheitsstrategie von Unternehmen geht:

  • Die richtigen Tools finden: Schulungslösungen sollten hochgradig anpassbare reale Simulationen bieten, die optimiert werden können, wenn die Phishing-Angriffe weiterentwickelt werden. Und sie sollten detaillierte Metriken zum Benutzer-Verhalten liefern, die zur Rückmeldung an die Mitarbeitenden und zur Anpassung des Schulungsansatzes genutzt werden können.
  • Schulungen kurz und bündig halten: Es ist besser, regelmäßig wirkungsvolle Sitzungen von 10-15 Minuten durchzuführen, als die Benutzer mit sporadischen, übermäßig langen Schulungen zu langweilen.
  • Alle miteinbeziehen: Jede/r ist ein potenzieller Bedrohungsvektor, von der Vorstandsetage bis hin zu Teilzeitkräften und Auftragnehmern. Alle sollten an Schulungen und Programmen zu einem besseren Security-Bewusstein teilnehmen.
  • Fokus auf die Unternehmenskultur: Das Bewusstsein für Bedrohungen zu verbessern ist eine Sache, das Verhalten, um die Meldung von Vorfällen zu motivieren, eine andere. EY stellte fest, dass 16 % der Befragten lieber versuchen würden, einen möglichen Security-Verstoß selbst zu beheben, als ihn zu melden. Die Beschäftigten müssen das Gefühl haben, dass sie nicht wegen „übermäßiger Meldungen“ beurteilt werden.
  • Erwägen Sie die Ausweitung von Programmen: Da die Grenzen zwischen Arbeit und Privatleben heute immer mehr verschwimmen, wird es zunehmend notwendiger, Schulungen und das Bewusstsein dafür anzupassen, um beides abzudecken. Betrachten Sie das Zuhause aller Mitarbeitenden als ein Mikro-Satellitenbüro.
  • Keine Arbeitskraft gleicht der anderen: Es kann sich lohnen, darüber nachzudenken, mit HR zusammenzuarbeiten, um Benutzer basierend auf Verhalten und Rollen in verschiedene Gruppen einzuordnen. Dann können Schulungsprogramme persönlicher und relevanter gestaltet werden.

Trotz der ins Auge springenden Schlagzeilen ist das Security-Bewusstsein der Benutzer nicht nur eine Herausforderung für die Generationen Z und Y. Insgesamt stellte EY fest, dass maximal die Hälfte der Befragten „sehr zuversichtlich“ ist, sichere Passwörter zu verwenden, Arbeitsgeräte auf dem neuesten Stand zu halten, Phishing-Versuche zu identifizieren und andere Best Practices zu verwenden. IT- und Security-Führungskräfte können nur dann Insider-Risiken besser verwalten, wenn sie sich auf Menschen, Prozesse und Technologie konzentrieren.

Bekämpfen Sie Sicherheitsbedrohungen mit Schulungen zur Stärkung des Risikobewusstseins

 

 

Phil Muncaster

Phil Muncaster ist technischer Redakteur und Herausgeber mit über 12 Jahren Erfahrung bei einigen der größten Technologiepublikationen auf dem Markt, darunter Computing, The Register, V3 und MIT Technology Review. Er verbrachte mehr als zwei Jahre in Hongkong und konnte dadurch tief in die asiatische Technologieszene eintauchen. Jetzt ist er nach London zurückgekehrt, wo die Informationssicherheit zu einem wichtigen Schwerpunkt seiner Arbeit geworden ist.

Folgen Sie Phil auf Twitter und vernetzen Sie sich auf LinkedIn mit ihm.

Verwandte Beiträge:
Gartner 2022 security trend #5: Beyond awareness
Gartner 2022 security trend #5: Beyond awareness
 Hacker nutzen MFA-Müdigkeit während der Feiertage aus
Hacker nutzen MFA-Müdigkeit während der Feiertage aus
 Neue Forschungsergebnisse: Das riskante Verhalten, das australische Organisationen Cyberangriffen aussetzt
Neue Forschungsergebnisse: Das riskante Verhalten, das australische Organisationen Cyberangriffen aussetzt
 Beseitigung der Insider-Bedrohung durch Digital Natives
Beseitigung der Insider-Bedrohung durch Digital Natives