Yubico veröffentlicht die Ergebnisse einer umfassenden Studie zur Anpassungsfähigkeit an die IT-Sicherheitserfordernisse in einer Zeit des weltweiten hybriden Arbeitens. Untersucht wurde, wie gut die Unternehmenssicherheit im Homeoffice beachtet wird und wie es um entsprechende Schulungen und Support für die Mitarbeiter bestellt ist.
Die Ergebnisse der Studie bieten Einblick in die Nutzung dienstlicher Geräte für private Zwecke, Passwort-Sharing, das Merken dienstlicher Passwörter, den Einsatz von Zwei-Faktor-Authentifizierung (2FA) und andere Sicherheitsaspekte. Zugleich demonstrieren die Resultate, wie die Unternehmen auf die aktuelle Situation reagieren.
Die Daten machen deutlich, dass die Nutzer seit Beginn der Pandemie nur mangelhafte Sicherheitsvorkehrungen auf dienstlichen Geräten getroffen haben. Dabei erwiesen sich die Firmeninhaber und C-Level-Führungskräfte als die größten Missetäter. Gleichzeitig versäumen es die Unternehmen, die Best Practices für Cybersicherheit zu implementieren, die für Umgebungen außerhalb von Bürostandorten erforderlich sind.
Weniger als ein Viertel der Befragten geben an, seit Beginn der Pandemie überhaupt 2FA implementiert zu haben. Und selbst wer es getan hat, verwendet häufig weniger sichere und weniger benutzerfreundliche Formen von 2FA wie mobile Authentifizierungs-Apps und Einmal-Passcodes per SMS.
Hier die wichtigsten Ergebnisse der Umfrage:
- 54 % aller Mitarbeiter verwenden die gleichen Passwörter für mehrere dienstliche Konten. 22 % der Befragten schreiben Passwörter immer noch auf, um den Überblick zu behalten – darunter 41 % der Firmeninhaber und 32 % der C-Level-Führungskräfte.
- 42 % der Befragten räumen ein, dass sie bei der Arbeit im Homeoffice täglich dienstliche Geräte für private Zwecke nutzen. Von diesen verwenden 29 % die Geräte für Bankgeschäfte und Einkäufe, und 7 % geben zu, auf ihnen Angebote illegaler Streaming-Dienste anzusehen.
- Zu den größten Missetätern gehören dabei die Befragten in leitenden Funktionen: 44 % der Firmeninhaber und 39 % der C-Level-Führungskräfte geben zu, dass sie seit Beginn ihrer Tätigkeit im Homeoffice täglich private Aufgaben auf ihren dienstlichen Geräten erledigen. Fast ein Viertel (23 %) der Firmeninhaber und 15 % der C-Level-Führungskräfte nutzen die Geräte sogar für illegales Streaming/Fernsehen.
- Ein Jahr nach dem Beginn der Pandemie und der Einführung von Homeoffice-Richtlinien haben 37 % aller Mitarbeiter aus allen Branchen noch immer kein Cybersecurity-Training für die Telearbeit erhalten. Das macht die Unternehmen stark anfällig für die sich wandelnden Risiken.
- 43 % aller Mitarbeiter meinen, die Cybersicherheit sei nicht Sache der Belegschaft, und fast zwei Drittel (60 %) sind der Ansicht, dafür seien die IT-Teams zuständig. Die vorliegenden Daten lassen jedoch darauf schließen, dass die IT-Abteilungen die Erwartungen der Mitarbeiter nicht erfüllen. Nur 37 % der Mitarbeiter haben das Gefühl, von der IT-Abteilung jetzt besser unterstützt zu werden, als es bei der Arbeit im Büro der Fall war, wo sich das IT-Sicherheitsteam in unmittelbarer Nähe befand.
- Gleichzeitig fehlt es auch an einer unterstützenden Top-Down-Sicherheitskultur. Das führt dazu, dass die Mitarbeiter bei IT- oder Sicherheitsproblemen mehr Angst oder Stress empfinden. 51 % der Befragten versuchen oft, ihre IT-Probleme selbst zu lösen, statt sich an die IT-Abteilung zu wenden. Und 40 % würden die IT-Abteilung nicht sofort informieren, wenn sie einen verdächtigen Link angeklickt haben.
- Obwohl die 2FA-Technologie die beste Verteidigungsmaßnahme gegen das Kapern von Konten ist, geben nur 22 % der Befragten an, dass ihr Unternehmen seit Beginn der Pandemie Zwei-Faktor-Authentifizierung eingeführt hat.
- Selbst von den Unternehmen, die 2FA implementiert haben, geben nur etwas mehr als ein Viertel (27 %) FIDO-konforme Hardware-Sicherheitsschlüssel aus, die die fortschrittlichste Form von Phishing-Schutz bieten. Die anderen setzen auf anfälligere und veraltete Lösungen wie mobile Authentifizierungs-Apps (54 %) und Einmal-Passcodes per SMS (47 %).
Deutschland
In Deutschland hat ein Teil der Mitarbeiter im Zuge der Pandemie einen strengeren Sicherheitsansatz verfolgt. Während die tägliche private Nutzung dienstlicher Geräte insgesamt zunahm, sank sie bei denjenigen, die bereits vor der Pandemie von zu Hause aus gearbeitet hatten, von 42 % auf 34 %. Das lässt darauf schließen, dass sich diese Gruppe des erhöhten Risikos stärker bewusst ist.
- Genau wie bei den Gesamtantworten zeigt sich auch bei den Antworten aus Deutschland, dass es die Firmeninhaber an Sicherheit fehlen lassen: Ein Viertel der deutschen Firmeninhaber räumt ein, berufliche Geräte für illegales Streaming zu nutzen.
- Nur 35 % der Befragten geben an, dass sie von ihrem Arbeitgeber ein Cybersecurity-Training erhalten haben. Bei der Hälfte aller C-Level-Führungskräfte war dies der Fall, jedoch nur bei einem Viertel der Mitarbeiter auf der Einstiegsebene.
- Auch das Patchen ist ein Flickwerk: Wichtige Updates auf Arbeitsgeräten werden stark vernachlässigt. Im Durchschnitt halten nur 11 % der Befragten ihre dienstlichen Geräte auf dem neuesten Stand, neben weiteren 27 % der Heimarbeiter.
- Außerdem sind sich die Befragten aus Deutschland übermäßig sicher, dass sie einen Phishing-Versuch erkennen würden: 71 % aller Mitarbeiter erklärten, sich dessen sehr sicher oder eher sicher zu sein.
„Die Studie zeigt, dass viele Unternehmen noch dabei sind, sich in diesen neuen, meist virtuellen Arbeitsumgebungen zurechtzufinden. Während diese Flexibilität neue Chancen für Unternehmen und Mitarbeiter bieten kann, sollten sie die damit einhergehenden wachsenden Cybersecurity-Risiken nicht ignorieren“, sagt Stina Ehrensvärd, CEO und Gründerin von Yubico.
Methodik
Die Studie wurde in der Zeit vom 19. Februar bis 3. März 2021 von dem unabhängigen Marktforschungsunternehmen Censuswide durchgeführt. Befragt wurden 3.006 Mitarbeiter großer Unternehmen (250+ Mitarbeiter) in Großbritannien, Frankreich und Deutschland, die zu irgendeinem Zeitpunkt von zu Hause aus gearbeitet hatten und über Dienstgeräte verfügen. Censuswide befolgt die Regeln der Market Research Society und beschäftigt Mitglieder der Gesellschaft. Die Market Research Society arbeitet auf Grundlage der ESOMAR-Prinzipien.