Das Gros der Unternehmen hat den Wert einer Zwei-Faktor-Authentifizierung noch nicht erkannt

Yubico hat die Ergebnisse einer umfassenden Studie zur Anpassungsfähigkeit an die IT-Sicherheitserfordernisse in einer Zeit des weltweiten hybriden Arbeitens veröffentlicht. Untersucht wurde, wie gut die Unternehmenssicherheit im Homeoffice beachtet wird und wie es um entsprechende Schulungen und Support für die Mitarbeiter bestellt ist. Für die Studie wurden 3.006 Mitarbeiter, Firmeninhaber und C-Level-Führungskräfte in großen Unternehmen (250+ Mitarbeiter) in Großbritannien, Frankreich und Deutschland befragt, die zu irgendeinem Zeitpunkt von zu Hause aus gearbeitet und dabei firmeneigene Geräte verwendet hatten.

Die Ergebnisse der Studie bieten Einblick in die Nutzung dienstlicher Geräte für private Zwecke, Passwort-Sharing, das Merken dienstlicher Passwörter, den Einsatz von Zwei-Faktor-Authentifizierung (2FA) und andere Sicherheitsaspekte. Zugleich demonstrieren die Resultate, wie die Unternehmen auf die aktuelle Situation reagieren.

Die Daten machen deutlich, dass die Nutzer seit Beginn der Pandemie nur mangelhafte Sicherheitsvorkehrungen auf dienstlichen Geräten getroffen haben. Dabei erwiesen sich die Firmeninhaber und C-Level-Führungskräfte als die größten Missetäter. Gleichzeitig versäumen es die Unternehmen, die Best-Practices für Cybersicherheit zu implementieren, die für Umgebungen außerhalb von Bürostandorten erforderlich sind. Weniger als ein Viertel der Befragten geben an, seit Beginn der Pandemie überhaupt 2FA implementiert zu haben. Und selbst wer es getan hat, verwendet häufig weniger sichere und weniger benutzerfreundliche Formen von 2FA wie mobile Authentifizierungs-Apps und Einmal-Passcodes per SMS.

Stina Ehrensvärd, Gründerin und CEO von Yubico

„Die Studie zeigt, dass viele Unternehmen noch dabei sind, sich in diesen neuen, meist virtuellen Arbeitsumgebungen zurechtzufinden. Während diese Flexibilität neue Chancen für Unternehmen und Mitarbeiter bieten kann, sollten sie die damit einhergehenden wachsenden Cybersecurity-Risiken nicht ignorieren“, sagt Stina Ehrensvärd, CEO und Gründerin von Yubico. „Bedrohungsakteure finden immer neue und innovative Wege, um die Unternehmensabwehr zu durchbrechen, was moderne Sicherheitslösungen wie den Yubikey erfordert. Eine Studie zur Nutzerbereitstellung von Google unterstreicht die bemerkenswerten Vorteile und den ROI hardwarebasierter Authentifizierung mit dem Yubikey sowie die Standardisierungsarbeit, die wir vorangetrieben haben.“

 

Wichtigste Ergebnisse der Umfrage

  • 54 % aller Mitarbeiter verwenden die gleichen Passwörter für mehrere dienstliche Konten. 22 % der Befragten schreiben Passwörter immer noch auf, um den Überblick zu behalten – darunter 41 % der Firmeninhaber und 32 % der C-Level-Führungskräfte.
  • 42 % der Befragten räumen ein, dass sie bei der Arbeit im Homeoffice täglich dienstliche Geräte für private Zwecke nutzen. Von diesen verwenden 29 % die Geräte für Bankgeschäfte und Einkäufe, und 7 % geben zu, auf ihnen Angebote illegaler Streaming-Dienste anzusehen.
    • Zu den größten Missetätern gehören dabei die Befragten in leitenden Funktionen: 44 % der Firmeninhaber und 39 % der C-Level-Führungskräfte geben zu, dass sie seit Beginn ihrer Tätigkeit im Homeoffice täglich private Aufgaben auf ihren dienstlichen Geräten erledigen. Fast ein Viertel (23 %) der Firmeninhaber und 15 % der C-Level-Führungskräfte nutzen die Geräte sogar für illegales Streaming/Fernsehen.
    • Ein Jahr nach dem Beginn der Pandemie und der Einführung von Homeoffice-Richtlinien haben 37 % aller Mitarbeiter aus allen Branchen noch immer kein Cybersecurity-Training für die Telearbeit erhalten. Das macht die Unternehmen stark anfällig für die sich wandelnden Risiken.
    • 43 % aller Mitarbeiter meinen, die Cybersicherheit sei nicht Sache der Belegschaft, und fast zwei Drittel (60 %) sind der Ansicht, dafür seien die IT-Teams zuständig. Die vorliegenden Daten lassen jedoch darauf schließen, dass die IT-Abteilungen die Erwartungen der Mitarbeiter nicht erfüllen. Nur 37 % der Mitarbeiter haben das Gefühl, von der IT-Abteilung jetzt besser unterstützt zu werden, als es bei der Arbeit im Büro der Fall war, wo sich das IT-Sicherheitsteam in unmittelbarer Nähe befand.
    • Gleichzeitig fehlt es auch an einer unterstützenden Top-Down-Sicherheitskultur. Das führt dazu, dass die Mitarbeiter bei IT- oder Sicherheitsproblemen mehr Angst oder Stress empfinden. 51 % der Befragten versuchen oft, ihre IT-Probleme selbst zu lösen, statt sich an die IT-Abteilung zu wenden. Und 40 % würden die IT-Abteilung nicht sofort informieren, wenn sie einen verdächtigen Link angeklickt haben.
    • Obwohl die 2FA-Technologie die beste Verteidigungsmaßnahme gegen das Kapern von Konten ist, geben nur 22 % der Befragten an, dass ihr Unternehmen seit Beginn der Pandemie Zwei-Faktor-Authentifizierung eingeführt hat.
    • Selbst von den Unternehmen, die 2FA implementiert haben, geben nur etwas mehr als ein Viertel (27 %) FIDO-konforme Hardware-Sicherheitsschlüssel aus, die die fortschrittlichste Form von Phishing-Schutz bieten. Die anderen setzen auf anfälligere und veraltete Lösungen wie mobile Authentifizierungs-Apps (54 %) und Einmal-Passcodes per SMS (47 %).

Deutschland

In Deutschland hat ein Teil der Mitarbeiter im Zuge der Pandemie einen strengeren Sicherheitsansatz verfolgt. Während die tägliche private Nutzung dienstlicher Geräte insgesamt zunahm, sank sie bei denjenigen, die bereits vor der Pandemie von zu Hause aus gearbeitet hatten, von 42 % auf 34 %. Das lässt darauf schließen, dass sich diese Gruppe des erhöhten Risikos stärker bewusst ist.

Genau wie bei den Gesamtantworten zeigt sich auch bei den Antworten aus Deutschland, dass es die Firmeninhaber an Sicherheit fehlen lassen: Ein Viertel der deutschen Firmeninhaber räumt ein, berufliche Geräte für illegales Streaming zu nutzen.

Nur 35 % der Befragten geben an, dass sie von ihrem Arbeitgeber ein Cybersecurity-Training erhalten haben. Bei der Hälfte aller C-Level-Führungskräfte war dies der Fall, jedoch nur bei einem Viertel der Mitarbeiter auf der Einstiegsebene.

Auch das Patchen ist ein Flickwerk: Wichtige Updates auf Arbeitsgeräten werden stark vernachlässigt. Im Durchschnitt halten nur 11 % der Befragten ihre dienstlichen Geräte auf dem neuesten Stand, neben weiteren 27 % der Heimarbeiter.

Außerdem sind sich die Befragten aus Deutschland übermäßig sicher, dass sie einen Phishing-Versuch erkennen würden: 71 % aller Mitarbeiter erklärten, sich dessen sehr sicher oder eher sicher zu sein.

Die wichtigsten Gewohnheiten der Mitarbeiter:

  • Tägliche private Nutzung dienstlicher Geräte: vor Covid 21 %; seit Covid 30 %
  • Die wichtigsten privaten Aktivitäten auf dienstlichen Geräten: Lesen von Artikeln 48 %; soziale Medien 40 %; Verwaltung 34 %; Bankgeschäfte 31 %; Shopping 31 %; Spielen 19 %
  • Tägliche berufliche Nutzung privater Geräte: vor Covid 19 %; seit Covid 28 %
  • Erlauben Dritten die Nutzung eines Geräts: Firmeninhaber 90 %; C-Level 65 %
  • Fühlen sich bei der Arbeit im Homeoffice anfälliger für Cyberbedrohungen: 36 %
  • Fühlen sich von der IT-Abteilung nicht unterstützt: 32 %
  • Cybersecurity-Training für Telearbeit abgeschlossen: 35 % sagen ja
  • Sofortige Reaktion auf das Anklicken eines verdächtigen Links während der Arbeit: 59 % informieren schnellstmöglich die IT-Abteilung; 18 % „fragen Google“
  • Merken beruflicher Passwörter: 23 % schreiben sie auf; 21 % verwenden einen Passwort-Manager; 12 % speichern sie als Dokument auf dem Gerät; 8 % verwenden das gleiche Passwort für mehrere Konten
  • Würden nach einer Sicherheitsverletzung wieder dasselbe Login für ein berufliches Konto verwenden: 21 %
  • Würden niemals das Passwort für dienstliche E-Mails weitergeben: 69 %.
  • Sind sich sicher, Phishing-Versuche zu erkennen: 71 %
  • Fänden es weniger schlimm, wenn ihnen berufliche Anmeldedaten gestohlen würden als persönliche Daten: 63%

Methodik

Die Studie wurde in der Zeit vom 19. Februar bis 3. März 2021 von dem unabhängigen Marktforschungsunternehmen Censuswide durchgeführt. Befragt wurden 3.006 Mitarbeiter großer Unternehmen (250+ Mitarbeiter) in Großbritannien, Frankreich und Deutschland, die zu irgendeinem Zeitpunkt von zu Hause aus gearbeitet hatten und über Dienstgeräte verfügen. Censuswide befolgt die Regeln der Market Research Society und beschäftigt Mitglieder der Gesellschaft. Die Market Research Society arbeitet auf Grundlage der ESOMAR-Prinzipien.

Info: Der vollständige Bericht lässt sich nach einer E-Mail-Akkreditierung hier herunterladen: https://pages.yubico.com/cybersecurity-in-the-work-from-home-era.html

Yubico-Webinar zum Thema: „State of cybersecurity in Europe during the Covid-19 crisis“ am 29. Juni um 20.00 Uhr.

#Yubico