Eine kürzlich von Censuswide im Auftrag von KnowBe4, dem Anbieter der weltweit größten Plattform für Sicherheitsschulungen und Phishing-Simulationen, durchgeführte Umfrage bietet einen detaillierten Einblick in die Gemeinsamkeiten und Unterschiede der Sicherheitseinstellungen, Verhaltensweisen und Richtlinien von mehr als 6.000 Beschäftigten in sechs Ländern: Deutschland, die Vereinigten Staaten, das Vereinigte Königreich, die Niederlande, Norwegen und Südafrika.
Neben einer Untersuchung über das Vertrauen der Nutzer in die Erkennung von Online-Betrug zeigt die Untersuchung von KnowBe4 auch eine Verbesserung des Verhältnisses zwischen Mitarbeitern und IT-Sicherheitsteams. Tatsächlich gibt die große Mehrheit (87%) der Befragten weltweit an, dass sie sich sehr oder relativ wohl dabei fühlen, ihrem Sicherheitsteam ein Sicherheitsproblem, eine Verletzung oder einen Fehler zu melden – allerdings sehen die Zahlen je nach Region sehr unterschiedlich aus. Im Durchschnitt aller untersuchten Länder gaben fast 53% aller Befragten an, dass sie sich sehr wohl dabei fühlen würden, einen Sicherheitsvorfall an ihr IT-Team zu melden. In Südafrika lag diese Zahl sogar bei fast 80%. In Deutschland hingegen liegt der Anteil nur bei knapp 35%. Dies zeigt, dass einige Regionen wie Südafrika weit voraus sind, wenn es darum geht, ihren Mitarbeitern das Melden von Sicherheitsvorfällen möglichst leicht zu machen, während deutsche Unternehmen offenbar noch einen weiten Weg vor sich haben.
Die drei wichtigsten Gründe dafür, dass sich Nutzer nicht wohl dabei fühlen, einen Computersicherheitsvorfall zu melden, waren laut Angaben der Umfrageteilnehmer:
- „Das Verfahren zur Meldung eines Vorfalls ist zu schwierig“.
- „Ich habe Angst, Sicherheitsprobleme an das IT-Sicherheitsteam zu melden“.
- „Ich weiß nicht, wie ich Probleme an das Sicherheitsteam melden soll“.
„Die Schaffung einer sicheren Umgebung, die es den Benutzern ermöglicht, (vermutete) Sicherheitsvorfälle zu melden, ist für die Sicherheitslage eines Unternehmens von größter Bedeutung“, sagt Jelle Wieringa, Security Awareness Advocate bei KnowBe4. „Mitarbeiter sind wertvolle Sicherheitsressourcen eines Unternehmens, wenn es darum geht, Bedrohungen zu finden. Bei der Überwachung von Netzwerken und Daten darf man sich nicht nur auf Technologien verlassen. Man muss das eigene Unternehmen stärken, indem die eigenen Mitarbeiter in die Lage versetzt werden, einen wichtigen Teil zur Sicherheit beizutragen.“
Auf die Frage „Wie sicher fühlen Sie sich bei der Erkennung verschiedener Arten von Online-Betrug?“ gaben fast 83% aller Befragten an, sich insgesamt sehr sicher oder ziemlich sicher bei der Erkennung von E-Mail-Phishing zu fühlen. Nur 16% aller Befragten fühlten sich beim Erkennen von E-Mail-Phishing nicht sehr zuversichtlich oder überhaupt nicht zuversichtlich.
Ein weiteres Thema der Umfrage ist die Verwendung von Multi-Faktor-Authentifizierung (MFA) in Unternehmen. Etwas mehr als 23% der Befragten gaben an, dass sie eine MFA verwenden, aber Deutschland (14%) und Südafrika (fast 13%) waren die Länder mit der geringsten Nutzung. Alle Länder müssen die Akzeptanz von MFA erhöhen, um Cyberkriminalität besser bekämpfen zu können, aber offenbar sind einige auf ihrem Weg zur Sicherheit weiter als andere.
„Eine der wichtigsten Erkenntnisse aus dieser Studie ist, dass die Unternehmenskultur ein entscheidender Faktor beim Aufbau einer menschlichen Verteidigungsschicht ist“, sagt Stu Sjouwerman, CEO von KnowBe4. „Ein Teil der Entwicklung einer starken Sicherheitskultur besteht darin, zu verstehen, dass Benutzer in verschiedenen Ländern oder Regionen unterschiedliche Einstellungen und Verhaltensweisen in Bezug auf Sicherheit haben werden. Aus diesem Grund ist es wichtig, dass Security-Awareness-Trainings für jede Region lokalisiert und nicht einfach übersetzt werden. Ein erfolgreiches Programm zur Förderung des Sicherheitsbewusstseins ist ein intelligentes Programm, das auf Benutzer mit unterschiedlichem Hintergrund, unterschiedlicher Kultur und Sprache zugeschnitten ist. Diese Forschungsarbeit ist nur eine von vielen Initiativen, die KnowBe4 für die Zukunft plant, um die Bedeutung und die Methodik für die Verbesserung des Sicherheitsverhaltens und den Aufbau einer starken Sicherheitskultur in Ihrem Unternehmen langfristig zu unterstreichen.“
Weitere wichtige Erkenntnisse:
- 13% der Befragten melden ihrem IT-Sicherheitsteam durchschnittlich bis zu einmal pro Woche einen Sicherheitsvorfall, und ein Fünftel (20%) meldet einen Vorfall im Durchschnitt bis zu einmal pro Monat.
- In 18% der Fälle, in denen ein Phishing-Link angeklickt wurde, ergriffen die Sicherheitsteams keine weiteren Maßnahmen, während 14% für ihre Fehler verwarnt wurden. Außerdem wurden 11% disziplinarisch belangt oder mussten sich mit der Personalabteilung auseinandersetzen.
- 37% derjenigen, die sich nicht wohl dabei fühlten, ihrem Sicherheitsteam ein Problem, einen Verstoß oder einen Fehler zu melden, gaben an, dass das Verfahren zur Meldung eines Vorfalls zu schwierig sei. Ein Drittel (33%) gab an, Angst zu haben, ein Problem zu melden, und fast jeder vierte Befragte wusste nicht, wie er einen Vorfall melden sollte.
- Bemerkenswerterweise haben 23% der Security Awareness Trainings die Bedrohung durch Deepfakes einbezogen.
Der vollständigen Bericht findet sich unter folgendem Link: https://www.knowbe4.com/hubfs/Security-Habits-2021.pdf
#KnowBe4