IT-Security

Die größte Sicherheitslücke sind desinteressierte Mitarbeiter

Immer mehr Cyber-Attacken und mangelnde Umsetzung von Sicherheitsrichtlinien durch Mitarbeiter gefährden Unternehmen. Einige umgehen die Maßnahmen bewusst.

IT-Abteilungen stehen angesichts der immer ausgefeilteren Cyber-Attacken vor großen Herausforderungen. Der zweite Teil des Application Intelligence Report (AIR), eine Studie von A10 Networks, zeigt ein weiteres drängendes Problem: Die mangelnde Bereitschaft der Mitarbeiter, Vorsichtsmaßnahmen umzusetzen, beeinträchtigt die Abwehr von Bedrohungen maßgeblich.

Der AIR-Report untersucht den Umgang mit Apps und die steigenden Sicherheitsauswirkungen für das private Umfeld, aber auch für Unternehmen und die IT-Abteilungen. Der erste Teil der Studie, der im Sommer 2017 vorgestellt wurde, hatte ergeben, dass die Grenzen zwischen beruflichen und privaten Leben durch die Nutzung von Apps zu Hause, im Büro und unterwegs immer weiter verschwimmen.

Der zweite Teil der Studie konzentriert sich auf die Herausforderungen, mit denen sich IT-Abteilungen konfrontiert sehen. Dazu zählt einerseits die enorme Zunahme an komplexen Cyber-Attacken, andererseits die Unachtsamkeit vieler Mitarbeiter. Oftmals aus Unwissenheit oder Bequemlichkeit setzen diese ihr Unternehmen unnötigen Gefahren aus.
Fast die Hälfte der befragten IT-Führungskräfte (48 Prozent) berichtet, dass die Mitarbeiter sich nicht für Sicherheitsvorgaben interessieren oder sich bereitwillig darüber hinwegsetzen. 59 Prozent der befragten IT-Verantwortlichen sind daher wenig optimistisch, dass sie Gefahren stoppen und ihr Unternehmen schützen können.

Zahl der DDoS-Attacken nimmt zu

Im Rahmen der Studie wurden die IT-Abteilungen auch in Hinblick auf den Schutz der Unternehmensnetzwerke sowie der Anwendungen befragt. Bei knapp der Hälfte der Befragten (47 Prozent) gab es bereits mindestens einmal ein Datenleck. Einen beunruhigenden Trend gibt es bei DDoS-Attacken: Fast die Hälfte der Unternehmen (47 Prozent) wurde in den letzten 12 Monaten Opfer einer DDoS-Attacke – beziehungsweise sie vermuten, dass ein solcher Vorfall stattgefunden hat, sind sich darüber aber nicht im Klaren. Daher gehen auch 70 Prozent der Befragten davon aus, dass Cyber-Attacken 2018 zunehmen werden. 44 Prozent glauben, dass vor allem DDoS-Attacken zunehmen werden.

Diese Aussagen passen zu den Ergebnissen des Security Reports von A10 Networks: Unternehmen sind durchschnittlich 15 DDoS-Attacken pro Jahr ausgesetzt. Diese sorgen für Ausfallzeiten von mindestens 17 Stunden, in denen Services gar nicht oder nur sehr eingeschränkt erreichbar sind. Hinzu kommt, dass die hohen Netzwerkgeschwindigkeiten das Erkennen und Abwehren von Attacken erschweren.

Knapp über ein Drittel der Befragten (37 Prozent) gibt an, dass ihnen der Begriff DDoS-Attacke nicht bekannt ist. 11 Prozent wissen nicht, ob sie bereits Opfer einer solchen Attacke geworden sind. Beides ist sehr alarmierend, da in der Regel in diesen Betrieben auch nicht bekannt ist, wie man sich vor Angriffen schützen kann.

Apps im Beruf: Wer ist für die Daten verantwortlich?

Über die Hälfte der Befragten (55 Prozent) geht davon aus, dass Business-Apps an Bedeutung gewinnen werden. Was jedoch die Nutzung von privaten Apps im Beruf angeht, weisen Angestellte die Verantwortung für Sicherheitsfragen meist zurück: Fast zwei Drittel der Befragten (59 Prozent) fühlen sich für den Schutz der privaten Apps nicht zuständig. Auf die Frage hin, wer die Verantwortung tragen sollte, nannten 20 Prozent die App-Entwickler, 17 Prozent Service Provider und 16 Prozent die IT-Abteilung.

Wenn man jedoch die IT-Abteilung direkt befragt, wer intern für den Schutz persönlicher Daten verantwortlich ist, nennen ein Drittel (33 Prozent) das Security-Team, gefolgt von dem CIO oder Abteilungsleiter (17 Prozent) sowie der gesamten IT-Abteilung (15 Prozent).

Verhalten der Mitarbeiter ist oft besorgniserregend

Fast ein Drittel der befragten Mitarbeiter nutzt wissentlich gesperrte Apps (30 Prozent). 10 Prozent geben an, dass sie nicht wissen, ob die verwendeten Apps zugelassen sind oder nicht. Von denjenigen, die gesperrte Apps verwenden, gibt über die Hälfte der Befragten (51 Prozent) an, dass „jeder das macht“, während über ein Drittel (36 Prozent) der Meinung ist, die IT-Abteilung hätte kein Recht darüber zu bestimmen, welche Apps sie nutzen dürfen.

Der AIR-Report zeigt, dass das Risiko für Angriffe durch das Verhalten der Mitarbeiter und deren App-Nutzungsverhalten steigt. Angestellte schwächen dabei unbewusst die Sicherheit, beispielsweise indem sie nicht autorisierte Apps nutzen. Hinzu kommt das fehlende Verständnis für die Sicherheitsrichtlinien und die fehlende Bereitschaft diese umzusetzen. 88 Prozent der IT-Verantwortlichen sind daher der Meinung, dass die Mitarbeiter in Sicherheitsfragen besser geschult werden müssen.

Grund zur Hoffnung: Steigende Budgets für Sicherheit

Mit dem Anstieg der Cyber-Attacken geht laut Ergebnissen der Studie allerdings bei knapp zwei Drittel der Befragten (63 Prozent) ein Anstieg des IT- sowie Sicherheitsbudgets einher. Ein Drittel der Befragten (36 Prozent) berichten von einer Aufstockung der Sicherheitsteams, gefolgt von den Applikationsteams, die bei 17 Prozent der Befragten verstärkt werden. Mit den steigenden Budgets müsse aber auch die Bereitschaft der Mitarbeiter steigen, Sicherheitsrichtlinien einzuhalten.

Autor: Micheal Eckstein

(c)2018 Vogel Business Media

Bitte beachten Sie

Die Beiträge in der Rubrik "Trends und Innovationen" sind Inhalte unseres Medienpartners Vogel Business Media. Sie spiegeln nicht unbedingt die Meinung von DATEV wider.