Die Sicherheit der Unternehmens-IT hängt auch davon ab, dass Mitarbeiter die Richtlinien zur WLAN- und Passwort-Sicherheit einhalten. Denn die Mitarbeiter stellen das schwächste Glied in der Kette dar und müssen tagtäglich auf Daten des Unternehmens zugreifen. Neue Erkenntnisse liefert hierzu eine globale Studie, die von Tenable in Auftrag gegeben und von Forrester Consulting durchgeführt wurde. Diese zeigt, dass die Nutzung privater Geräte, die Einhaltung von Sicherheitsrichtlinien und das Verantwortungsgefühl für die Unternehmenssicherheit von Mitarbeitern je nach Größe des Unternehmens, für das sie arbeiten, variieren.
Anzeige
Die Information ist mir bereits vor einiger Zeit zugegangen, ich wollte euch die Ergebnisse aber nicht vorenthalten und stelle diese hier mal einfach im Blog ein. Keine Ahnung, ob ihr euch wiedererkennt.
Nutzung von persönlichen Geräten für die Arbeit
Je größer das Unternehmen ist, desto geringer ist die Wahrscheinlichkeit, dass Remote-Mitarbeiter private Geräte wie Laptops, Smartphones und Tablets für die Arbeit nutzen. Weniger als die Hälfte der befragten Fernarbeitnehmer in Unternehmen mit 20 000 oder mehr Beschäftigten gaben an, dass sie persönliche Laptops oder Smartphones für die Arbeit nutzen. Dagegen gab über die Hälfte der Befragten in kleineren Unternehmen an, persönliche Geräte für die Arbeit zu nutzen.
Ein weiterer Blick auf die Art der Unternehmensdaten, auf die Mitarbeiter auf ihren privaten Geräten zugreifen, zeigt den Trend im Detail: Mitarbeiter kleinerer Unternehmen greifen auf persönlichen Geräten viel häufiger auf Kundendaten, Finanzunterlagen und Verträge mit Dritten zu als Mitarbeiter von Unternehmen mit 20.000 oder mehr Mitarbeitern.
Anzeige
Ein Trend ist jedoch unabhängig von der Unternehmensgröße allgegenwärtig: die Nutzung von Arbeitsgeräten durch Mitarbeiter für den Zugriff auf Websites zu privaten Zwecken. Unternehmensgeräte werden unter anderem für den Zugriff auf persönliche Social-Media-Konten oder Streaming-Dienste genutzt.
Einhaltung der Sicherheitsrichtlinien des Unternehmens
Die Befragten in Unternehmen mit 20.000 oder mehr Mitarbeitern gaben an, dass sie sich in Bezug auf den Zugang zu öffentlichem WLAN und sichere Passwörter weniger strikt an die Best Practices halten als die Befragten in kleineren Unternehmen. Tatsächlich bestätigten nur 16 Prozent der Befragten in Unternehmen mit 20.000 oder mehr Mitarbeitern an, dass sie sich strikt an die Richtlinien für öffentliches WLAN halten, und nur 20 Prozent befolgen strikt die Richtlinien für die Festlegung von Passwörtern, verglichen mit 21 Prozent bzw. 27 Prozent der Befragten in Unternehmen mit 1.000 bis 4.999 Mitarbeitern.
Wenn es darum geht, Geräte zu aktualisieren, bestätigten jedoch mehr Mitarbeiter in den größten Unternehmen, dies sofort zu tun, als dies in Unternehmen mit weniger als 20.000 Mitarbeitern der Fall ist. Mitarbeiter in den größten Unternehmen geben mit einer Wahrscheinlichkeit von minus zehn Prozentpunkten an, dass sie die unternehmensinternen Cybersicherheitsrichtlinien kennen, verglichen mit Mitarbeitern in der mittleren Unternehmensgröße. Allerdings geben die Beschäftigten in der größten Untergruppe auch am seltensten zu, dass sie die Cybersicherheitsrichtlinien manchmal ignorieren.
Persönliches Verantwortungsbewusstsein für die Unternehmenssicherheit
Mitarbeiter in Unternehmen der mittelgroßen Gruppe fühlen sich seltener für die Sicherheit der Geräte verantwortlich, die sie für ihre Arbeit nutzen. Was das allgemeine Verantwortungsgefühl für die Sicherheit von Unternehmensdaten betrifft, scheinen sich die Mitarbeiter weniger verantwortlich zu fühlen, je größer ihr Unternehmen ist. Dies zeigt die Tatsache, dass die Mitarbeiter in der kleinsten Größenordnung von Unternehmen eher oder voll und ganz zustimmen, dass sie eine Verantwortung für die Sicherheit der Unternehmensdaten haben, auf die sie zugreifen.
Dies ist im Vergleich zu sehen zu den Unternehmen mit 20.000 oder mehr Mitarbeitern, wo ein Unterschied von zehn Prozent gegeben ist. Nach Ansicht von Tenable verfügen größere Unternehmen in der Regel über ausgereiftere Cybersicherheitsprogramme und -kontrollen, während kleinere Firmen eher weniger Kontrollen haben und sich überproportional auf ihre Mitarbeiter verlassen.
Schlussfolgerung
Wie bei allem im Bereich der Cybersicherheit ist die Sensibilisierung der erste Schritt zur Abhilfe. Es ist wichtig, dass das Sicherheitspersonal eines Unternehmens die Größe des eigenen Unternehmens berücksichtigt, wenn es darüber nachdenkt, wie sich das Verhalten der Mitarbeiter auf die Cybersicherheitspraktiken auswirkt. Dabei gilt es der Sicherheit des Active Directory besondere Aufmerksamkeit zu schenken. Angesichts der jüngsten Angriffe auf die Software-Supply-Chain lohnt es sich für Sicherheitsexperten, diese Faktoren bei der Bewertung von Drittanbietern zu berücksichtigen, insbesondere bei denen, mit denen sie regelmäßig zusammenarbeiten.
Quelle: Eine von Forrester Consulting im Auftrag von Tenable durchgeführte Studie vom April 2021. Basis: Vollzeitbeschäftigte, die drei oder mehr Tage pro Woche von zu Hause aus für Unternehmen mit 1.000 bis 4.999 (N=261), 5.000 bis 19.999 (N=157) und 20.000 oder mehr (N=61) Mitarbeitern tätig sind.
Weitere Informationen finden Sie in der Studie Beyond Boundaries: The Future of Cybersecurity in the New World of Work (erfordert Daten).
Anzeige
Da rächt sich jetzt die "Bring your own Device" Initiative, bei der man auf Sicherheit teils gepfiffen hat.
Stimmt, war ein regelrechter Hype, der uns jetzt auf die Füße fällt.
Ja, aber speziell in den größeren Firmen sind da dann eben auch die Admins gefragt. Auch bei BYOD kann man verschiedene Richtlinien durchsetzen. Speziell bei den Geräten, die du per MDM erreichst…. z.B. sobald sich jemand auf einem privaten Gerät mit einem Firmen User anmeldet.
Zitat "Die Sicherheit der Unternehmens-IT hängt auch davon ab, dass Mitarbeiter die Richtlinien zur WLAN- und Passwort-Sicherheit einhalten. Denn die Mitarbeiter stellen das schwächste Glied in der Kette dar". Das wage ich zu hinterfragen. Die Sicherheit hängt nur sehr bedingt mit dem "Sicherheitstheater" der IT Verantwortlichen zusammen. Noch immer gibt es kurze Intervalle, nach deren Ablauf das Passwort gewechselt werden muss. Und noch immer ist es üblich dieses auf einem Post-It zu vermerken oder ein angehängte Nummer hochzuzählen. Das entspricht zwar der Unternehmensrichtlinie, reißt aber große Löcher. Es kommt auf die Mitarbeiter an. Sicher haben die wenigsten die notwendige Awareness und Kenntnis für echte und nicht nur gespielte Sicherheit. Aber vor allem in großen Unternehmen wird Sicherheit gespielt, daher das Theater. Und wenn dann doch ein Vorfall auftritt, dann waren das Kriminelle mit terroristischen Hintergrund, niemals aber die unsinnigen Richtlinien und die ranzige Software. Studien zum Thema IT Sicherheit sind eher weniger lesenswert, weil sie nicht dazu beitragen auch nur ein ganz klein wenig mehr Sicherheit zu bewirken. Sie sind eben auch ein Schmierentheater.
Naja, wenn bei einem Passwortwechel nur eine Ziffer angehängt wird, dann ist auch hier wieder die Richtlinie vom Admin schlecht eingestellt. Erstmal sollte man natürlich einstellen, dass es ein Passwort Historie gibt. Also z.B. die letzten 20 Kennwörter nicht verwendet werden dürfen. Und natürlich auch keine Teile vom letzten Passwort.
Klar, die allerletzte Sicherheit ist immer schwierig und den Post-It Zettel mit dem Kennwort kann man auch nur entschärfen, wenn man z.B. eine 2-Faktor Auhentifizierung implementiert oder ausschließlich auf Biometrische Anmeldung setzt. ISt am ende aber natürlich immer ein Mittelweg aus Bequemlichkeit und Sicherheit.
Was ich sagen will, zuerst ist immer der Security Admin gefragt, sinnvolle Policies zu definieren und diese auch regelmäßig einem Review zu unterziehen. Die Verantwortung auf den Endanwender abzuwälzen ist mit Sicherheit der falsche Weg.
"Und natürlich auch keine Teile vom letzten Passwort."
Zeig mir wie du die Regel in einer Windows Domain umsetzt.
Quasi fast jede große Umgebung basiert auf ADS oder AzureID.
"Und natürlich auch keine Teile vom letzten Passwort."
Wie kann man so etwas realisieren, wenn doch heute nur noch Passwort-Hashes gespeichert werden?
Meine Freundin hat als Passowrt immer MonatJahr genutzt. Also beispielsweise Januar2021.
Als sie mir das erzählt hat war ich erschrocken, dass das geht.
Der Vorteil: einfach zu merken und bei 90 Tagen Retentiontime max drei Versiche bis zum Passwort.