Trotz der vielen Schulungen und Sicherheitsmaßnahmen hat ein Drittel der Arbeitnehmer haben schon selbst eine Cyberattacke erlebt. Eine große Herausforderung ist, dass Arbeitsgeräte zum größten Teil auch für private Angelegenheiten verwendet werden.
Das Arbeiten von zu Hause oder von unterwegs stellt verstärkt ein Risiko für eine Cyberattacke dar, Unternehmen werden dadurch immer verwundbarer: Angesichts von zunehmenden und immer innovativeren Cyberattacken müssen sie Cybersicherheit oberste Priorität einräumen, um ihre IT-Systeme, ihre Produktion, sensible Daten und in weiterer Folge das Kundenvertrauen zu schützen.
Wachsende Anzahl der mobilen Endgeräte
Gründe für die Zunahme einer Cyberattacke sind aber auch die ständig wachsende Anzahl der mobilen Endgeräte im privaten und geschäftlichen Umfeld und der damit in Verbindung stehende Anstieg an sensiblen Daten und versendeten E-Mails. 55 Prozent der Arbeitnehmer verwenden die von der Arbeit zur Verfügung gestellten Endgeräte für berufliche und zumindest manchmal auch für private/persönliche Zwecke. 24 Prozent lesen private E-Mails sogar täglich auf ihren Arbeitsgeräten.
„Weltweit steigen die Fälle von Cybercrime, auch Österreich ist davon betroffen. Mitarbeitende sind leider oft das Einfallstor für eine Cyberattacke, da sie sich meist nicht darüber im Klaren sind, welche Folgen mit dem einen oder anderen Klick verbunden sein könnten. Hacker infiltrieren private Netzwerke und nutzen die Schwachstellen mobiler Arbeitskonzepte aus. Noch dazu sind Mitarbeitende auch teilweise privat am Firmengerät unterwegs oder nutzen den privaten Laptop gelegentlich auch beruflich. Die Awareness unternehmensintern zu schärfen ist daher zentral“, so Gottfried Tonweber, Leiter Cybersecurity und Data Privacy bei EY Österreich.
Pishing istdie häufigsten Cyberattacke
Auch in Österreich hat die Zahl der Cyberattacken inzwischen stark zugenommen. Ein gutes Drittel der Mitarbeitenden (34 Prozent) hat dies bereits selbst miterlebt und Erfahrungen mit einem Cyberangriff gemacht, sei es im beruflichen (20 Prozent) oder im privaten Kontext (19 Prozent). Die häufigsten Arten von Cyberangriffen waren Phishing (62 Prozent), Malware-Downloads (36 Prozent), Social Engineering (26 Prozent) und Ransomware (24 Prozent). 60 Prozent haben jedoch noch keine Berührungspunkte mit Cyberattacken gesammelt. Verdächtige E-Mails hat jedoch beinahe jeder Mitarbeiter bereits erhalten (88 Prozent) – 40 Prozent sogar mehr als 20 Mal. 60 Prozent meinen, Phishing-Versuche mit hoher Wahrscheinlichkeit selbst erkennen zu können.
„Über betrügerische E-Mails an vertrauliche Daten zu gelangen, oder Schadsoftware auf einem Computer zu installieren, ist mittlerweile sehr häufig. Phishing zu erkennen wird jedoch immer schwieriger, daher müssen Mitarbeitende besonders vorsichtig sein, um Schaden zu vermeiden”, erklärt Bernhard Zacherl, Direktor und Experte für Cybersecurity bei EY Österreich.
Oftmals keine entsprechenden Schulungen
Die Befragung zeigt zudem, dass sich der überwiegende Teil der Mitarbeitenden im Thema Cybersicherheit gut gerüstet fühlt. Drei Viertel gaben an, sehr gut bzw. eher gut über Cybersecurity informiert zu sein. Insbesondere ist der Anteil jener, die sich sehr gut informiert fühlen, in der Gen Z mit 28 Prozent stark ausgeprägt. 47 Prozent der Befragten beziehen ihr Wissen über Cybersicherheit aus Gesprächen mit Kollegen, Freunden und Bekannten. Weniger als die Hälfte der Mitarbeitenden (44 Prozent) erhält diesbezügliche Informationen von ihren Arbeitgebern.
„Mittlerweile gibt es so gut wie kein Unternehmen mehr, das nicht ins Visier von Hackern kommt, eine Cyberattacke ist fast auf der Tagesordnung. In vielen Fällen sind die Mitarbeitenden das bevorzugte Einfallstor – in vielen Fällen leider auch erfolgreich. Umso wichtiger ist es, dass die Mitarbeiter vom Unternehmen laufend in der Prävention von und dem Umgang mit Cyberangriffen geschult werden. Bei mehr als der Hälfte der Arbeitnehmer gibt es aktuell keine entsprechenden Schulungen, was Cyberkriminellen Tür und Tor öffnen kann“, so Tonweber.
23 Prozent setzen sich täglich oder mehrmals in der Woche im beruflichen Kontext mit Cybersecurity auseinander, 29 Prozent mehrmals im Monat, nur zehn Prozent nie. Privat tun dies nur 16 Prozent täglich oder mehrmals in der Woche, 25 Prozent dafür mehrmals im Monat.
Arbeitsgeräte teils auch für persönliche Zwecke im Einsatz
Häufig bekommen Angestellte von ihrem Arbeitgeber ein Firmenhandy und/oder einen Dienstlaptop zur Verfügung gestellt. 62 Prozent der befragten Mitarbeitenden haben die Erlaubnis ihres Arbeitgebers, private E-Mails auf Dienstgeräten zu lesen, nur 24 Prozent ist dies nicht gestattet. So lesen sogar 24 Prozent täglich private E-Mails auf Arbeitsgeräten, 18 Prozent tun das mehrmals in der Woche, elf Prozent nur mehrmals im Monat und 22 Prozent noch seltener. Umgekehrt lesen aber auch 24 Prozent der Befragten berufliche E-Mails auf Privatgeräten, 35 Prozent tun das jedoch nie.
Generell nutzt mehr als die Hälfte der Mitarbeitenden die von der Arbeit zur Verfügung gestellten Endgeräte für berufliche und (zumindest manchmal) auch für private/persönliche Zwecke (55 Prozent).
40 Prozent innerhalb der letzten 12 Monate geschult
Auch Schulungen und Workshops für Mitarbeitende tragen dazu bei, die IT-Infrastruktur der Unternehmen zu schützen. Social Engineering Attacken, die ganz bewusst die Schwachstelle Mitarbeiter: ausnutzen, nehmen zu. In Trainings zu investieren, lohnt sich daher. 40 Prozent der Befragten hatten innerhalb der letzten 12 Monate eine Schulung am Arbeitsplatz. 14 Prozent innerhalb der letzten ein bis zwei Jahre. Die meisten (69 Prozent) lassen diese von einer unternehmensinternen Person, deren Aufgabengebiet den Schutz von Unternehmensdaten umfasst, durchführen. 25 Prozent greifen auf externe Anbieter zurück.
„Viele Betriebe setzen beim Schutz vor Cyberattacken vor allem auf Prävention, wie Schulungen oder regelmäßige Softwareupdates. Um Angriffe frühzeitig zu erkennen, ist es aber auch notwendig, die eigenen Systeme zu modernisieren und technologisch upzudaten“, so Tonweber.
Generell liegt die Verantwortung für den Schutz der Unternehmensdaten laut Einschätzung der Befragten vor allem bei der IT-Abteilung (63 Prozent), aber auch bei jeder:m Mitarbeitenden des Unternehmens selbst (62 Prozent). Mitarbeitende sehen auch Beauftragte für Informationssicherheit im Unternehmen in der Pflicht (29 Prozent), Geschäftsführer (24 Prozent) bzw. Betriebsleiter (19 Prozent) oder die Personalabteilung (15 Prozent).
Multi-Faktor-Authentifizierung ausbaufähig
Durch das steigende Bedrohungspotenzial investieren Unternehmen zunehmend in die technische IT-Sicherheit und halten Mitarbeitende an, Vorsichtsmaßnahmen zu treffen. 71 Prozent der Befragten schützen sich, in dem sie ihr Gerät privat und beruflich auf dem neuesten Software-Stand halten. Nur fünf Prozent schieben obligatorische Software-Aktualisierungen so lange wie möglich auf. Vorsicht ist aber auch beim Öffnen verdächtiger Web-Inhalte geboten: 86 Prozent achten in der Arbeit wie im Privaten darauf. Auch Anti-Phishing Software kommt bei vielen zum Einsatz, ebenso das Verschlüsseln von Daten.
80 Prozent verwenden beruflich und privat auch sichere Passwörter. 47 Prozent der Befragten verwenden für jedes ihrer Konten oder Logins verschiedene Passwörter. Ein Drittel verwendet jedoch dasselbe Passwort für mehr als ein privates Konto (32 Prozent), 15 Prozent nutzen dasselbe Passwort mehrmals für berufliche Accounts. Ein kleiner Prozentsatz (11 Prozent) verwendet sogar dasselbe Passwort für berufliche und private Konten gleichzeitig. Die überwiegende Mehrheit verwendet ein Passwort, um sich bei Arbeitsgeräten zu authentifizieren (82 Prozent). Einige nutzen auch Smartphone-Applikation (20 Prozent), Daumenabdruck (11 Prozent) oder Gesichtserkennung (8 Prozent). Die Multi-Faktor-Authentifizierung ist jedoch ausbaufähig: 21 Prozent nutzen sie beruflich, 26 Prozent verwenden privat eine Multi-Faktor-Authentifizierung.
Drei Viertel würden bei einem Verstoß gegen die Cybersicherheit IT-Abteilung kontaktieren
Cybercrime-Fälle wachsen, nichtsdestotrotz sind 24 Prozent der Mitarbeitenden der Meinung, dass ihr Unternehmen voll und ganz für den Fall eines Cyberangriffs gerüstet ist. 41 Prozent stimmen eher zu. Rund ein Drittel glaubt, dass ihr Unternehmen teilweise anfällig für einen Cyberangriff ist (32 Prozent), 35 Prozent sind eher nicht der Meinung. Bei einem Verstoß gegen die Cybersicherheit würden drei Viertel zuerst die IT-Abteilung kontaktieren (75 Prozent), 41 Prozent kontaktieren den direkten Vorgesetzten oder fragen Kolleg:innen um Rat. Sieben Prozent versuchen, die Situation selbst in den Griff zu bekommen.
56 Prozent nehmen Cybersecurity auf privaten Endgeräten und auf den Endgeräten, welche von der Arbeit zur Verfügung gestellt werden, zudem gleich ernst. 22 Prozent nehmen den Schutz persönlicher Geräte ernster als auf jenen, die von der Arbeit zur Verfügung gestellt werden.
(pi)