Das Verhalten und Wissen von Mitarbeitern hinsichtlich Cyberrisiken ist ein nicht zu unterschätzender Faktor in der deutschen Finanzbranche, wie eine aktuelle Kaspersky-Studie zeigt [1]. Als größte Risiken sehen die Befragten in Deutschland die Nichtberücksichtigung von Unternehmensrichtlinien, den Einsatz von Schatten-IT sowie Remote-Arbeit wie zum Beispiel im Home-Office. Tatsächlich hatten laut der Umfrage 39 Prozent der befragten Organisationen seit der Pandemie einen Sicherheitsvorfall zu beklagen, der auf Mitarbeiter zurückzuführen war.
Egal ob ein falscher Klick auf einen infizierten Anhang oder Link oder ein unbedachter Download einer nicht genehmigten Software – Cyberkriminelle zielen oft auf Mitarbeiter, um sich einen Weg ins Unternehmensnetzwerk zu erschließen. Die aktuelle Kaspersky-Studie „Cybersicherheit: Finanzbranche im Fokus“ zeigt, wie sehr dieser Branchensektor in Deutschland Nachholbedarf hat. Vielen Mitarbeitern fehlt weiterhin teilweise grundlegendes Wissen in Bezug auf Cybersicherheit. Dementsprechend wird die Belegschaft von den in der Kaspersky-Studie Befragten als ein nicht zu unterschätzendes Cybersicherheitsrisiko angegeben.
Besondere Herausforderungen sehen die Befragten bezüglich der IT-Sicherheitsexpertise und beim Datenschutz. Das Ignorieren von Unternehmensrichtlinien (19 Prozent), Remote Arbeit (24 Prozent) und Schatten-IT (11 Prozent) werden hierbei als schwerwiegendste Faktoren genannt. Besonders die Schatten-IT bereitet offensichtlich Sorge, da viele Angestellte weiterhin im Home-Office arbeiten und dort unvorsichtiger mit internen Sicherheitsrichtlinien umgehen oder diese sogar teilweise missachten. Die unbefugte Nutzung von Fremdgeräten stellt darüber hinaus ein weiteres Gefahrenpotential dar. In freien Statements der Studienteilnehmern über alle Unternehmensgrößen hinweg ist die Rede von „Mitarbeitern, die gezielt Maßnahmen untergraben“, „Unachtsamkeit von Mitarbeitern“ oder auch „Schäden, die bewusst durch Mitarbeiter verursacht werden“.
Die Kaspersky-Studie belegt, dass es vielen Mitarbeitern im Finanzsektor an einem Bewusstsein für Cybersicherheit mangelt und folglich ein erhebliches Schulungspotenzial besteht. Zwar werden in mehr als der Hälfte aller befragten Organisationen (51 Prozent) alle IT-Mitarbeiter regelmäßig zu Sicherheitsthemen und -verfahren geschult, bei Assistenten der Geschäftsleitung, Beschäftigten im Marketing, Analysten und Händlern oder in der Buchhaltung besteht jedoch noch Nachholbedarf: Zwischen 25 und 32 Prozent der Befragten geben an, dass in allen anderen Abteilungen außerhalb der IT weniger als die Hälfte der Mitarbeiter regelmäßig geschult wird.
„Unsere Studie zeigt, dass das Handeln der eigenen Mitarbeiter das größte Sicherheitsrisiko für Finanzorganisationen darstellen kann“, betont Christian Milde, Geschäftsführer Central Europe bei Kaspersky. „Es gilt deshalb, die eigene Belegschaft mit ins Cybersicherheitsboot zu holen. Aufklärung und Schulungen sind neben dem Einsatz starker technologischer Lösungen das A und O. Ein zeitgemäßes Schulungsprogramm kann von Abteilung zu Abteilung individuell konzipiert und einfach sowie nachhaltig in den Arbeitsalltag integriert werden. Mitarbeiter müssen die möglichen Angriffsvektoren der Cyberkriminellen, wie auch die Konsequenzen ihres eigenen Handelns verstehen. Denn ein falscher Klick auf einen schädlichen Anhang oder Link öffnet Cyberkriminellen Tür und Tor ins Unternehmensnetzwerk. Deshalb müssen Cybersicherheits-Schulungen das ganze Personal adressieren – vom Empfang bis zur Führungsriege.“
Weitere Informationen zur Kaspersky-Studie „Cybersicherheit: Finanzbranche im Fokus“ unter https://kas.pr/h2ia
[1] https://kas.pr/h2ia / Die Umfrage wurde von Arlington Research im Auftrag von Kaspersky im Januar 2022 durchgeführt. Dabei wurden 150 IT-Entscheidungsträger aus der Finanzbranche in Deutschland befragt.
[2] https://www.kaspersky.de/enterprise-security/security-awareness
[3] https://www.kaspersky.de/enterprise-security/finance
[4] https://www.kaspersky.de/enterprise-security/embedded-systems
[5] https://www.kaspersky.de/enterprise-security/cloud-security
[6] https://www.kaspersky.de/enterprise-security/threat-intelligence
[7] https://media.kaspersky.com/de/business-security/enterprise/KL_SA_KIPS_overview_A4_DE.pdf