23. November 2023

Mitarbeiter größere Gefahr für Sicherheit als Hacker

In den vergangenen zwei Jahren waren mehr als ein Drittel (37 Prozent) aller Cybersicherheitsvorfälle in Deutschland auf das Fehlverhalten von Mitarbeitern zurückzuführen. Hacker verantworteten lediglich rund 27 Prozent der Cybersicherheitsvorfälle.

In den vergangenen zwei Jahren waren mehr als ein Drittel (37 Prozent) aller Cybersicherheitsvorfälle in Deutschland auf das Fehlverhalten von Mitarbeitern zurückzuführen. Hacker verantworteten lediglich rund 27 Prozent der Cybersicherheitsvorfälle. Häufig standen die Sicherheitsvorfälle in Zusammenhang mit Nachlässigkeit, jedoch sind 30 Prozent auf Phishing-Angriffe zurückführen. 15 Prozent der Verstöße wurden bewusst durch IT-Fachpersonal begangen, acht Prozent sogar durch IT-Sicherheitsbeauftragte. Diese Ergebnisse gehen einer aktuellen Kaspersky-Umfrage hervor [1].

Unternehmen sehen sich mit unterschiedlichen Sicherheitsrisiken konfrontiert; dabei sind Mitarbeiter häufiger für Sicherheitsvorfälle verantwortlich als Hacker. In Unternehmen in Deutschland, die in den vergangenen zwei Jahren mit Sicherheitsvorfällen konfrontiert waren, waren 37 Prozent auf menschliches Fehlverhalten und 30 Prozent auf Verstöße gegen Protokolle zurückzuführen; Hacker machten lediglich 27 Prozent aus.

Dabei zeigt die Kaspersky-Studie, dass Cybersicherheitsregeln auch von IT-Mitarbeitern – teils bewusst – missachtet werden. So entfielen 15 Prozent der Vorfälle in Unternehmen in Deutschland auf bewusste Verstöße durch das IT-Fachpersonal, bei weiteren acht Prozent waren hierfür sogar IT-Sicherheitsbeauftragte verantwortlich; elf Prozent der absichtlichen Verstöße gingen auf das Konto von Nicht-IT-Mitarbeitern.

Nahezu jeder dritte Sicherheitsvorfall (30 Prozent) war auf die Reaktion von Mitarbeitern auf eine Phishing-Attacke zurückzuführen. Häufig standen die Sicherheitsvorfälle jedoch in Zusammenhang mit Nachlässigkeit: So erfolgten 19 Prozent der Vorfälle aufgrund von nicht zum erforderlichen Zeitpunkt aktualisierter System- oder Anwendungssoftware. Weitere 17 Prozent gingen auf den Besuch unsicherer Websites zurück und elf Prozent auf die Verwendung schwacher oder nicht rechtzeitig geänderter Passwörter.

Alarmierend ist auch die häufige Nutzung nicht autorisierter Geräte beziehungsweise von Schatten-Software. In mehr als jedem fünften Unternehmen (21 Prozent) kam es zu Vorfällen, weil Mitarbeiter nicht autorisierte Systeme für den Datenaustausch nutzten. In ebenso vielen Unternehmen führte das Versenden von Daten an private E-Mail-Adressen zu Cybersicherheitsvorfällen. Bei jeweils 19 Prozent der Fälle nutzten Mitarbeiter nicht genehmigte Geräte für den Datenzugriff beziehungsweise nicht autorisierte Schatten-IT auf Arbeitsgeräten.

Weiterhin haben Unternehmen mit absichtlichen Fehlverhalten von Mitarbeitern zu kämpfen. Bei 17 Prozent der Vorfälle in Unternehmen in Deutschland handelten die Mitarbeiter in böser Absicht und zum eigenen Vorteil. Weltweit ist dieses Verhalten besonders im Finanzsektor verbreitet: In mehr als jedem dritten Unternehmen (34 Prozent) kam es zu derartigen absichtlichen und zielgerichteten Sicherheitsverletzungen von Mitarbeitern.

„Neben externen Cybersicherheitsrisiken führen auch viele interne Faktoren zu Sicherheitsvorfällen in Unternehmen“, konstatiert Alexey Vovk, Head of Information Security bei Kaspersky. „Wie unsere Analyse zeigt, können Mitarbeiter aus allen Abteilungen und in jeder Rolle absichtlich oder unabsichtlich die Cybersicherheit negativ beeinflussen. Das unterstreicht die Bedeutung von Maßnahmen zur Verhinderung von Sicherheitsverletzungen, zum Beispiel über die Implementierung eines integrierten Ansatzes zur Cybersicherheit. Weltweit geht ein Viertel aller Cybervorfälle auf bewusste Verstöße gegen existierende Cybersicherheitsrichtlinien zurück, während mehr als ein Drittel der Vorfälle auf menschliches Fehlverhalten zurückzuführen sind. Unternehmen sollten daher von Anfang an eine starke Cybersicherheitskultur aufbauen; Cybersicherheitsrichtlinien müssen definiert und durchgesetzt und das Bewusstsein für Cybersicherheit in den Köpfen der Mitarbeiter verankert werden. Dadurch werden die Mitarbeiter verantwortungsbewusster mit den Richtlinien umgehen und sich über die möglichen Folgen von Verstößen im Klaren sein.“

Kaspersky-Empfehlungen zum Schutz der Unternehmensinfrastruktur

Cybersicherheitsprodukte wie Kaspersky Endpoint Security for Business [2] implementieren, die die Verwendung unerwünschter Anwendungen, Websites und Peripheriegeräte einschränken und so das Infektionsrisiko verringern.
Lösungen wie Kaspersky Endpoint Detection and Response [3] nutzen, die über Advanced-Anomaly-Control verfügen, um ungewöhnliches Verhalten von Nutzern sowie von Angreifern, die bereits Kontrolle über das System ergriffen haben, zu erkennen und zu blockieren.
Den Datentransfer in das System hinein und aus dem System heraus überwachen und den Datenfluss kontrollieren und filtern, beispielsweise mit Kaspersky Endpoint Security Cloud [4].
Lösungen wie Kaspersky Security for Internet Gateway [5] nutzen, damit Inhalte gefiltert und jegliche unerwünschte Datenübertragung verhindert wird, unabhängig von deren Art, dem Schutzstatus der Plattform und dem Nutzerverhalten an den Endpunkten im Netzwerk.

Der vollständige Kaspersky-Bericht zum Cybersicherheitsfaktor Mensch ist verfügbar unter https://www.kaspersky.com/blog/human-factor-360-report-2023/

[1] https://www.kaspersky.com/blog/human-factor-360-report-2023/ / Die Umfrage wurde von Arlington Research im Auftrag von Kaspersky im September 2023 durchgeführt. Dabei wurden IT-Sicherheitsexperten aus 1.260 Unternehmen unterschiedlicher Größenordnungen (mit mindestens 100 Mitarbeitern) und Branchen in insgesamt 19 Ländern befragt. 90 der Befragten stammen aus Deutschland.

[2] https://www.kaspersky.de/enterprise-security/endpoint

[3] https://www.kaspersky.de/enterprise-security/endpoint-detection-response-edr

[4] https://www.kaspersky.de/small-to-medium-business-security/cloud

[5] https://www.kaspersky.de/enterprise-security/internet-gateway