ey-programmer-wearing-eyeglasses-hero

Vermehrte Cyberangriffe in Unternehmen: Mitarbeitende als Tor für Cyberkriminelle?

Eine aktuelle EY-Studie zeigt, wie Arbeitnehmer:innen in Österreich zum Thema Cybersicherheit stehen.


Überblick

  • Ein Drittel der Arbeitnehmer:innen in Österreich hat bereits selbst eine Cyberattacke erlebt
  • Mehrheit der Arbeitnehmer:innen hat bereits mindestens einmal verdächtige E-Mails erhalten (88 %)
  • Arbeitnehmer werden nicht regelmäßig auf neue Bedrohungen wie KI-Angriffe, Vishing geschult
  • 58,7 Prozent der Befragten verwenden dasselbe Passwort mehrfach - Sichere, neue Authentifizierungsmethoden werden oft noch nicht eingesetzt
  • 55 Prozent verwenden Dienstgeräte manchmal für private Zwecke, 24 Prozent lesen private E-Mails täglich auf ihren Arbeitsgeräten
  • 25 Prozent fühlen sich beim Thema Cybersicherheit nicht ausreichend informiert

Eine aktuelle EY-Studie zeichnet ein besorgniserregendes Bild der Cybersicherheit am Arbeitsplatz. Die Untersuchung unter mehr als 1.000 Mitarbeiter:innen offenbart, dass Cyberangriffe in der Arbeitswelt keine Seltenheit mehr sind: Ein Drittel der Befragten wurde bereits Opfer solcher Attacken, wobei Phishing mit 62 % als häufigste Methode identifiziert wurde.

Die Studie zeigt deutlich, dass Mitarbeiter:innen vielfach das schwächste Glied in der Cybersicherheitskette darstellen. 58,7 Prozent verwenden das gleiche Passwort für verschiedene Dienste, und nur 21 Prozent der Arbeitnehmer:innen nutzen beruflich die Multi-Faktor-Authentifizierung. Dies unterstreicht den dringenden Bedarf an umfassender Aufklärung und Schulung in puncto sichere Authentifizierungsmethoden.

Private Nutzung von Dienstgeräten birgt Risiken

Obwohl der überwiegende Teil der Befragten (63 %) noch immer ausschließlich im Büro arbeitet, sind 30 Prozent auch im Home-Office tätig. Fünf Prozent arbeiten vollständig remote. Das Arbeiten von zuhause oder von unterwegs stellt jedoch auch ein Risiko für Cyberangriffe dar, Unternehmen werden dadurch immer verwundbarer: Angesichts von zunehmenden und immer innovativeren Cyberangriffen müssen sie Cybersicherheit oberste Priorität einräumen, um ihre IT-Systeme, ihre Produktion, sensible Daten und in weiterer Folge das Kundenvertrauen zu schützen.

Die Verwendung von Dienstgeräten für private Zwecke ist weit verbreitet: 55 Prozent der Befragten nutzen sie auch für persönliche Angelegenheiten, und ein Viertel checkt täglich private E-Mails auf diesen Geräten. Dieses Verhalten kann die Tür für Cyberkriminelle öffnen, da private Aktivitäten oftmals weniger gesichert sind und damit die Unternehmensnetzwerke gefährden können.

EY Cybersecurity Studie 2023  

Für die Studie wurden über 1.000 Mitarbeiter:innen österreichischer Unternehmen ab 20 Mitarbeiter:innen befragt, die für ihre Arbeit fast immer einen Laptop/Desktop PC benutzen. Untersucht wurden deren Einstellungen, Gewohnheiten und Kenntnisse im Bereich Cybersecurity.

Arbeitsgeräte teils auch für persönliche Zwecke im Einsatz
 

Häufig bekommen Angestellte von ihrem Arbeitgeber ein Firmenhandy und/oder einen Dienstlaptop zur Verfügung gestellt. 62 Prozent der befragten Mitarbeitenden haben die Erlaubnis ihres Arbeitgebers, private E-Mails auf Dienstgeräten zu lesen, nur 24 Prozent ist dies nicht gestattet. So lesen sogar 24 Prozent täglich private E-Mails auf Arbeitsgeräten, 18 Prozent tun das mehrmals in der Woche, elf Prozent nur mehrmals im Monat und 22 Prozent noch seltener. Umgekehrt lesen aber auch 24 Prozent der Befragten berufliche E-Mails auf Privatgeräten, 35 Prozent tun das jedoch nie.
 

Generell nutzt mehr als die Hälfte der Mitarbeitenden die von der Arbeit zur Verfügung gestellten Endgeräte für berufliche und (zumindest manchmal) auch für private/persönliche Zwecke (55 %).

 

Cybersecurity: 40 Prozent innerhalb der letzten 12 Monate geschult

Es besteht eine erhebliche Diskrepanz zwischen dem Bewusstsein für Cybergefahren und dem tatsächlichen Wissen darüber, wie man sich schützen kann. 25 Prozent der Arbeitnehmer:innen fühlen sich nicht ausreichend über Cybersicherheitsthemen informiert, was die Notwendigkeit betrieblicher Bildungsinitiativen unterstreicht. Schulungen und Workshops für Mitarbeitende tragen auch dazu bei, die IT-Infrastruktur der Unternehmen zu schützen. Social Engineering Attacken, die ganz bewusst die Schwachstelle Mitarbeiter:in ausnutzen, nehmen zu. In Trainings zu investieren, lohnt sich daher. 40 Prozent der Befragten hatten innerhalb der letzten 12 Monate eine Schulung am Arbeitsplatz. 14 Prozent innerhalb der letzten ein bis zwei Jahre. Die meisten (69 %) lassen diese von einer unternehmensinternen Person, deren Aufgabengebiet den Schutz von Unternehmensdaten umfasst, durchführen. 25 Prozent greifen auf externe Anbieter zurück.

 

Mitarbeitende verwenden sichere Passwörter als Schutz vor Cyberattacken – Multi-Faktor-Authentifizierung selten
 

Durch das steigende Bedrohungspotenzial investieren Unternehmen zunehmend in die technische IT-Sicherheit und halten Mitarbeitende an, Vorsichtsmaßnahmen zu treffen. 71 Prozent der Befragten schützen sich, in dem sie ihr Gerät privat und beruflich auf dem neuesten Software-Stand halten. Nur fünf Prozent schieben obligatorische Software-Aktualisierungen so lange wie möglich auf. Vorsicht ist aber auch beim Öffnen verdächtiger Web-Inhalte geboten: 86 Prozent achten in der Arbeit wie im Privaten darauf. Auch Anti-Phishing Software kommt bei vielen zum Einsatz, ebenso das Verschlüsseln von Daten.
 

80 Prozent verwenden beruflich und privat auch sichere Passwörter. 47 Prozent der Befragten verwenden für jedes ihrer Konten oder Logins verschiedene Passwörter. Ein Drittel verwendet jedoch dasselbe Passwort für mehr als ein privates Konto (32 %), 15 Prozent nutzen dasselbe Passwort mehrmals für berufliche Accounts. Ein kleiner Prozentsatz (11 %) verwendet sogar dasselbe Passwort für berufliche und private Konten gleichzeitig.

Fazit

Die Studie zeigt, dass Mitarbeiter:innen oft das Einfallstor für Cyberangriffe sind. Ein großer Teil verwendet dasselbe Passwort für verschiedene Konten und vernachlässigt die Multi-Faktor-Authentifizierung. Die Trennung von beruflichen und privaten Aktivitäten auf Dienstgeräten wird nicht konsequent praktiziert, was weitere Risiken birgt. Cybersicherheit zur Priorität zu machen, um die IT-Infrastruktur, sensible Daten und das Vertrauen der Kunden zu schützen, ist für Unternehmen daher zentral.

Über diesen Artikel

Mehr zum Thema