Ein interessantes Bild liefert eine Umfrage des Beratungsunternehmen EY unter Mitarbeitern Österreicher Unternehmen. Demnach hat ein Drittel der Arbeitnehmerinnen und Arbeitnehmer bereits selbst eine Cyberattacke miterlebt – in Sachen Cybersecurity fühlt man sich aber dennoch gut gerüstet.
Der Trend zur Digitalisierung der Wirtschaft ist keine neue Entwicklung. Die Corona-Pandemie hat diese Veränderungsprozesse aber noch einmal beschleunigt. Obwohl der überwiegende Teil der Befragten (63 %) noch immer ausschließlich im Büro arbeitet, sind 30 Prozent auch im Home-Office tätig. Fünf Prozent arbeiten vollständig remote. Das Arbeiten von zuhause oder von unterwegs stellt jedoch auch ein Risiko für Cyberangriffe dar, Unternehmen werden dadurch immer verwundbarer: Angesichts von zunehmenden und immer innovativeren Cyberangriffen muss man der Cybersecurity oberste Priorität einräumen, um IT-Systeme, Produktion, sensible Daten und in weiterer Folge das Kundenvertrauen zu schützen.
Gründe für die Zunahme der Cyberattacken sind aber auch die ständig wachsende Anzahl der mobilen Endgeräte im privaten und geschäftlichen Umfeld und der damit in Verbindung stehende Anstieg an sensiblen Daten und versendeten E-Mails. 55 Prozent der Arbeitnehmer verwenden die von der Arbeit zur Verfügung gestellten Endgeräte für berufliche und zumindest manchmal auch für private/persönliche Zwecke. 24 Prozent lesen private E-Mails sogar täglich auf ihren Arbeitsgeräten.
Das sind Ergebnisse einer Cybersecurity-Studie der Prüfungs- und Beratungsorganisation EY Österreich. Dafür wurden über 1.000 Mitarbeiter:innen österreichischer Unternehmen ab 20 Mitarbeiter:innen befragt, die für ihre Arbeit fast immer einen Laptop/Desktop PC benutzen. Untersucht wurden deren Einstellungen, Gewohnheiten und Kenntnisse im Bereich Cybersecurity.
„Weltweit steigen die Fälle von Cybercrime, auch Österreich ist davon betroffen. Mitarbeitende sind leider oft das Einfallstor für Cyberattacken, da sie sich meist nicht darüber im Klaren sind, welche Folgen mit dem einen oder anderen Klick verbunden sein könnten. Hacker infiltrieren private Netzwerke und nutzen die Schwachstellen mobiler Arbeitskonzepte aus. Noch dazu sind Mitarbeitende auch teilweise privat am Firmengerät unterwegs oder nutzen den privaten Laptop gelegentlich auch beruflich. Die Awareness unternehmensintern zu schärfen ist daher zentral“, so Gottfried Tonweber, Leiter Cybersecurity und Data Privacy bei EY Österreich.
Phishing: Häufigstes Risiko für Cybersecurity
Auch in Österreich hat die Zahl der Cyberangriffe inzwischen stark zugenommen. Ein gutes Drittel der Mitarbeitenden (34 %) hat dies bereits selbst miterlebt und Erfahrungen mit einem Cyberangriff gemacht, sei es im beruflichen (20 %) oder im privaten Kontext (19 %). Die häufigsten Arten von Cyberangriffen waren Phishing (62 %), Malware-Downloads (36 %), Social Engineering (26 %) und Ransomware (24 %). 60 Prozent haben noch keine Berührungspunkte mit Cyberattacken gesammelt. Verdächtige E-Mails hat jedoch beinahe jeder Mitarbeiter bereits erhalten (88 %) – 40 Prozent sogar mehr als 20 Mal. 60 Prozent meinen, Phishing-Versuche mit hoher Wahrscheinlichkeit selbst erkennen zu können.
„Über betrügerische E-Mails an vertrauliche Daten zu gelangen, oder Schadsoftware auf einem Computer zu installieren, ist mittlerweile sehr häufig. Phishing zu erkennen, wird jedoch immer schwieriger, daher müssen Mitarbeitende besonders vorsichtig sein, um Schaden zu vermeiden“, erklärt Bernhard Zacherl, Direktor und Experte für Cybersecurity bei EY Österreich.
Mitarbeiter fühlen sich gut gerüstet
Die Befragung zeigt zudem, dass sich der überwiegende Teil der Mitarbeitenden im Thema Cybersecurity gut gerüstet fühlt. Drei Viertel gaben an, sehr gut bzw. eher gut über Cybersecurity informiert zu sein. Insbesondere ist der Anteil jener, die sich sehr gut informiert fühlen, in der Gen Z mit 28 Prozent stark ausgeprägt. 47 Prozent der Befragten beziehen ihr Wissen über Cybersicherheit aus Gesprächen mit Kollegen, Freunden und Bekannten. Weniger als die Hälfte der Mitarbeitenden (44 %) erhält diesbezügliche Informationen von ihren Arbeitgeber.
„Mittlerweile gibt es so gut wie kein Unternehmen mehr, das nicht ins Visier von Hackern kommt, Cyberangriffe sind fast an der Tagesordnung. In vielen Fällen sind die Mitarbeitenden das bevorzugte Einfallstor – in vielen Fällen leider auch erfolgreich. Umso wichtiger ist es, dass die Mitarbeiter vom Unternehmen laufend in der Prävention von und dem Umgang mit Cyberangriffen geschult werden. Bei mehr als der Hälfte der Arbeitnehmer gibt es aktuell keine entsprechenden Cybersecurity-Schulungen, was Cyberkriminellen Tür und Tor öffnen kann“, so Tonweber.
23 Prozent setzen sich täglich oder mehrmals in der Woche im beruflichen Kontext mit Cybersecurity auseinander, 29 Prozent mehrmals im Monat, nur zehn Prozent nie. Privat tun dies nur 16 Prozent täglich oder mehrmals in der Woche, 25 Prozent dafür mehrmals im Monat.
Arbeitsgeräte auch für persönliche Zwecke
Häufig bekommen Angestellte von ihrem Arbeitgeber ein Firmenhandy und/oder einen Dienstlaptop zur Verfügung gestellt. 62 Prozent der befragten Mitarbeitenden haben die Erlaubnis ihres Arbeitgebers, private E-Mails auf Dienstgeräten zu lesen, nur 24 Prozent ist dies nicht gestattet. So lesen sogar 24 Prozent täglich private E-Mails auf Arbeitsgeräten, 18 Prozent tun das mehrmals in der Woche, elf Prozent nur mehrmals im Monat und 22 Prozent noch seltener. Umgekehrt lesen aber auch 24 Prozent der Befragten berufliche E-Mails auf Privatgeräten, 35 Prozent tun das jedoch nie.
Generell nutzt mehr als die Hälfte der Mitarbeitenden die von der Arbeit zur Verfügung gestellten Endgeräte für berufliche und (zumindest manchmal) auch für private/persönliche Zwecke (55 %).
Cybersecurity: Prävention ist enorm wichtig
Auch Schulungen und Workshops für Mitarbeitende tragen dazu bei, die IT-Infrastruktur der Unternehmen zu schützen. Social Engineering Attacken, die ganz bewusst die Schwachstelle Mitarbeiter ausnutzen, nehmen zu. In Trainings zu investieren, lohnt sich daher. 40 Prozent der Befragten hatten innerhalb der letzten 12 Monate eine Schulung am Arbeitsplatz. 14 Prozent innerhalb der letzten ein bis zwei Jahre. Die meisten (69 %) lassen diese von einer unternehmensinternen Person, deren Aufgabengebiet den Schutz von Unternehmensdaten umfasst, durchführen. 25 Prozent greifen auf externe Anbieter zurück.
„Viele Betriebe setzen in Sachen Cybersecurity vor allem auf Prävention, wie Schulungen oder regelmäßige Softwareupdates. Um Angriffe frühzeitig zu erkennen, ist es aber auch notwendig, die eigenen Systeme zu modernisieren und technologisch upzudaten“, so Tonweber.
Generell liegt die Verantwortung für den Schutz der Unternehmensdaten laut Einschätzung der Befragten vor allem bei der IT-Abteilung (63 %), aber auch bei jedem Mitarbeitenden des Unternehmens selbst (62 %). Mitarbeitende sehen auch Beauftragte für Informationssicherheit im Unternehmen in der Pflicht (29 %), Geschäftsführer (24 %) bzw. Betriebsleiter (19 %) oder die Personalabteilung (15 %).
Sichere Passwörter als Schutz vor Cyberattacken
Durch das steigende Bedrohungspotenzial investieren Unternehmen zunehmend in die technische IT-Sicherheit und halten Mitarbeitende an, Vorsichtsmaßnahmen zu treffen. 71 Prozent der Befragten schützen sich, in dem sie ihr Gerät privat und beruflich auf dem neuesten Software-Stand halten. Nur fünf Prozent schieben obligatorische Software-Aktualisierungen so lange wie möglich auf. Vorsicht ist aber auch beim Öffnen verdächtiger Web-Inhalte geboten: 86 Prozent achten in der Arbeit wie im Privaten darauf. Auch Anti-Phishing Software kommt bei vielen zum Einsatz, ebenso das Verschlüsseln von Daten.
80 Prozent verwenden beruflich und privat auch sichere Passwörter. 47 Prozent der Befragten verwenden für jedes ihrer Konten oder Logins verschiedene Passwörter. Ein Drittel verwendet jedoch dasselbe Passwort für mehr als ein privates Konto (32 %), 15 Prozent nutzen dasselbe Passwort mehrmals für berufliche Accounts. Ein kleiner Prozentsatz (11 %) verwendet sogar dasselbe Passwort für berufliche und private Konten gleichzeitig. Die überwiegende Mehrheit verwendet ein Passwort, um sich bei Arbeitsgeräten zu authentifizieren (82 %). Einige nutzen auch Smartphone-Applikation (20 %), Daumenabdruck (11 %) oder Gesichtserkennung (8 %). Die Multi-Faktor-Authentifizierung ist jedoch ausbaufähig: 21 Prozent nutzen sie beruflich, 26 Prozent verwenden privat eine Multi-Faktor-Authentifizierung.
Mitarbeitende finden Unternehmen für Cyberattacken gerüstet
Cybercrime-Fälle wachsen, nichtsdestotrotz sind 24 Prozent der Mitarbeitenden der Meinung, dass ihr Unternehmen voll und ganz für den Fall eines Cyberangriffs gerüstet ist. 41 Prozent stimmen eher zu. Rund ein Drittel glaubt, dass ihr Unternehmen teilweise anfällig für einen Cyberangriff ist (32 %), 35 Prozent sind eher nicht der Meinung. Bei einem Verstoß gegen die Cybersicherheit würden drei Viertel zuerst die IT-Abteilung kontaktieren (75 %), 41 Prozent kontaktieren den direkten Vorgesetzten oder fragen Kollegen um Rat. Sieben Prozent versuchen, die Situation selbst in den Griff zu bekommen.
56 Prozent nehmen Cybersecurity auf privaten Endgeräten und auf den Endgeräten, welche von der Arbeit zur Verfügung gestellt werden, zudem gleich ernst. 22 Prozent nehmen den Schutz persönlicher Geräte ernster als auf jenen, die von der auf Arbeit zur Verfügung gestellt werden.