10 neue Cybersicherheitstrends bei kleinen Unternehmen

4. August 2022  |  Dashlane

Seit rund zwei Jahren werden hybride Arbeitsplätze zunehmend als „die Zukunft der Arbeit“ bezeichnet. In diesem neuen Arbeitsmodell haben Mitarbeiter die Möglichkeit, ihre Arbeitsweise flexibler zu gestalten, während Arbeitgeber die Unternehmensresilienz stärken können. Doch diese Weiterentwicklung der modernen Arbeitswelt verändert auch die Herangehensweise an das Thema Cybersicherheit: Unternehmen können es sich nicht länger leisten, die Sicherheit stiefmütterlich zu behandeln oder diese im Rahmen ihrer Geschäftsziele nicht zu berücksichtigen.

Wir wollten verstehen, wie sich die Zukunft der Arbeit auf die Einstellung kleiner und mittlerer Unternehmen im öffentlichen und privaten Sektor zum Thema Cybersicherheit und Passwortverwaltung auswirkt. Um mehr über die aktuellen Cybersicherheitstrends zu erfahren, haben wir getrennte Umfragen unter Mitarbeitern und IT-Entscheidungsträgern durchgeführt und mit einer ausgewählten Gruppe von IT-Führungskräften zusätzliche Gespräche geführt. Im Folgenden haben wir die Ergebnisse für Sie zusammengefasst.

Die meisten Unternehmen sind sich der Gefahren bewusst. Unter allen Umfrageteilnehmern berichteten 83 % von einem erhöhten Sicherheitsbewusstsein in ihrem Unternehmen und erklärten, dass dem Thema mehr Bedeutung zugemessen werde. Mit anderen Worten, kleine und mittlere Unternehmen sind sich darüber bewusst, dass für sie im digitalen Zeitalter viel auf dem Spiel steht.

Gleichzeitig sah sich jedoch nur ein kleiner Teil der Unternehmen dazu veranlasst, entsprechende Maßnahmen zu ergreifen. In Zahlen ausgedrückt:

Im Rahmen unserer getrennten Umfragen haben wir festgestellt, dass Führungskräfte und Mitarbeiter in vielen Bereichen eine unterschiedliche Wahrnehmung haben. Zum Beispiel:

Diese Unterschiede sind nicht allzu überraschend, da die Funktion, die jemand innehat, beeinflusst, wie er oder sie die inneren Abläufe im eigenen Unternehmen wahrnimmt. Und da Führungskräfte die treibende Kraft hinter vielen Sicherheitsinitiativen sind, sehen sie die Veränderungen in Bezug auf das Sicherheitsbewusstsein und die Sicherheitsverfahren mit anderen Augen als die meisten Mitarbeiter.

Unsere Umfrage hat zahlreiche Unterschiede zwischen größeren und kleineren Unternehmen zutage gefördert. Unternehmen mit mehr als 300 Mitarbeitern berichteten mit höherer Wahrscheinlichkeit von einem erhöhten Cybersicherheitsbewusstsein, geänderten Sicherheitsverfahren sowie stärkerem Interesse für das Thema Cybersicherheit unter ihren Mitarbeitern.

Einige dieser Unterschiede sind möglicherweise darauf zurückzuführen, dass der Anteil der Mitarbeiter im Homeoffice bei den kleinsten Unternehmen vergleichsweise gering ist. Die bedeutenderen Gründe dürften indes fehlende Cybersicherheitsressourcen sein sowie die falsche Vorstellung, Cyberkriminelle würden kleinere Unternehmen verschonen. Die letzten Jahre haben jedoch gezeigt, dass die Größe eines Unternehmens für Cyberkriminelle keine Rolle spielt – Das Risiko, zum Opfer eines Cyberangriffs zu werden, ist für kleine Unternehmen mindestens genauso groß.

Die verstärkte Nutzung eines Passwort-Managers war die häufigste Veränderung, die Unternehmen infolge des Arbeitens im Homeoffice umgesetzt haben. 38 % der Mitarbeiter und Führungskräfte berichteten von dieser Veränderung. Die Zunahme von Cybersicherheitsschulungen und die Einführung neuer Sicherheitsrichtlinien folgten mit geringem Abstand (37 % bzw. 36 %).

Dies ist ein Hinweis darauf, dass Unternehmen verstehen, dass Mitarbeiter und Richtlinien für die Beibehaltung eines hohen Sicherheitsniveaus gleichermaßen wichtig sind. Die Änderung von Verhaltensweisen und die Verbesserung der Sicherheitskultur erfordern zudem eine mitarbeiterorientierte Einstellung zum Thema Sicherheit und diese Erkenntnisse zeigen, dass viele Unternehmen diesbezüglich auf einem guten Weg sind. Weitere Ergebnisse:

Während Mitarbeiter und Führungskräfte in unseren beiden Umfragen unterschiedliche Ansichten zu verschiedenen Bereichen der Cybersicherheit haben, sind sie sich in Bezug auf die Notwendigkeit einer Lösung für die Passwortverwaltung einig. Dabei fällt auf, dass Führungskräfte besonders stark von dieser Notwendigkeit überzeugt sind.

Rund die Hälfte (52 %) der Mitarbeiter sind der Ansicht, dass ihr Unternehmen einen Passwort-Manager benötigt, während es unter den Führungskräften beeindruckende 97 % sind. Daraus ist ersichtlich, dass Mitarbeiter sich Tools zur Optimierung der digitalen Sicherheit wünschen, die sie dabei unterstützen, ihr Sicherheitsverhalten zu verbessern und ihr Unternehmen zu schützen. In diesem Punkt stehen die Führungskräfte voll hinter ihren Mitarbeitern.

Zahlreiche Arbeitgeber haben diesbezüglich bereits nennenswerte Fortschritte gemacht: 41 % der in unseren Umfragen vertretenen Unternehmen verlangen die Nutzung eines Passwort-Managers von allen Beschäftigten, während 18 % einen Passwort-Manager für einen Teil ihrer Beschäftigten eingeführt haben und weitere 13 % ihn als optionales Tool betrachten. Unternehmen mit 301–400 Mitarbeitern machen den Einsatz dieses Tools zur Optimierung der digitalen Sicherheit am häufigsten verpflichtend (51 %), gefolgt von denjenigen mit 401–500 Mitarbeitern (42 %).

Im Rahmen unserer ergänzenden Gespräche mit Führungskräften haben wir außerdem erfahren, dass Mitarbeiter sich über einen Büroleiter oder IT-Administrator hinaus jemanden wünschen, der eigens für die Verwaltung des Zugriffs auf den vom Unternehmen verwendeten Passwort-Manager zuständig ist. Die Mitarbeiter gehen davon aus, eine Zeitlang selbst mit dem Tool zurechtkommen zu können, befürchten jedoch, dass einhergehend mit dem fortschreitenden Wachstum des Unternehmens zu viel schiefgehen kann. Die Wahl eines einfach zu bedienenden Passwort-Managers, der über nützliche Onboarding-Funktionen verfügt, kann dieses Ziel unterstützen, denn: Je einfacher das Tool, desto bereitwilliger wird es von den Mitarbeitern angenommen.

Insgesamt sind 52 % der Mitarbeiter der Meinung, dass ihr Unternehmen eine Lösung für die Passwortverwaltung benötigt. Die genauen Zahlen unterscheiden sich jedoch von Branche zu Branche.

Der Großteil der Umfrageteilnehmer gab an, regelmäßig mehr als fünf Passwörter für ihre beruflichen Konten zu verwenden. Am häufigsten (d. h. von 41 % der Teilnehmer) wurde dabei eine Zahl von 6–10 Passwörtern genannt. Angesichts ihrer Rolle überrascht es kaum, dass Führungskräfte die Übersicht über besonders viele Passwörter behalten müssen: 72 % von ihnen verwenden mehr als fünf Passwörter und 53 % 6–10 Passwörter. Arbeitnehmer aus dem Bildungs-, Finanz- und Gesundheitswesen gehören dabei besonders häufig der Gruppe mit 6–10 Konten an.

Unter allen Branchen berichten Mitarbeiter aus dem Bankwesen am häufigsten von „Zugriffsermüdung“ (hier müssen 34 % der Mitarbeiter 10 oder mehr Passwörter verwalten), gefolgt von Mitarbeitern aus dem Bildungswesen (25 %). Der Einzelhandel und das Finanzwesen teilen sich mit jeweils 23 % den dritten Platz. Access fatigue could lead employees to look for shortcuts, such as reusing passwords or resorting to simple, easy-to-remember ones. Für Unternehmen gehen derartige Abkürzungen mit einem hohen Risiko einher, da böswillige Akteure sich in der Regel gefährdete und schwache Passwörter zunutze machen, um Konten zu knacken.

Trotz der zahlreichen Logins, die sich im Zusammenhang mit ihrer Arbeit merken müssen, sind die meisten Mitarbeiter nicht davon überzeugt, dass die Nutzung von Passwort-Managern unter ihren Kollegen verbreitet ist. Obwohl 41 % der befragten Unternehmen die Nutzung eines Passwort-Managers erfordern, geht nur ein Fünftel der Mitarbeiter davon aus, dass die tatsächliche Einführungsquote unter ihren Kollegen 95–100 % beträgt. Nahezu ein Drittel (29 %) geht sogar lediglich von einer Einführungsquote von 50 % oder weniger aus.

Auch in diesem Bereich sind die von uns befragten Führungskräfte anderer Ansicht und es hat sich gezeigt, dass Mitarbeiter wesentlich skeptischer sind als IT-Teams. Fast 40 % der von uns befragten IT-Führungskräfte schätzen die Einführungsquote in ihrem Unternehmen auf 95–100 % und nur 20 % gehen von einer Quote von 50 % oder weniger aus.

Da Führungskräfte einen besseren Überblick über die Sicherheitstools ihres Unternehmens haben als andere Mitarbeiter, ist davon auszugehen, dass ihre Einschätzung der Wirklichkeit am nächsten kommt. Dennoch ist es offensichtlich, dass Unternehmen Schwierigkeiten haben, ihre Mitarbeiter von den Vorteilen der betreffenden Tools zu überzeugen.

Selbst wenn Unternehmen in Sicherheitstools investieren, kann es sein, dass ihre Mitarbeiter diese nicht verwenden, wenn sie den Tools nicht vertrauen oder nicht mit deren Funktionsweise vertraut sind. Unsere Umfrage kam zu dem Ergebnis, dass sowohl Mitarbeiter als auch Führungskräfte der Ansicht sind, dass fehlendes Wissen über die Funktionen das größte Hindernis in Bezug auf die Einführung eines Passwort-Managers ist.

In Anbetracht der Tatsache, dass so viele IT-Führungskräfte die Funktionen ihres Passwort-Managers nicht verstehen, die Einrichtung des Tools als schwierig empfinden oder das Gefühl haben, dass sich die Investition nicht lohnt, sind die zuvor erwähnten niedrigen Einführungsquoten schon eher verständlich. Für Führungskräfte wäre es extrem schwierig, ihr Unternehmen von den Vorteilen des Tools zu überzeugen, wenn sie selbst nicht verstehen, wie der Passwort-Manager funktioniert, und ihn nicht als benutzerfreundlich empfinden.

Um ein effektives Onboarding zu gewährleisten, müssen die Mitarbeiter nicht nur wissen, warum sie einen Passwort-Manager benötigen, sondern auch, welche Funktionen für sie relevant sind und inwiefern diese Funktionen die Sicherheit verbessern. Machen Sie sich die Ressourcen zunutze, die viele Anbieter im Rahmen ihres Onboardings zur Verfügung stellen.

Unternehmen, die die Hindernisse in Bezug auf die Einführung überwunden haben, berichten von positiven Ergebnissen. Sowohl die Mitarbeiter als auch die Führungskräfte unter unseren Umfrageteilnehmern, in deren Unternehmen die Nutzung eines Passwort-Managers verpflichtend ist, sind davon überzeugt, dass ihr Unternehmen ein geringeres Risiko in Bezug auf Hackerangriffe und Datenschutzverletzungen aufweist.

Führungskräfte sind hiervon deutlich stärker überzeugt: 90 % von ihnen geben an, für ihr Unternehmen „kein Risiko“ oder „überhaupt kein Risiko“ in Bezug auf Hackerangriffe oder Datenschutzverletzungen zu sehen, während nur 59 % der Mitarbeiter diese Ansicht teilen.

Aufgrund der Vielzahl von Datenschutzverletzungen ist der kriminelle Untergrund im Dark Web voll von gehackten Passwörtern. Mithilfe automatisierter Tools können Cyberkriminelle die Gültigkeit dieser Passwörter schnell und umfassend überprüfen. Ein Passwort-Manager reduziert das Risiko kompromittierter und schwacher Passwörter und unsere Studie zeigt, dass Unternehmen entsprechende Ergebnisse sehen.

Die Versicherungs-, Finanz- und Bankbranche zeigten sich gegenüber Sicherheitstools insgesamt am aufgeschlossensten. Eine mögliche Erklärung hierfür ist, dass strengere Vorschriften in diesen Branchen die Verbesserung der Sicherheit zu einem unerlässlichen Aspekt machen.

Während sich die Best Practices im Hinblick auf die Cybersicherheit von Branche zu Branche geringfügig unterscheiden können, gibt es zahlreiche Best Practices, die für alle Branchen grundlegend sind. Das Verständnis dieser sowie die Einführung der Grundlagen unterstützen Unternehmen aller Größen dabei, ihre Cybersicherheit zu verbessern und sich gegen Cyberangriffe zu wappnen.

Unsere jüngste Studie kommt zu dem Ergebnis, dass das Arbeiten im Homeoffice sowie das hybride Arbeiten Einzug in den Mainstream gefunden haben: Nur 10 % aller von uns befragten Mitarbeiter und Führungskräfte gaben an, dass ihr Unternehmen über keinerlei Remote-Arbeitsplätze verfügt. Angesichts der zunehmenden Verbreitung des Arbeitens im Homeoffice wird sich auch die Einführung von Online-Tools weiter beschleunigen – mit der Konsequenz, dass kleine Unternehmen dem Thema Cybersicherheit zunehmend mehr Bedeutung beimessen werden.

Der Schutz sensibler Daten in dieser neuen Arbeitswelt erfordert Verhaltensänderungen durch eine solide, mitarbeiterorientierte Sicherheitskultur.

Dashlane

Dashlane is a web and mobile app that simplifies password management for people and businesses. We empower organizations to protect company and employee data, while helping everyone easily log in to the accounts they need—anytime, anywhere.

Mehr erfahren