Studie von Sailpoint Security-Awareness-Schulungen zeigen Wirkung

Autor Melanie Staudacher

83 Prozent der Befragten einer neuen Studie von Sailpoint sind sich sicher, eine Phishing E-Mail erkennen zu können. Und 52 Prozent haben bereits eine Schulung zur Security Awareness erhalten. Dennoch passieren vielen Mitarbeitern noch Fehler.

Firmen zum Thema

Laut Sailpoint stellen vor allem hybride Arbeitsweisen die IT-Sicherheit von Unternehmen auf die Probe. Deshalb sollten diese ihre Mitarbeiter schulen.
Laut Sailpoint stellen vor allem hybride Arbeitsweisen die IT-Sicherheit von Unternehmen auf die Probe. Deshalb sollten diese ihre Mitarbeiter schulen.
(Bild: NDABCREATIVITY - stock.adobe.com)

Wo liegen die größten Sicherheitslücken in Unternehmen? Und wie schätzen die Mitarbeiter ihr IT-Sicherheitsbewusstsein ein? Diese Fragen möchte der IAM-Anbieter (Identity and Access Management) Sailpoint in der Studie Trust Issues beantworten. Dabei beleuchtet die Untersuchung die Diskrepanz zwischen der Selbsteinschätzung der Mitarbeiter und ihrem tatsächlichen Umgang mit Geschäftsinformationen, ihren Firmenmail-Accounts und Phishing-Angriffen im Alltag.

Wie bewusst sind sich Mitarbeiter über Cyberattacken auf ihr Unternehmen?

Untersucht wurde in der Studie unter anderem das Bewusstsein von Mitarbeitern für Cyberangriffe auf die IT-Strukturen des eigenen Unternehmens. Demnach gaben 73 Prozent der Befragten an, im vergangenen Jahr betrügerische E-Mails bekommen zu haben. Zusätzlich ist sich über die Hälfte (53 %) bewusst, dass ihr Unternehmen Ziel von Phishing-Kampagnen war. Davon haben wiederum 30 Prozent einen starken Anstieg in der Menge der Attacken wahrgenommen.

Wie selbstsicher sind Mitarbeiter im Umgang mit schadhaften Mails?

Wie das Bewusstsein von Cyberangriffen auf das Unternehmen ist auch die Selbsteinschätzung im Umgang mit schadhaften E-Mails bei den Befragten gut. So gaben 83 Prozent an, sehr sicher oder zumindest sicher darin zu sein, eine Phishing Mail erkennen zu können.

Dies passt zu der Anzahl an Schulungen zur Cybersicherheit, die mit 52 Prozent über die Hälfte der Befragten von Seiten ihres Unternehmens bereits erhalten haben. Als Konsequenz dessen ist der Umgang mit Phishing-Mails bei der Mehrheit als vorbildlich einzustufen: 48 Prozent gaben an, verdächtige Mails sofort zu löschen. Weitere 24 Prozent sagten, diese sofort an ihre IT-Abteilung weiterzuleiten. Dennoch bleiben 16 Prozent, die auf Phishing-Mails antworten oder sogar Anhänge der Mail öffnen würden.

Wie leicht können Mitarbeiter getäuscht werden?

Auch wenn die Studie grundsätzlich ein positives Bild über die Awareness und den Umgang mit schadhaften Mails zeichnet, kann man anhand einiger Ergebnisse festmachen, wo trotz Schulung und Aufklärung Sicherheitslücken und Problemfelder liegen.

Gerade die Entwicklung hin zu einer hybriden Arbeitsweise stellt IT-Abteilungen in puncto Sicherheit vor große Herausforderungen. Wie sehr sich die Grenzen zwischen Freizeit und Arbeitsalltag auflösen, zeigt die Verwendung von Firmenmails zu privaten Zwecken. Über die Hälfte der Teilnehmer der Studie gab an, ihre geschäftliche E-Mailadresse außerhalb der Arbeit, beispielsweise für Social Media Logins, Newsletter Abonnements oder Online-Shopping zu verwenden.

Dieses Verhalten bekräftigen 46 Prozent der Befragten, die ihre Firmenmail öfter für private Zwecke nutzen, und 25 Prozent, bei denen sie sogar täglich privat in Gebrauch ist. Hinzu kommt der Umgang mit geschäftlichen Informationen in sozialen Medien. Fast zwei Drittel der Befragten gab an, hier Informationen über ihren Arbeitgeber, ihre Position und Kontaktdaten veröffentlicht zu haben.

Volker Sommer, Area VP DACH bei Sailpoint
Volker Sommer, Area VP DACH bei Sailpoint
(Bild: Sailpoint)

„Die Tatsache, dass deutsche Mitarbeiter ihre geschäftlichen E-Mail-Accounts weiterhin für private Zwecke nutzen, ist ein großes Problem, da es die Angriffsoberfläche für Cyberkriminelle deutlich vergrößert“, sagt Volker Sommer, Area Vice President DACH bei Sailpoint. „Damit Hybrid Work auch langfristig erfolgreich sein kann, muss hier in Sachen Awareness nachgebessert werden. Nur wenn Mitarbeiter gut vorbereitet sind auf die Gefahren, die mit der weiterhin stark angespannten Bedrohungslage einhergehen, können Unternehmen sicher sein, dass die Digitalisierung in Sachen IT-Sicherheit nicht zur Stolperfalle wird.“

(ID:47776479)