Neue Daten zeigen, dass traditionelle Ansätze hinsichtlich der Sicherheit von Anmeldedaten bei der modernen Belegschaft versagen

Traditionelle Sicherheitsstrategien, die auf dem Schutz eines gut definierten Netzwerkperimeters und der Durchführung von Sicherheitsschulungen als zentrales Verteidigungsmittel basieren, scheitern am modernen Arbeitsplatz.

Um aus erster Hand zu erfahren, warum dies so ist, haben wir 1.000 in den USA beschäftigte Erwachsene und 500 IT-Führungskräfte aus den USA befragt. Sehen wir einige der Erkenntnisse zu traditionellen Ansätzen zur Sicherheit von Anmeldedaten näher an.

Remote- und hybride Arbeit gestalten die Cybersicherheitslandschaft weiter um und bringen neue Risiken mit sich, da bei Mitarbeitenden die Grenzen zwischen privaten und geschäftlichen Geräten verschwimmen. Die erweiterte Angriffsfläche – aufgrund schwacher Passwortverfahren und ungesicherter Heimnetzwerke – ist zu einem perfekten Einfallstor für Cyberkriminelle geworden. 

Oft verbinden sich Mitarbeitende über ungesicherte WLAN-Netzwerke mit Unternehmenssystemen. Vielen dieser Netzwerke fehlt es an angemessenen Sicherheitsmaßnahmen wie aktualisierte Router, VPNs oder starke Passwörter. Ohne einen klar definierten zu verteidigenden Perimeter stellt der eigene Schutz Unternehmen jetzt vor einer deutlich komplexeren Herausforderung.

Die von einigen Unternehmen zusätzlich implementierten Sicherheitsmaßnahmen beeinträchtigen zudem die Produktivität.

Sicherheitsbewusstsein und Schulungsprogramme sind gängige Maßnahmen zur Minderung menschlicher Risiken, einschließlich Phishing. Großunternehmen investieren viel Zeit und Geld in sie, – aber Mitarbeitende erkennen nicht den gleichen Nutzen in diesen Schulungen.  

Ein Unternehmen mit 1.000 Mitarbeitenden müsste jährlich 12.000 bis 24.000 USD für Online-Basisschulungen ausgeben. Größeren Unternehmen (über 10.000 Mitarbeitende) könnten Kosten in Höhe von Hunderttausenden oder sogar Millionen pro Jahr entstehen, insbesondere wenn sie umfassende Schulungen, Phishing-Simulationen und konformitätsorientierte Schulungen organisieren. 

Unsere Umfrage hat jedoch ergeben, dass viele Mitarbeitende zur Vermeidung von Pflichtschulungen zur Sicherheit extreme Maßnahmen ergreifen würden:

IT-Führungskräfte sind sich einig: 51 % glauben, dass Mitarbeitende in ihrem Unternehmen Sicherheitsschulungen als lästig empfinden. Diese Übereinstimmung ist ein klares Zeichen dafür, dass Sicherheitsschulungen nicht die gewünschten Ergebnisse hinsichtlich des Schutzes von Unternehmen vor menschlichen Schwachstellen erreichen. 

Eine schlechte Passworthygiene von Mitarbeitenden erhöht die Risiken. Fast alle IT-Führungskräfte (96 %) berichten, dass sie sich mit Problemen im Zusammenhang mit Zugangsdaten beschäftigen müssen. Die drei häufigsten Probleme sind:

Diese schlechten Gewohnheiten führen zu greifbaren Verlusten. IT-Führungskräfte geben an, dass ihr Unternehmen wegen schwacher oder gefährdeter Passwörter Opfer eines Diebstahls von geistigem Eigentum wurde (37 %) und dass wegen gefährdeter Konten Geld gestohlen werden konnte (19 %).

Passwortbezogene Probleme sind für Unternehmen nicht nur die Ursache von Sicherheitsverletzungen, sondern führen auch zu erheblichen Betriebskosten. Forrester Research schätzt, dass jedes Zurücksetzen von Passwörtern unter Einberechnung der von IT-Mitarbeitenden aufgewendeten Zeit und der Produktivitätsverluste rund 70 USD kostet.

Darüber hinaus geht es bei bis zu 40 % der Anrufe beim Helpdesk um Passwortprobleme, was einen erheblichen Supportaufwand bedeutet. Zudem verbringen Mitarbeitende durchschnittlich 11 Stunden pro Jahr damit, Passwörter zurückzusetzen, was deren Produktivität zusätzlich beeinträchtigt.

Alles zusammengerechnet geben Unternehmen geschätzt durchschnittlich 5,2 Millionen USD jährlich für passwortbezogenen Support und Infrastruktur aus.

Es liegt auf der Hand, dass traditionelle Strategien für die Sicherheit von Unternehmen, einschließlich solcher, die speziell auf Anmeldedaten ausgerichtet sind, einfach nicht funktionieren.

Im nächsten Beitrag dieser Blogserie erfahren Sie, wie sich Schatten-IT und die Herausforderungen bei der Sicherheit von Anmeldedaten auf bereits überlastete IT-Teams auswirken.