KnowBe4’s neuer Security Culture Report: 2020 stagnierten Sicherheitskulturwerte weltweit

bei

 / 5. May. 2021

Vor kurzem ist zum vierten Mal KnowBe4‘s jährlicher Report zum globalen Stand der Sicherheitskultur erschienen. Dessen Fazit: Auch weiterhin besteht in Unternehmen wie staatlichen Einrichtungen erheblicher Nachholbedarf, wenn es um den Aufbau einer effektiven Sicherheitskultur geht. Im vergangenen Jahr, so die zentrale Erkenntnis der Studie, seien auf diesem Gebiet kaum Fortschritte erzielt worden. Und das, obwohl die Stärkung und Weiterentwicklung der Sicherheitskultur derzeit eigentlich oberste Priorität genießen sollte. Denn wie sonst könnte der stark gestiegene Anteil der Arbeit im Homeoffice effektiv vor Cyberkriminellen abgesichert werden?

Die überwiegende Mehrheit aller IT-Sicherheitsvorfälle lassen sich mittlerweile auf menschliches Versagen, auf Nachlässigkeit oder Fehlverhalten, zurückführen. Die Belegschaft ist für Cyberkriminelle zum Ausgangspunkt, zur zentralen Komponente, erfolgreicher Angriffe geworden – weltweit. Unter Zuhilfenahme von Phishing- und Social Engineering-Verfahren verleiten sie die Zugangsberechtigten des von ihnen anvisierten IT-Netzwerkes dazu, Anmeldedaten und weitere relevante Informationen an sie weiterzugeben, die dann zum Ausgangspunkt ihres eigentlichen Angriffs werden. Der Aufbau einer effektiven Sicherheitskultur – die Schärfung des Sicherheitsbewusstseins der gesamten Belegschaft – hilft, dieses Risiko spürbar zu minimieren. Unter IT-Sicherheitsfachleuchten gilt der konsequente Auf- und Ausbau einer umfassenden Sicherheitskultur deshalb schon lange als integraler Bestandteil einer effektiven IT-Sicherheitsstrategie. Dennoch: in den meisten Unternehmen und staatlichen Einrichtungen ist die Sicherheitskultur nach wie vor stark ausbaufähig. Zu diesem Ergebnis kommt auch eine kürzlich von KnowBe4 veröffentlichte Studie: der ‚Security Culture Report 2021‘. Erstellt hat ihn das norwegische Unternehmen CLTRe – auf Basis einer unter rund 2.000 Unternehmen aus knapp 50 Staaten durchgeführten Befragung.

Verständlicherweise stand der Report zum Jahr 2020 ganz im Zeichen der Corona-Krise und ihrer Auswirkungen auf die Arbeitswelt. Allen voran: dem raschen Wechsel vom stationären Büro ins Homeoffice. Ein Prozess, der mit erheblichen zusätzlichen Sicherheitsrisiken verbunden war und immer noch ist. Bietet er Angreifern doch zahlreiche Ansatzpunkte, sich mittels Phishing, Spear Phishing und Social Engineering zwischen ein Unternehmen und seine Mitarbeiter zu schalten. Dieselbe Hochrisikolage ist auch für das laufende Geschäftsjahr zu erwarten, wenn ein großer Teil der Mitarbeiter – zumindest vorübergehend – wieder ins stationäre Büro überwechseln wird. Jelle Wieringa, Security Awareness Advocate von KnowBe4 für den europäischen Raum, ist überzeugt: „Cyberkriminelle werden die Umstellung vom Homeoffice aufs stationäre Büro unter Garantie zu nutzen wissen. Mit einer Phishing- und Social Engineering-Angriffswelle muss für diese Phase unbedingt gerechnet werden.“ Eine Warnung, die ernst genommen werden sollte. Denn wie der Report zeigt, ist derzeit kaum ein Unternehmen gut oder sehr gut auf Angriffe – geschweige denn Angriffswellen – gegen seine Belegschaft vorbereitet.

Sicherheitskultur in Belegschaften noch längst nicht ausreichend verwurzelt

20 Prozent der befragten Mitarbeiter geben im Report zu Protokoll, generell nicht im erforderlichen Umfang mit Informationen zur Sicherheit ihrer IT-Systeme versorgt zu werden. 30 Prozent erklären sogar, dass es ihnen Schwierigkeiten bereite, im Bedarfsfall einen Mitarbeiter der IT-Sicherheit zu kontaktieren. Besonders schlimm ist es um die Passwortsicherheit bestellt. Im Schnitt gehen immer noch rund 24 Prozent aller Mitarbeiter davon aus, dass kurze und einfache Passwörter das Risiko, Opfer eines Cyberangriffs zu werden, nicht wesentlich erhöhen. 25 Prozent verwenden dasselbe Passwort für unterschiedliche Nutzerkonten. Und ganze 77 Prozent kümmern sich nicht darum, ihre Passwörter sicher unter Verschluss zu halten. Verständlicherweise haben Cyberkriminelle bei solch einer laschen Sicherheitskultur leichtes Spiel.

Weltweit kaum Verbesserungen zum Vorjahr

Die Qualität der in der KnowBe4-Studie durchschnittlich ermittelten Sicherheitskulturwerte nimmt sich denn auch eher bescheiden aus. Im Schnitt erreichen Unternehmen und staatliche Einrichtungen 73 von 100 möglichen Punkten. Ein moderates, aber kein wirklich gutes Ergebnis – und keine Verbesserung gegenüber dem Vorjahr!

Die Mehrzahl von ihnen verfügt nur über eine moderate, einige wenige über eine schlechte und nur eine sehr bescheidene Anzahl über eine gute Sicherheitskultur. Die Bestnote, eine sehr gute Sicherheitskulturbewertung, konnte kein einziges von ihnen erringen – weltweit!

Im regionalen Vergleich treten dabei kaum Unterschiede zu Tage. Alle Erdteile können eine mehr oder weniger moderate Sicherheitskulturbewertung zwischen 71 und 73 Punkten für sich verbuchen. Nordamerika und Europa stehen dabei etwas besser, Asien und Lateinamerika etwas schlechter da. Von 2019 auf 2020 haben sich die Sicherheitskulturwerte der einzelnen Regionen damit kaum verändert – geschweige denn in nennenswertem Umfang verbessert.

Immerhin: Moderater Sicherheitskulturwert nun auch für das Schlusslicht Bildungsbranche

Annähernd dasselbe Bild bietet ein Branchenvergleich. Auch dieses Jahr schaffte es keine Branche, einen guten oder sehr guten Sicherheitskulturwert zu erzielen.

Immerhin: der Abstand zwischen denjenigen Branchen, die die höchsten und denjenigen, die die niedrigsten Durchschnittswerte erhielten, hat sich etwas reduziert. Am besten schnitten – wie schon im vergangenen Jahr – die Finanzdienstleistungs- und die Bankbranche ab, am schlechtesten die Bildungsbranche. Jedoch: mit einem Sicherheitskulturwert von 70 hat sie sich im Vergleich zum Vorjahr um immerhin zwei Punkte verbessern können. Auch das Branchenschlusslicht verfügt damit nun über eine moderate Sicherheitskultur.

Hauptursache dieser positiven Entwicklung dürften die stark gestiegenen Investitionen in Homeschooling-Angebote sein. Dies sieht auch Wieringa so. Endlich hätten Staaten Geld in die Hand genommen, um ihre digitalen Bildungsangebote zu stärken und besser abzusichern. Der Anstieg des Branchenwertes um zwei Punkte könne als erster Erfolg dieser Initiative gewertet werden. Bis zu einer signifikanten Anhebung des Wertes sei es jedoch noch ein weiter Weg. Noch mangele es an entsprechenden, auf Kinder und Jugendliche zugeschnittenen Schulungs- und Trainingskonzepten. Seien diese erst einmal entwickelt und systematisch und flächendeckend implementiert, könne die Bildungsbranche sicherlich auch auf einen der mittleren oder vorderen Plätze aufschließen.

Fazit

Der Aufbau einer effektiven Sicherheitskultur an Unternehmen und staatlichen Einrichtungen wird, aller Voraussicht nach, noch geraume Zeit in Anspruch nehmen. KnowBe4’s Security Culture Report 2021 zeigt, dass Unternehmen und staatliche Einrichtungen in ihrer Mehrzahl auch weiterhin lediglich über eine moderate Sicherheitskultur verfügen. Im Vergleich zum Vorjahr konnten nur bescheidene Fortschritte erzielt werden. Auch im ITK-Bereich der Sicherheitskultur hat das Krisenjahr 2020 für Stillstand – für Investitionsstau – gesorgt. Diese aufgesparten Investitionen gilt es nun, zügig nachzuholen.

 

Über den Autor / die Autorin:


Torben Gülstorff ist gebürtiger Flensburger und promovierte 2012 an der Humboldt-Universität zu Berlin. Einmal jährlich arbeitet er als freier Gutachter für das Marie-Sklodowska-Curie-Programm der Europäischen Kommission. Zudem unterstützt er eine Sonderermittlung der Vereinten Nationen.