Die Ergebnisse des Rebellions & Rejections Reports [1] unterstreichen, dass IT-Teams gezwungen sind, Kompromisse bei der Sicherheit zugunsten der Geschäftskontinuität einzugehen – und dies in einer Zeit, in der die Anzahl der Bedrohungen zunimmt. Hinzu kommt, dass ihre Versuche, die Sicherheitsmaßnahmen für Remote-Mitarbeiter zu erhöhen oder zu aktualisieren, oft abgelehnt werden. Dies gilt insbesondere für die künftigen Mitarbeiter, den 18- bis 24-jährigen Digital Natives. Sie sind zunehmend frustriert, weil Security-Maßnahmen sie dabei behindern, ihre Deadlines zu erfüllen. Das Ergebnis: Sie umgehen die Kontrollen.

Die neue HP Wolf-Security-Studie kombiniert Daten einer weltweit durchgeführten YouGov-Online-Umfrage unter 8443 Angestellten, die während der Pandemie auf Home-Office umstiegen, sowie einer globalen Befragung unter 1100 IT-Entscheidungsträgern (IT-Decision-Makers, ITDMs) durch Toluna. Die wichtigsten Ergebnisse im Überblick:

• 76 Prozent der IT-Entscheider geben zu, dass die Sicherheit während der Pandemie zugunsten der Geschäftskontinuität in den Hintergrund trat. Die überwiegende Mehrheit der Befragten (91 Prozent) gab sogar an, dass ihre Security beeinträchtigt wurde, um die Kontinuität der Arbeit zu gewährleisten.
• Fast die Hälfte (48 Prozent) der befragten jüngeren Büroangestellten im Alter von 18 bis 24 Jahren betrachteten Sicherheitstools sogar als Hindernis. Das führte dazu, dass fast ein Drittel (31 Prozent) versuchte, die Sicherheitsrichtlinien des Unternehmens zu umgehen, um ihre Arbeit zu erledigen.
• 48 Prozent der Befragten stimmten zu, dass scheinbar strenge Sicherheitsmaßnahmen Zeit verschwenden und die Produktivität reduzieren. Bei den 18- bis 24-Jährigen sind es sogar 64 Prozent.
• Mehr als die Hälfte (54 Prozent) der 18- bis 24-Jährigen macht sich mehr Sorgen darüber, Deadlines nicht einhalten zu können, als ihr Unternehmen einer Datenschutzverletzung auszusetzen. 39 Prozent sind sich nicht sicher, was in ihren Sicherheitsrichtlinien steht. Sie wissen außerdem nicht, ob es in ihrem Unternehmen Richtlinien gibt – ein Indikator, dass jüngere Arbeitnehmer zunehmend apathisch sind.
• Infolgedessen sind 83 Prozent der ITDMs der Meinung, dass die wachsende Zahl der Mitarbeiter im Home-Office eine "tickende Zeitbombe" für einen Verstoß gegen das Unternehmensnetzwerk darstellt.

"Die Tatsache, dass Arbeitnehmer aktiv die Sicherheit umgehen, sollte jeden CISO beunruhigen, denn so können Sicherheitslücken entstehen", kommentiert Ian Pratt, Global Head of Security for Personal Systems, HP Inc. "Dies zeigt aber auch: Die Menschen finden einen Weg, Security-Maßnahmen zu umgehen, wenn sie zu schwerfällig sind und die Mitarbeiter belasten. Stattdessen sollte sich die Sicherheit so weit wie möglich in die bestehenden Arbeitsmuster und -abläufe einfügen, mit einer Technologie, die unaufdringlich, sicher und intuitiv ist. Letztendlich müssen wir es genauso einfach machen, sicher zu arbeiten, wie es ist, unsicher zu arbeiten. Wir können dies erreichen, indem wir die Sicherheit direkt in die Systeme einbauen."

Neue Richtlinien, verärgerte Anwender
Der Bericht hebt hervor, dass viele Security-Teams Anstrengungen unternahmen, die Daten zu schützen, indem sie die Nutzerrechte einschränkten. 91 Prozent haben ihre Sicherheitsrichtlinien aktualisiert, um der zunehmenden Arbeit im Home Office Rechnung zu tragen, während 78 Prozent den Zugang zu Websites und Anwendungen eingeschränkt haben. Diese Kontrolle führt jedoch häufig zu Reibungsverlusten bei den Anwendern. Sie ärgern sich darüber und wehren sich gegen die IT-Abteilung. Im Gegenzug sind Sicherheitsteams entmutigt und fühlen sich zurückgewiesen:

• 37 Prozent der befragten Mitarbeiter gaben an, dass Sicherheitsrichtlinien und -technologien oft zu restriktiv sind.
• 80 Prozent der IT-Entscheider erleben den Widerstand von Benutzern. Sie mögen es nicht, wenn ihnen im Home-Office Kontrollen auferlegt werden; 67 Prozent der ITDMs gaben an, dass sie wöchentlich Beschwerden erhalten.
• 83 Prozent der Entscheider gaben an, dass es unmöglich ist, Unternehmensrichtlinien für die Cybersicherheit festzulegen und durchzusetzen. Der Grund dafür sind die fließenden Grenzen zwischen Privat- und Berufsleben.
• 80 Prozent der ITDMs gaben an, dass IT-Sicherheit zu einer undankbaren Aufgabe geworden ist, da Mitarbeiter nicht auf sie hören.
• 69 Prozent der ITDMs gaben an, dass Mitarbeiter ihnen das Gefühl geben, der Gegner zu sein, wenn sie ihren Zugriff zu beschränken.

"CISOs haben es mit einer zunehmenden Anzahl, einer höheren Geschwindigkeit und ausgefeilteren Angriffen zu tun", kommentiert Joanna Burkey, Chief Information Security Officer (CISO), HP Inc. "Ihre Teams müssen rund um die Uhr arbeiten, um die Sicherheit des Unternehmens zu gewährleisten. Gleichzeitig ermöglichen sie aber auch die massive digitale Transformation – und zwar mit reduzierter Sichtbarkeit. Die Last, Unternehmen zu schützen, sollte nicht länger allein auf den Schultern der InfoSec-Teams lasten. Cybersecurity ist eine End-to-End-Disziplin, an der sich jeder beteiligen muss."

Burkey weiter: "Um eine kollaborative Sicherheitskultur zu schaffen, müssen wir die Mitarbeiter für die wachsenden Cyber-Sicherheitsrisiken sensibilisieren und aufklären. IT-Teams sollten besser verstehen, wie sich Sicherheitsmaßnahmen auf Arbeitsabläufe und Produktivität auswirken. Entsprechend muss Security neu bewertet werden – und zwar basierend auf den Anforderungen des Unternehmens und der hybrid arbeitenden Angestellten."


dr

[1] https://threatresearch.ext.hp.com/hp-wolf-security-blurred-lines-blindspots-report-risky-remote-working/