Richtlinien für WLAN- und Passwort-Sicherheit: Mitarbeiter großer Firmen patzen am meisten

Sicherheit (Pexels, allgemeine Nutzung)Die Sicherheit der Unternehmens-IT hängt auch davon ab, dass Mitarbeiter die Richtlinien zur WLAN- und Passwort-Sicherheit einhalten. Denn die Mitarbeiter stellen das schwächste Glied in der Kette dar und müssen tagtäglich auf Daten des Unternehmens zugreifen. Neue Erkenntnisse liefert hierzu eine globale Studie, die von Tenable in Auftrag gegeben und von Forrester Consulting durchgeführt wurde. Diese zeigt, dass die Nutzung privater Geräte, die Einhaltung von Sicherheitsrichtlinien und das Verantwortungsgefühl für die Unternehmenssicherheit von Mitarbeitern je nach Größe des Unternehmens, für das sie arbeiten, variieren.


Anzeige

Die Information ist mir bereits vor einiger Zeit zugegangen, ich wollte euch die Ergebnisse aber nicht vorenthalten und stelle diese hier mal einfach im Blog ein. Keine Ahnung, ob ihr euch wiedererkennt.

Nutzung von persönlichen Geräten für die Arbeit

Je größer das Unternehmen ist, desto geringer ist die Wahrscheinlichkeit, dass Remote-Mitarbeiter private Geräte wie Laptops, Smartphones und Tablets für die Arbeit nutzen. Weniger als die Hälfte der befragten Fernarbeitnehmer in Unternehmen mit 20 000 oder mehr Beschäftigten gaben an, dass sie persönliche Laptops oder Smartphones für die Arbeit nutzen. Dagegen gab über die Hälfte der Befragten in kleineren Unternehmen an, persönliche Geräte für die Arbeit zu nutzen.

Ein weiterer Blick auf die Art der Unternehmensdaten, auf die Mitarbeiter auf ihren privaten Geräten zugreifen, zeigt den Trend im Detail: Mitarbeiter kleinerer Unternehmen greifen auf persönlichen Geräten viel häufiger auf Kundendaten, Finanzunterlagen und Verträge mit Dritten zu als Mitarbeiter von Unternehmen mit 20.000 oder mehr Mitarbeitern.

Ein Trend ist jedoch unabhängig von der Unternehmensgröße allgegenwärtig: die Nutzung von Arbeitsgeräten durch Mitarbeiter für den Zugriff auf Websites zu privaten Zwecken. Unternehmensgeräte werden unter anderem für den Zugriff auf persönliche Social-Media-Konten oder Streaming-Dienste genutzt.

Einhaltung der Sicherheitsrichtlinien des Unternehmens

Die Befragten in Unternehmen mit 20.000 oder mehr Mitarbeitern gaben an, dass sie sich in Bezug auf den Zugang zu öffentlichem WLAN und sichere Passwörter weniger strikt an die Best Practices halten als die Befragten in kleineren Unternehmen. Tatsächlich bestätigten nur 16 Prozent der Befragten in Unternehmen mit 20.000 oder mehr Mitarbeitern an, dass sie sich strikt an die Richtlinien für öffentliches WLAN halten, und nur 20 Prozent befolgen strikt die Richtlinien für die Festlegung von Passwörtern, verglichen mit 21 Prozent bzw. 27 Prozent der Befragten in Unternehmen mit 1.000 bis 4.999 Mitarbeitern.


Anzeige

Wenn es darum geht, Geräte zu aktualisieren, bestätigten jedoch mehr Mitarbeiter in den größten Unternehmen, dies sofort zu tun, als dies in Unternehmen mit weniger als 20.000 Mitarbeitern der Fall ist. Mitarbeiter in den größten Unternehmen geben mit einer Wahrscheinlichkeit von minus zehn Prozentpunkten an, dass sie die unternehmensinternen Cybersicherheitsrichtlinien kennen, verglichen mit Mitarbeitern in der mittleren Unternehmensgröße. Allerdings geben die Beschäftigten in der größten Untergruppe auch am seltensten zu, dass sie die Cybersicherheitsrichtlinien manchmal ignorieren.

Persönliches Verantwortungsbewusstsein für die Unternehmenssicherheit

Mitarbeiter in Unternehmen der mittelgroßen Gruppe fühlen sich seltener für die Sicherheit der Geräte verantwortlich, die sie für ihre Arbeit nutzen. Was das allgemeine Verantwortungsgefühl für die Sicherheit von Unternehmensdaten betrifft, scheinen sich die Mitarbeiter weniger verantwortlich zu fühlen, je größer ihr Unternehmen ist. Dies zeigt die Tatsache, dass die Mitarbeiter in der kleinsten Größenordnung von Unternehmen eher oder voll und ganz zustimmen, dass sie eine Verantwortung für die Sicherheit der Unternehmensdaten haben, auf die sie zugreifen.

Dies ist im Vergleich zu sehen zu den Unternehmen mit 20.000 oder mehr Mitarbeitern, wo ein Unterschied von zehn Prozent gegeben ist. Nach Ansicht von Tenable verfügen größere Unternehmen in der Regel über ausgereiftere Cybersicherheitsprogramme und -kontrollen, während kleinere Firmen eher weniger Kontrollen haben und sich überproportional auf ihre Mitarbeiter verlassen.

Schlussfolgerung

Wie bei allem im Bereich der Cybersicherheit ist die Sensibilisierung der erste Schritt zur Abhilfe. Es ist wichtig, dass das Sicherheitspersonal eines Unternehmens die Größe des eigenen Unternehmens berücksichtigt, wenn es darüber nachdenkt, wie sich das Verhalten der Mitarbeiter auf die Cybersicherheitspraktiken auswirkt. Dabei gilt es der Sicherheit des Active Directory besondere Aufmerksamkeit zu schenken. Angesichts der jüngsten Angriffe auf die Software-Supply-Chain lohnt es sich für Sicherheitsexperten, diese Faktoren bei der Bewertung von Drittanbietern zu berücksichtigen, insbesondere bei denen, mit denen sie regelmäßig zusammenarbeiten.

Quelle: Eine von Forrester Consulting im Auftrag von Tenable durchgeführte Studie vom April 2021. Basis: Vollzeitbeschäftigte, die drei oder mehr Tage pro Woche von zu Hause aus für Unternehmen mit 1.000 bis 4.999 (N=261), 5.000 bis 19.999 (N=157) und 20.000 oder mehr (N=61) Mitarbeitern tätig sind.

Weitere Informationen finden Sie in der Studie Beyond Boundaries: The Future of Cybersecurity in the New World of Work (erfordert Daten).


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit abgelegt und mit Sicherheit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

8 Antworten zu Richtlinien für WLAN- und Passwort-Sicherheit: Mitarbeiter großer Firmen patzen am meisten

  1. 1ST1 sagt:

    Da rächt sich jetzt die "Bring your own Device" Initiative, bei der man auf Sicherheit teils gepfiffen hat.

    • Günter Born sagt:

      Stimmt, war ein regelrechter Hype, der uns jetzt auf die Füße fällt.

    • Tom sagt:

      Ja, aber speziell in den größeren Firmen sind da dann eben auch die Admins gefragt. Auch bei BYOD kann man verschiedene Richtlinien durchsetzen. Speziell bei den Geräten, die du per MDM erreichst…. z.B. sobald sich jemand auf einem privaten Gerät mit einem Firmen User anmeldet.

  2. mw sagt:

    Zitat "Die Sicherheit der Unternehmens-IT hängt auch davon ab, dass Mitarbeiter die Richtlinien zur WLAN- und Passwort-Sicherheit einhalten. Denn die Mitarbeiter stellen das schwächste Glied in der Kette dar". Das wage ich zu hinterfragen. Die Sicherheit hängt nur sehr bedingt mit dem "Sicherheitstheater" der IT Verantwortlichen zusammen. Noch immer gibt es kurze Intervalle, nach deren Ablauf das Passwort gewechselt werden muss. Und noch immer ist es üblich dieses auf einem Post-It zu vermerken oder ein angehängte Nummer hochzuzählen. Das entspricht zwar der Unternehmensrichtlinie, reißt aber große Löcher. Es kommt auf die Mitarbeiter an. Sicher haben die wenigsten die notwendige Awareness und Kenntnis für echte und nicht nur gespielte Sicherheit. Aber vor allem in großen Unternehmen wird Sicherheit gespielt, daher das Theater. Und wenn dann doch ein Vorfall auftritt, dann waren das Kriminelle mit terroristischen Hintergrund, niemals aber die unsinnigen Richtlinien und die ranzige Software. Studien zum Thema IT Sicherheit sind eher weniger lesenswert, weil sie nicht dazu beitragen auch nur ein ganz klein wenig mehr Sicherheit zu bewirken. Sie sind eben auch ein Schmierentheater.

    • Tom sagt:

      Naja, wenn bei einem Passwortwechel nur eine Ziffer angehängt wird, dann ist auch hier wieder die Richtlinie vom Admin schlecht eingestellt. Erstmal sollte man natürlich einstellen, dass es ein Passwort Historie gibt. Also z.B. die letzten 20 Kennwörter nicht verwendet werden dürfen. Und natürlich auch keine Teile vom letzten Passwort.

      Klar, die allerletzte Sicherheit ist immer schwierig und den Post-It Zettel mit dem Kennwort kann man auch nur entschärfen, wenn man z.B. eine 2-Faktor Auhentifizierung implementiert oder ausschließlich auf Biometrische Anmeldung setzt. ISt am ende aber natürlich immer ein Mittelweg aus Bequemlichkeit und Sicherheit.

      Was ich sagen will, zuerst ist immer der Security Admin gefragt, sinnvolle Policies zu definieren und diese auch regelmäßig einem Review zu unterziehen. Die Verantwortung auf den Endanwender abzuwälzen ist mit Sicherheit der falsche Weg.

      • JohnRipper sagt:

        "Und natürlich auch keine Teile vom letzten Passwort."
        Zeig mir wie du die Regel in einer Windows Domain umsetzt.

        Quasi fast jede große Umgebung basiert auf ADS oder AzureID.

      • Michael Uray sagt:

        "Und natürlich auch keine Teile vom letzten Passwort."
        Wie kann man so etwas realisieren, wenn doch heute nur noch Passwort-Hashes gespeichert werden?

  3. JohnRipper sagt:

    Meine Freundin hat als Passowrt immer MonatJahr genutzt. Also beispielsweise Januar2021.

    Als sie mir das erzählt hat war ich erschrocken, dass das geht.

    Der Vorteil: einfach zu merken und bei 90 Tagen Retentiontime max drei Versiche bis zum Passwort.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.