IT-Teams wegen Hybrid-Arbeitsplätzen zunehmend unter Druck

Gemäss der Studie sehen sich IT-Teams dazu gezwungen, Kompromisse bei der Sicherheit zugunsten der Geschäftskontinuität einzugehen – und dies in einer Zeit, in der die Anzahl der Bedrohungen zunehme. Hinzu komme, dass ihre Versuche, die Sicherheitsmassnahmen für Remote-Mitarbeitende zu erhöhen oder zu aktualisieren, oft abgelehnt würden. Dies gelte insbesondere für die jüngere Belegschaft, den 18- bis 24-Jährigen, den sogenannten Digital Natives. Diese seien zunehmend frustriert, weil Security-Massnahmen sie dabei behinderten, ihre Deadlines zu erfüllen. Das Ergebnis: Sie umgehen die Kontrollen.

Die neue "HP Wolf Security Studie" kombiniert Daten einer weltweit durchgeführten You-Gov-Online-Umfrage unter 8‘443 Angestellten, die während der Pandemie auf Home-Office umstiegen, sowie einer globalen Befragung unter 1‘100 IT-Entscheidungsträgern (IT Decision Makers, ITDMs) durch Toluna. Die wichtigsten Ergebnisse im Überblick:

• 76 Prozent der IT-Entscheider geben zu, dass die Sicherheit während der Pandemie zugunsten der Geschäftskontinuität in den Hintergrund trat. Die überwiegende Mehrheit der Befragten (91 Prozent) gab sogar an, dass ihre Security beeinträchtigt wurde, um die Kontinuität der Arbeit zu gewährleisten.
• Fast die Hälfte (48 Prozent) der befragten jüngeren Büroangestellten im Alter von 18 bis 24 Jahren betrachteten Sicherheitstools sogar als Hindernis. Das führte gemäss der Untersuchung dazu, dass fast ein Drittel (31 Prozent) versuchte, die Sicherheitsrichtlinien des Unternehmens zu umgehen, um ihre Arbeit zu erledigen.
• 48 Prozent der Befragten stimmten zu, dass scheinbar strenge Sicherheitsmassnahmen Zeit verschwenden und die Produktivität reduzieren. Bei den 18- bis 24-Jährigen sind es sogar 64 Prozentii.
• Mehr als die Hälfte (54 Prozent) der 18- bis 24-Jährigen macht sich mehr Sorgen darüber, Deadlines nicht einhalten zu können, als ihr Unternehmen einer Datenschutzverletzung auszusetzen. 39 Prozent sind sich nicht sicher, was in ihren Sicherheitsrichtlinien steht. Sie wissen ausserdem nicht, ob es in ihrem Unternehmen Richtlinien gibt.
• Infolgedessen sind 83 Prozent der ITDMs der Meinung, dass die wachsende Zahl der Mitarbeitenden im Home-Office eine "tickende Zeitbombe" für einen Verstoss gegen das Unternehmensnetzwerk darstellt.

"Die Tatsache, dass Arbeitnehmer aktiv die Sicherheit umgehen, sollte jeden Ciso (Chief Information Security Officer) beunruhigen, denn so können Sicherheitslücken entstehen", kommentiert Ian Pratt, Global Head of Security for Personal Systems, HP Inc. "Dies zeigt aber auch: Die Menschen finden einen Weg, Security-Massnahmen zu umgehen, wenn sie zu schwerfällig sind und die Mitarbeitenden belasten. Stattdessen sollte sich die Sicherheit so weit wie möglich in die bestehenden Arbeitsmuster und -abläufe einfügen, mit einer Technologie, die unaufdringlich, sicher und intuitiv ist. Letztendlich müssen wir es genauso einfach machen, sicher zu arbeiten, wie es ist, unsicher zu arbeiten. Wir können dies erreichen, indem wir die Sicherheit direkt in die Systeme einbauen."

Der Bericht hebt auch hervor, dass viele Security-Teams Anstrengungen unternahmen, die Daten zu schützen, indem sie die Nutzerrechte einschränkten. 91 Prozent haben ihre Sicherheitsrichtlinien aktualisiert, um der zunehmenden Arbeit im Home-Office Rechnung zu tragen, während 78 Prozent den Zugang zu Websites und Anwendungen eingeschränkt haben. Diese Kontrolle führt jedoch häufig zu Reibungsverlusten bei den Anwendern. Sie ärgern sich darüber und wehren sich gegen die IT-Abteilung. Im Gegenzug sind Sicherheitsteams entmutigt und fühlen sich zurückgewiesen:
• 37 Prozent der befragten Mitarbeitenden gaben demnach an, dass Sicherheitsrichtlinien und -technologien oft zu restriktiv sind.
• 80 Prozent der ITDMs erleben den Widerstand von Benutzern. Sie mögen es nicht, wenn ihnen im Home-Office Kontrollen auferlegt werden; 67 Prozent der ITDMs gaben an, dass sie wöchentlich Beschwerden erhalten.
• 83 Prozent der ITDMs gaben laut Studie an, dass es unmöglich sei, Unternehmensrichtlinien für die Cybersicherheit festzulegen und durchzusetzen. Der Grund dafür seien die fliessenden Grenzen zwischen Privat- und Berufslebeni.
• 80 Prozent der ITDMs gaben an, dass IT-Sicherheit zu einer undankbaren Aufgabe geworden sei, da Mitarbeitende nicht auf sie hörten.
• 69 Prozent der ITDMs gaben an, dass Mitarbeitende ihnen das Gefühl geben, der Gegner zu sein, wenn sie ihren Zugriff zu beschränkeni.

"Cisos haben es mit einer zunehmenden Anzahl, einer höheren Geschwindigkeit und ausgefeilteren Angriffen zu tun", kommentiert dazu Joanna Burkey, Chief Information Security Officer (CISO), HP Inc. "Ihre Teams müssen rund um die Uhr arbeiten, um die Sicherheit des Unternehmens zu gewährleisten. Gleichzeitig ermöglichen sie aber auch die massive digitale Transformation – und zwar mit reduzierter Sichtbarkeit. Die Last, Unternehmen zu schützen, sollte nicht länger allein auf den Schultern der Infosec-Teams lasten. Cybersecurity ist eine End-to-End-Disziplin, an der sich jeder beteiligen muss." Und Burkey weiter: "Um eine kollaborative Sicherheitskultur zu schaffen, müssen wir die Mitarbeitenden für die wachsenden Cyber-Sicherheitsrisiken sensibilisieren und aufklären. IT-Teams sollten besser verstehen, wie sich Sicherheitsmassnahmen auf Arbeitsabläufe und Produktivität auswirken. Entsprechend muss Security neu bewertet werden – und zwar basierend auf den Anforderungen des Unternehmens und der hybrid arbeitenden Angestellten."

Über die Studie
Der HP Wolf Security ‘Rebellions & Rejections‘ Report basiert auf folgenden Ergebnissen:
1) Eine Yougov-Umfrage unter 8‘443 Erwachsenen in den USA, Grossbritannien, Mexiko, Deutschland, Australien, Kanada und Japan. Die Befragten arbeiteten früher im Büro ihres Unternehmens und arbeiten heute mindestens genauso häufig im Home-Office als vor der Pandemie. Die Feldarbeit fand zwischen dem 17. und 25. März 2021 statt. Die Umfrage wurde online durchgeführt.
2) Die Studie basiert auf einer Toluna-Umfrage unter 1‘100 IT-Entscheidungsträgern in Grossbritannien, den USA, Kanada, Mexiko, Deutschland, Australien und Japan. Die Studie wurde zwischen dem 19. März und dem 6. April 2021 online durchgeführt.
3) Dem Report von Kuppingercole "The 2020 Cybersecurity Threat Landscape for Remote Workers as a Result of the Covid-19 Pandemic", durchgeführt im März 2021. Diese Studie liefert den Kontext zu und eine Analyse der sich durch die Covid-19-Pandemie verändernden Arbeitslandschaft im Jahr 2020. Dabei wurden die Aktivitäten und Praktiken von Unternehmen und Arbeitnehmern weltweit sowie die Aktivitäten und Tendenzen bösartiger Akteure in Bezug auf Schwachstellen, die durch den veränderten Kontext entstanden sind, berücksichtigt.