Lockerer Umgang mit Cyber-Sicherheit in FührungsetagenJeder zweite „CXO“ umgeht IT-Sicherheitsmaßnahmen
23. November 2023Der Executive Security Spotlight Report beschäftigt sich mit dem Sicherheitsverhalten speziell der C-Ebene im Unternehmen. Obwohl dieser Personenkreis kontinuierlich im Fokus von Spear-Phishing- oder Whaling-Akteuren steht, nehmen es Führungskräfte in Punkto Cyber-Sicherheit erstaunlich locker. Der wesentliche Knackpunkt: Durch ihre Führungsaufgaben sind sie häufig mit umfangreichen Zugangsrechten ausgestattet. Und dort, wo ihnen Berechtigungen fehlen, umgehen sie Sicherheitsvorgaben.
Top-Führungskräfte haben häufig ungehinderten Zugang zu firmeninternen Datenquellen und vernetzten Geräten. Gerade sie jedoch sind die Mitarbeitergruppe, die von Bedrohungsakteuren am häufigsten ins Visier genommen wird. Ihre exponierte Position ist ihnen dabei durchaus bewusst: 96 Prozent von ihnen geben an, dass sie den Cyber-Sicherheitsauftrag ihres Unternehmens unterstützen und sich dafür einsetzen.
Aber die Realität sieht anders aus. Nach den Studienergebnissen hatte jeder zweite Top-Entscheider (49 Prozent) im vergangenen Jahr die Umgehung einer oder mehrerer Sicherheitsmaßnahmen durchgesetzt. Dieses Muster zieht sich durch die gesamte Erhebung: Sei es aus Zeitmangel, um spezifische Prozesse zu durchlaufen oder aus einem Gefühl der Sonderstellung heraus: Führungskräfte neigen dazu, sich riskanter zu verhalten als der Rest der Belegschaft
Zu den zentralen Ergebnissen des Reports zählen die folgenden Punkte:
- Eine von fünf Führungskräften hat ihr Arbeitspasswort schon einmal mit jemandem außerhalb des Unternehmens geteilt – in Deutschland sogar jeder Dritte CXO (37 Prozent).
- Drei Viertel (77 Prozent) verwenden leicht zu merkende Passwörter, die unter anderem Geburtstage oder Namen eines Haustiers enthalten.
- Die Wahrscheinlichkeit, dass Arbeitsgeräte mit nichtautorisierten Nutzern wie Freunden oder Familienangehörigen geteilt werden, ist bei CXOs dreimal höher als bei allen anderen Mitarbeitern.
- Eine von drei Führungskräften griff im letzten Jahr auf Arbeitsdateien und Daten zu, für die sie keine Berechtigung hatte – in Deutschland jeder Zweite.
- Jeder Vierte (24 Prozent) nutzt heute noch das gleiche Passwort, das er ursprünglich bekommen hatte. Bei Büroangestellten liegt dieser Wert nur bei 14 Prozent.
Die Ivanti Studie beleuchtet auch die teilweise kritische Zusammenarbeit zwischen Führungskräften und den Security-Teams: Im Gegensatz zum Rest der Belegschaft geben Führungskräfte doppelt so häufig an, dass sie ihre Interaktionen mit der Sicherheitsabteilung als „unangenehm” oder „peinlich” empfunden haben, beispielsweise wenn sie Sicherheitsbedenken geäußert haben. Dies führt dazu, dass Führungskräfte viermal häufiger auf externen, nicht-genehmigten technischen Support zurückgreifen.
Die Ergebnisse unterstreichen die Notwendigkeit, einer vertrauensvollen Zusammenarbeit zwischen Sicherheitsteams und Führungskräften: „Wenn Führungskräfte bereit sind, Sicherheit gegen Benutzerfreundlichkeit einzutauschen, unterschätzen sie, dass sie ein lukratives Ziel für Bedrohungsakteure sind”, erläutert Daniel Spicer, Chief Security Officer bei Ivanti. „In einem digitalen Arbeitsumfeld ist es unmöglich, alle Risiken vermeiden – aber wenigstens die unnötigen Risiken. Die Herausforderung für Sicherheitsverantwortliche besteht darin, die Unterstützung des Unternehmens bei der Erfüllung von Cyber-Aufgaben einzufordern – insbesondere im Führungsteam. Denn nicht alle Mitglieder der Führungsebene halten Cyber-Hygiene hoch.“
Maßnahmen, um die Lücke im Verhalten von Führungskräften zu schließen, umfassen Audits, die Priorisierung von Abhilfemaßnahmen für die häufigsten Risiken, die Durchführung von „spielerischen“ Sicherheitstrainings und die Implementierung sogenannter „White Glove”-Sicherheitsprogramme. (rhh)