Ein Drittel der Arbeitnehmer:innen in Österreich hat bereits selbst eine Cyberattacke erlebt

Der Trend zur Digitalisierung der Wirtschaft ist keine neue Entwicklung. Die Corona-Pandemie hat diese Veränderungsprozesse aber noch einmal beschleunigt. [...]

Foto: Tumisu/Pixabay

Obwohl der überwiegende Teil der Befragten (63 %) noch immer ausschließlich im Büro arbeitet, sind 30 Prozent auch im Home-Office tätig. Fünf Prozent arbeiten vollständig remote. Das Arbeiten von zuhause oder von unterwegs stellt jedoch auch ein Risiko für Cyberangriffe dar, Unternehmen werden dadurch immer verwundbarer: Angesichts von zunehmenden und immer innovativeren Cyberangriffen müssen sie Cybersicherheit oberste Priorität einräumen, um ihre IT-Systeme, ihre Produktion, sensible Daten und in weiterer Folge das Kundenvertrauen zu schützen.

Gründe für die Zunahme der Cyberattacken sind aber auch die ständig wachsende Anzahl der mobilen Endgeräte im privaten und geschäftlichen Umfeld und der damit in Verbindung stehende Anstieg an sensiblen Daten und versendeten E-Mails. 55 Prozent der Arbeitnehmer:innen verwenden die von der Arbeit zur Verfügung gestellten Endgeräte für berufliche und zumindest manchmal auch für private/persönliche Zwecke. 24 Prozent lesen private E-Mails sogar täglich auf ihren Arbeitsgeräten.

Das sind Ergebnisse einer Studie der Prüfungs- und Beratungsorganisation EY Österreich. Dafür wurden über 1.000 Mitarbeiter:innen österreichischer Unternehmen ab 20 Mitarbeiter:innen befragt, die für ihre Arbeit fast immer einen Laptop/Desktop PC benutzen. Untersucht wurden deren Einstellungen, Gewohnheiten und Kenntnisse im Bereich Cybersecurity.

Portraitfoto von Gottfried Tonweber, Leiter Cybersecurity und Data Privacy bei EY Österreich.

„Weltweit steigen die Fälle von Cybercrime, auch Österreich ist davon betroffen. Mitarbeitende sind leider oft das Einfallstor für Cyberattacken, da sie sich meist nicht darüber im Klaren sind, welche Folgen mit dem einen oder anderen Klick verbunden sein könnten. Hacker infiltrieren private Netzwerke und nutzen die Schwachstellen mobiler Arbeitskonzepte aus. Noch dazu sind Mitarbeitende auch teilweise privat am Firmengerät unterwegs oder nutzen den privaten Laptop gelegentlich auch beruflich. Die Awareness unternehmensintern zu schärfen ist daher zentral“ so Gottfried Tonweber, Leiter Cybersecurity und Data Privacy bei EY Österreich.

(Foto: ©EY/Robert Herbst)

Phishing: Häufigstes Risiko für Cybersecurity

Auch in Österreich hat die Zahl der Cyberangriffe inzwischen stark zugenommen. Ein gutes Drittel der Mitarbeitenden (34 %) hat dies bereits selbst miterlebt und Erfahrungen mit einem Cyberangriff gemacht, sei es im beruflichen (20 %) oder im privaten Kontext (19 %). Die häufigsten Arten von Cyberangriffen waren Phishing (62 %), Malware-Downloads (36 %), Social Engineering (26 %) und Ransomware (24 %).

60 Prozent haben jedoch noch keine Berührungspunkte mit Cyberattacken gesammelt. Verdächtige E-Mails hat jedoch beinahe jede:r Mitarbeiter:in bereits erhalten (88 %) – 40 Prozent sogar mehr als 20 Mal. 60 Prozent meinen, Phishing-Versuche mit hoher Wahrscheinlichkeit selbst erkennen zu können.

Portraitfoto von Bernhard Zacherl, Direktor und Experte für Cybersecurity bei EY Österreich

„Über betrügerische E-Mails an vertrauliche Daten zu gelangen, oder Schadsoftware auf einem Computer zu installieren, ist mittlerweile sehr häufig. Phishing zu erkennen wird jedoch immer schwieriger, daher müssen Mitarbeitende besonders vorsichtig sein, um Schaden zu vermeiden“, erklärt Bernhard Zacherl, Direktor und Experte für Cybersecurity bei EY Österreich.

(Foto: ©EY/Christina Häusler

Weniger als die Hälfte der Arbeitgeber:innen schult Mitarbeitende

Die Befragung zeigt zudem, dass sich der überwiegende Teil der Mitarbeitenden im Thema Cybersicherheit gut gerüstet fühlt. Drei Viertel gaben an, sehr gut bzw. eher gut über Cybersecurity informiert zu sein. Insbesondere ist der Anteil jener, die sich sehr gut informiert fühlen, in der Gen Z mit 28 Prozent stark ausgeprägt.

47 Prozent der Befragten beziehen ihr Wissen über Cybersicherheit aus Gesprächen mit Kolleg:innen, Freund:innen und Bekannten. Weniger als die Hälfte der Mitarbeitenden (44 %) erhält diesbezügliche Informationen von ihren Arbeitgeber:innen.

„Mittlerweile gibt es so gut wie kein Unternehmen mehr, das nicht ins Visier von Hackern kommt, Cyberangriffe sind fast an der Tagesordnung. In vielen Fällen sind die Mitarbeitenden das bevorzugte Einfallstor – in vielen Fällen leider auch erfolgreich. Umso wichtiger ist es, dass die Mitarbeiter:innen vom Unternehmen laufend in der Prävention von und dem Umgang mit Cyberangriffen geschult werden. Bei mehr als der Hälfte der Arbeitnehmer:innen gibt es aktuell keine entsprechenden Schulungen, was Cyberkriminellen Tür und Tor öffnen kann“, so Tonweber.

23 Prozent setzen sich täglich oder mehrmals in der Woche im beruflichen Kontext mit Cybersecurity auseinander, 29 Prozent mehrmals im Monat, nur zehn Prozent nie. Privat tun dies nur 16 Prozent täglich oder mehrmals in der Woche, 25 Prozent dafür mehrmals im Monat.

Arbeitsgeräte teils auch für persönliche Zwecke im Einsatz

Häufig bekommen Angestellte von ihrem Arbeitgeber ein Firmenhandy und/oder einen Dienstlaptop zur Verfügung gestellt. 62 Prozent der befragten Mitarbeitenden haben die Erlaubnis ihres Arbeitgebers, private E-Mails auf Dienstgeräten zu lesen, nur 24 Prozent ist dies nicht gestattet.

So lesen sogar 24 Prozent täglich private E-Mails auf Arbeitsgeräten, 18 Prozent tun das mehrmals in der Woche, elf Prozent nur mehrmals im Monat und 22 Prozent noch seltener. Umgekehrt lesen aber auch 24 Prozent der Befragten berufliche E-Mails auf Privatgeräten, 35 Prozent tun das jedoch nie.

Generell nutzt mehr als die Hälfte der Mitarbeitenden die von der Arbeit zur Verfügung gestellten Endgeräte für berufliche und (zumindest manchmal) auch für private/persönliche Zwecke (55 %).

Cybersecurity: 40 Prozent innerhalb der letzten 12 Monate geschult

Auch Schulungen und Workshops für Mitarbeitende tragen dazu bei, die IT-Infrastruktur der Unternehmen zu schützen. Social Engineering Attacken, die ganz bewusst die Schwachstelle Mitarbeiter:in ausnutzen, nehmen zu.

In Trainings zu investieren lohnt sich daher. 40 Prozent der Befragten hatten innerhalb der letzten 12 Monate eine Schulung am Arbeitsplatz. 14 Prozent innerhalb der letzten ein bis zwei Jahre. Die meisten (69 %) lassen diese von einer unternehmensinternen Person, deren Aufgabengebiet den Schutz von Unternehmensdaten umfasst, durchführen. 25 Prozent greifen auf externe Anbieter zurück.

„Viele Betriebe setzen beim Schutz vor Cyberattacken vor allem auf Prävention, wie Schulungen oder regelmäßige Softwareupdates. Um Angriffe frühzeitig zu erkennen, ist es aber auch notwendig, die eigenen Systeme zu modernisieren und technologisch upzudaten“, so Tonweber.

Generell liegt die Verantwortung für den Schutz der Unternehmensdaten laut Einschätzung der Befragten vor allem bei der IT-Abteilung (63 %), aber auch bei jeder:m Mitarbeitenden des Unternehmens selbst (62 %). Mitarbeitende sehen auch Beauftragte für Informationssicherheit im Unternehmen in der Pflicht (29 %), Geschäftsführer:innen (24 %) bzw. Betriebsleiter:innen (19 %) oder die Personalabteilung (15 %).

Mitarbeitende verwenden sichere Passwörter als Schutz vor Cyberattacken – Multi-Faktor-Authentifizierung selten

Durch das steigende Bedrohungspotenzial investieren Unternehmen zunehmend in die technische IT-Sicherheit und halten Mitarbeitende an, Vorsichtsmaßnahmen zu treffen. 71 Prozent der Befragten schützen sich, in dem sie ihr Gerät privat und beruflich auf dem neuesten Software-Stand halten.

Nur fünf Prozent schieben obligatorische Software-Aktualisierungen so lange wie möglich auf. Vorsicht ist aber auch beim Öffnen verdächtiger Web-Inhalte geboten: 86 Prozent achten in der Arbeit wie im Privaten darauf. Auch Anti-Phishing Software kommt bei vielen zum Einsatz, ebenso das Verschlüsseln von Daten.

80 Prozent verwenden beruflich und privat auch sichere Passwörter. 47 Prozent der Befragten verwenden für jedes ihrer Konten oder Logins verschiedene Passwörter. Ein Drittel verwendet jedoch dasselbe Passwort für mehr als ein privates Konto (32 %), 15 Prozent nutzen dasselbe Passwort mehrmals für berufliche Accounts. Ein kleiner Prozentsatz (11 %) verwendet sogar dasselbe Passwort für berufliche und private Konten gleichzeitig.

Die überwiegende Mehrheit verwendet ein Passwort, um sich bei Arbeitsgeräten zu authentifizieren (82 %). Einige nutzen auch Smartphone-Applikation (20 %), Daumenabdruck (11 %) oder Gesichtserkennung (8 %). Die Multi-Faktor-Authentifizierung ist jedoch ausbaufähig: 21 Prozent nutzen sie beruflich, 26 Prozent verwenden privat eine Multi-Faktor-Authentifizierung.

Sie sehen gerade einen Platzhalterinhalt von YouTube. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.

Mehr Informationen
Ein schneller Refresher dazu, was MFA wirklich ist und was es im generellen umfasst von IBM.

Mitarbeitende: Unternehmen für Cyberattacken großteils gerüstet

Cybercrime-Fälle wachsen, nichtsdestotrotz sind 24 Prozent der Mitarbeitenden der Meinung, dass ihr Unternehmen voll und ganz für den Fall eines Cyberangriffs gerüstet ist. 41 Prozent stimmen eher zu.

Rund ein Drittel glaubt, dass ihr Unternehmen teilweise anfällig für einen Cyberangriff ist (32 %), 35 Prozent sind eher nicht der Meinung. Bei einem Verstoß gegen die Cybersicherheit würden drei Viertel zuerst die IT-Abteilung kontaktieren (75 %), 41 Prozent kontaktieren den direkten Vorgesetzten oder fragen Kolleg:innen um Rat. Sieben Prozent versuchen, die Situation selbst in den Griff zu bekommen.

56 Prozent nehmen Cybersecurity auf privaten Endgeräten und auf den Endgeräten, welche von der Arbeit zur Verfügung gestellt werden, zudem gleich ernst. 22 Prozent nehmen den Schutz persönlicher Geräte ernster als auf jenen, die von der auf Arbeit zur Verfügung gestellt werden.


Mehr Artikel

News

Public Key Infrastructure: Best Practices für einen erfolgreichen Zertifikats-Widerruf

Um die Sicherheit ihrer Public Key Infrastructure (PKI) aufrecht zu erhalten, müssen PKI-Teams, sobald bei einer Zertifizierungsstelle eine Sicherheitslücke entdeckt worden ist, sämtliche betroffenen Zertifikate widerrufen. Ein wichtiger Vorgang, der zwar nicht regelmäßig, aber doch so häufig auftritt, dass es sich lohnt, PKI-Teams einige Best Practices für einen effektiven und effizienten Zertifikatswiderruf an die Hand zu geben. […]

News

UBIT Security-Talk: Cyberkriminalität wächst unaufhaltsam

Jedes Unternehmen, das IT-Systeme nutzt, ist potenziell gefährdet Opfer von Cyberkriminalität zu werden, denn die Bedrohung und die Anzahl der Hackerangriffe in Österreich nimmt stetig zu. Die Experts Group IT-Security der Wirtschaftskammer Salzburg lädt am 11. November 2024 zum „UBIT Security-Talk Cyber Defense“ ein, um Unternehmen in Salzburg zu unterstützen, sich besser gegen diese Bedrohungen zu wappnen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*