Foto: VAKS-Stock Agency - shutterstock.com
Führungskräfte nehmen es in Punkto Cybersecurity offenbar nicht so genau, obwohl gerade Vertreter der C-Level-Ebene in Unternehmen im Visier der Spear-Phishing-, beziehungsweise Whaling-Übeltäter stehen. Das ist das Kernergebnis des Executive Security Spotlight Reports von Ivanti. Der Anbieter von IT-Sicherheitslösungen hat weltweit etwa 6.500 Manager, Cybersecurity-Experten und Büroangestellte zum Thema Sicherheitsverhalten befragt.
Das Problem mit den Chefs: Aufgrund ihrer Führungsaufgaben sind sie häufig mit umfangreichen Zugangsrechten ausgestattet, stellen die Studienautoren fest. Und dort, wo ihnen Berechtigungen fehlen, umgehen sie Sicherheitsvorgaben. Dabei seien sich die CXOs durchaus ihrer exponierten Stellung bewusst. Fast alle erklärten, sie würden den Cybersicherheitsauftrag ihres Unternehmens unterstützen und sich dafür einsetzen. Doch diese Aussage steht in krassem Widerspruch zu ihrem Handeln. Rund die Hälfte der Führungskräfte hat in den zurückliegenden 12 Monaten bei sich im Betrieb beantragt, eine oder mehrere IT-Sicherheitsmaßnahmen umgehen zu dürfen - und dies letztendlich auch durchgesetzt.
Chefs verhalten sich riskanter als der Rest der Belegschaft
Dieses Muster ziehe sich durch die gesamte Erhebung, heißt es in einer Mitteilung von Ivanti. "Sei es aus Zeitmangel, um spezifische Prozesse zu durchlaufen oder aus einem Gefühl der Sonderstellung heraus: Führungskräfte neigen dazu, sich riskanter zu verhalten als der Rest der Belegschaft."
Dafür finden sich in der Studie zahlreiche Belege:
Jede fünfte Führungskraft hat ihr Arbeitspasswort schon einmal mit jemandem außerhalb des Unternehmens geteilt - in Deutschland ist es sogar mehr als jede/r dritte CXO (37 Prozent).
Mehr als drei Viertel (77 Prozent) der CXOs verwenden leicht zu merkende Passwörter, die beispielsweise Geburtstage oder Namen eines Haustiers enthalten.
Die Wahrscheinlichkeit, dass Arbeitsgeräte mit nichtautorisierten Nutzern wie Freunden oder Familienangehörigen geteilt werden, ist bei Führungskräften dreimal höher als bei allen anderen Mitarbeitern. Fast die Hälfte lässt mindestens einmal im Monat Familie oder Freunde das eigene Arbeitsgerät benutzen.
Ein Drittel der Manager hat in den zurückliegenden 12 Monaten auf Arbeitsdateien und Daten zugegriffen, für die eigentlich keine entsprechende Berechtigung vorlag - in Deutschland war es sogar die Hälfte.
Jede vierte Führungskraft nutzt heute noch das gleiche Passwort, das sie ursprünglich bekommen hatte. Bei Büroangestellten liegt dieser Wert nur bei 14 Prozent.
Auf CSO online bleiben Sie immer auf dem Laufenden zu allen IT-Security-Themen
In der Zusammenarbeit zwischen der Chefetage und den Security-Teams in den Unternehmen muss sich also etwas tun. "Wenn Führungskräfte bereit sind, Sicherheit gegen Benutzerfreundlichkeit einzutauschen, unterschätzen sie, dass sie ein lukratives Ziel für Bedrohungsakteure sind", erläutert Daniel Spicer, Chief Security Officer bei Ivanti. In einem digitalen Arbeitsumfeld sei es zwar unmöglich, alle Risiken vermeiden - aber wenigstens die unnötigen Risiken ließen sich vermeiden. Die Herausforderung für IT-Sicherheitsverantwortliche bestehe darin, die Unterstützung des Unternehmens bei der Erfüllung von Cyberaufgaben einzufordern - insbesondere im Führungsteam. "Denn nicht alle Mitglieder der Führungsebene halten Cyberhygiene hoch."