Warum Mitarbeitende gegen Cybersecurity-Protokolle verstossen
Einer Studie zufolge verstossen Angestellte aus Angst vor Produktivitätseinbussen gegen Cybersicherheitsprotokolle. Teilweise wollen sie nur ihren Kollegen helfen. Vorsätzlich böswilliges Verhalten ist selten.
Der Mensch wird regelmässig als schwächstes Glied in Sachen IT-Sicherheit identifiziert. Dies gilt umso mehr, seit die pandemische Krise viele Mitarbeitende dazu zwingt, von zu Hause aus zu arbeiten. Allerdings legt eine aktuelle Studie nahe, dass Unternehmen nicht die richtige Einstellung zu den Cyberrisiken haben, die ihre Mitarbeitenden eingehen. Die Studie stammt von Clay Posey, Professor für Informatik an der Brigham-Young-Universität, und Mindy Shoss, Professorin für Psychologie an der Universität von Zentralflorida.
Vorsätzliches, aber nicht böswilliges Verhalten
Die meisten Unternehmen gehen zu Unrecht davon aus, dass Mitarbeitende aus Unwissenheit oder Böswilligkeit gegen IT-Sicherheitsprotokolle verstossen. Dies behaupten die beiden Wissenschaftler in einer Zusammenfassung ihrer Forschung, die in der Harvard Business Review veröffentlicht wurde. Riskantes Verhalten ist zwar in der Regel beabsichtigt, hat aber fast nie das Ziel, dem Unternehmen zu schaden.
Selbstständige Abwägung zwischen Cyberrisiken und Produktivität
Basierend auf einer Umfrage unter 330 Homeoffice-Mitarbeitenden zeigt die Studie, dass Sicherheitsprotokolle regelmässig verletzt werden. Dies liegt daran, dass die Mitarbeitende selbst zwischen Cyberrisiken und Produktivität abwägen müssen. In zwei von drei Fällen werden die Protokolle von den Mitarbeitenden umgangen, weil es ihnen notwendig erscheint, um die Aufgaben besser zu erledigen oder etwas zu bekommen, das sie brauchen. In einem von fünf Fällen liegt die Ursache in einer Form von Uneigennützigkeit und dem Bedürfnis, einem Kollegen bei seiner Arbeit zu helfen. Vorsätzlich böswilliges Verhalten stellt eine verschwindend geringe Minderheit dar.
Stress spielt eine Rolle
Die Studie zeigt auch, dass Mitarbeitende eher wissentlich gegen Sicherheitsprotokolle verstossen, wenn sie sich gestresst fühlen. Ironischerweise sind diese Protokolle einer der Stressfaktoren, die von den befragten Telearbeitenden genannt wurden. Andere Faktoren spielen ebenfalls eine Rolle, wie etwa Konflikte zwischen familiären und beruflichen Anforderungen oder Ängste um die Sicherheit des Arbeitsplatzes.
Protokolle entsprechend anpassen
Abschliessend empfehlen die Autoren der Studie den Firmen, ihre Sensibilisierungsprogramme und Sicherheitsprotokolle entsprechend anzupassen. Letztere sollten stärker die Tatsache berücksichtigen, dass viele Verstösse von Mitarbeitenden aus dem Versuch resultieren, Sicherheit und Produktivität gegeneinander abzuwägen. Ausserdem sollten sie die Stressquellen für ihre Teams identifizieren und reduzieren. Darüber hinaus ist es wichtig, dass sich Mitarbeitende bewusst machen, dass ihr Altruismus in den Augen von Cyberpiraten und Online-Betrügern ein Schwachpunkt ist. Einige ihrer Social-Engineering-Taktiken bestehen darin, sich als hilfsbedürftigen Kollegen auszugeben. Mehr zu Social Engineering erfahren Sie übrigens hier.
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den wöchentlichen Newsletter von Swisscybersecurity.net an. Auf dem Portal gibt es täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.
BSI expandiert nach Italien
Digitalisierung – Game Changer für das Gesundheitswesen?
Datengetriebenes ITSM & AIOps: moderne IT-Herausforderungen beherrschen
Viewsonic lanciert modulares LED-Display-System
Broadcom verärgert europäische VMware-Kunden - schon wieder
Das E-Rezept als Treiber der Digitalisierung
Daten verstehen und managen: Der erste Schritt zur Digitalisierung
Update: Das war die BACS-Kampagne zu Updates und Virenschutz
Dank Nutanix mit klarem Blick in die Zukunft
