Auf der wöchentlichen Agenda steht die Einführung eines neuen digitalen Arbeitstools, die Tage sind vollgepackt mit Zoom-Meetings – und dazwischen müde Gesichter. „Security Fatigue“ lautet die Diagnose eines Phänomens, das für Unternehmen aktuell ein zunehmendes Problem darstellt. Was hat es damit auf sich und wie lässt sich der Fatigue entgegenwirken?
Online-Shopping, soziale Netzwerke, Streaming-Dienste und mehr: Um die 20 Online-Accounts besitzt jede/r Deutsche laut Umfrage des BSI, Stand März 2020. Seit Beginn der Pandemie dürfte diese Zahl allerdings stark zugenommen haben, insbesondere auch durch die Digitalisierung des (Home)office. Einher geht das digitale Umrüsten am Arbeitsplatz mit neuen Anforderungen an IT-Sicherheit und Datenschutz. Gleichzeitig werden viele Mitarbeitende bezüglich der Umsetzung von Sicherheitsmaßnahmen nachlässiger. Dies spiegelt auch das Ranking der beliebtesten Passwörter wider: 123456, passwort und ichliebedich zählen immer noch zu den All-Time-Favourites.
Was ist Security Fatigue?
Wir haben ein Sicherheitsproblem und es trägt den Namen „Security Fatigue“
Der Begriff beschreibt eine sozio-emotionale Reaktion auf die neue Flut an Datenschutzrichtlinien, Sicherheitsbestimmungen und digitalen Warnmeldungen. Es ist ein Erschöpfungszustand, aus dem eine Desensibilisierung für das Thema Cybersicherheit resultiert.
EXTRA: Cyber-Security: Was ist es und warum ist es wichtig?
Leiden Mitarbeitende unter Security Fatigue, sind sie leichter dazu geneigt, Risiken für den Schutz von IT und Unternehmensinformationen einzugehen. So wählen sie anstelle eines sicheren Passwortes eines, das sie sich leichter merken können und bereits für mehrere Zugänge verwenden. Sie ignorieren Sicherheitsrichtlinien und schaffen bequeme Workarounds oder fallen Phishing-Angriffen schneller zum Opfer. Dieses Verhalten kann gravierende Konsequenzen für Unternehmen haben: Auf Datenverlust, Systemausfall oder Informationsdiebstahl folgen finanzielle Schäden, hohe Aufwände zur Schadensbehebung sowie Imageverluste, die Existenzen bedrohen können.
Mit Scheuklappen durch den digitalen Wald
Ursachen für die Verbreitung der Sicherheitsmüdigkeit am Arbeitsplatz liegen unter anderem in der Überfülle an genutzten Onlinediensten und Softwarelösungen, aber auch an der medialen Berichterstattung. Meldungen zu Ransomware-Angriffen und Datenpannen sind längst Alltag geworden. Es schleicht sich eine gewohnheitsmäßige Ignoranz ein oder auch ein Gefühl der Hilflosigkeit: Wen es trifft, den trifft es. Können wir uns als Unternehmen überhaupt noch schützen? Die Antwort ist ja – Cyberangriffe lassen sich zwar nicht immer unterbinden, Folgeschäden durch die richtige Prävention aber deutlich minimieren.
Sicherheitschaos im Homeoffice
Der Digitalisierungsschub des letzten Jahres hat nicht nur die Mobilität an vielen Arbeitsplätzen gefördert, sondern auch ihre Angriffsflächen für Cyberkriminelle ausgeweitet. Wenn keine Firmengeräte für die Nutzung im Homeoffice zur Verfügung stehen, wird oftmals auf private Geräte ausgewichen, die den Sicherheitsanforderungen nicht gerecht werden. Etwa jede/r Fünfte hat arbeitsbezogene Passwörter seit Beginn der Pandemie bereits mit MitbewohnerInnen, Familie und anderen geteilt.
Vorkehrungen wie verschlüsselte Netzwerke und Zwei-Faktor-Authentifizierung bieten Schutz vor ungewolltem Zugriff auf sensible Informationen.
Es bleibt die Schwachstelle Mensch. Denn die Hälfte aller erfolgten Sicherheitsvorfälle wird durch nachlässiges Verhalten verursacht. Fallen direkte AnsprechpartnerInnen und geschützte Infrastruktur des Büros weg, sind Menschen und IT-Sicherheit im Homeoffice noch verletzlicher. Gleichzeitig sorgen die neuen Arbeitsbedingungen bei vielen für Unsicherheit, nahezu jede/r Zweite fühlt sich am Arbeitsplatz zu Hause nicht ausreichend über Cyberrisiken und Datensicherheit informiert.
IT-Sicherheit stärken
Security Fatigue ist also ein komplexes Problem, dem vor allem durch zwei Dinge entgegengesteuert werden kann: Awareness und Benutzerfreundlichkeit. Ob am mobilen Arbeitsplatz oder im Büro – ein transparenter Wissenstransfer und eine regelmäßige Sensibilisierung aller Mitarbeitenden bilden die wichtigste Grundlage für aufmerksame Entscheidungen im Hinblick auf IT-Sicherheit und Datenschutz. Fragen wie „Wer liest mit in der Chatgruppe?“ oder „Könnte das eine Phishingmail sein?“ sollten auch bei aller Routine nicht aus den Augen gelassen werden.
EXTRA: Cyber Security Awareness: 5 Tipps, wie du deine Mitarbeiter sensibilisierst
So weit, so gut. Die Kluft zwischen dem Wissen und seiner tatsächlichen Umsetzung bleibt jedoch nicht selten groß. Aufgabe von ArbeitgeberInnen sollte es daher sein, Mitarbeitende zu entlasten und ihren Stress zu reduzieren, indem sie im Arbeitsalltag so wenige Sicherheitsentscheidungen treffen müssen wie möglich. Das bedeutet auch: Die Auswahl an digitalen Tools limitieren und auf gute Usability achten. Und für das altbewährte Passwort-Problem: zum Beispiel einen Passwortmanager einführen, das erspart auf beiden Seiten Sorgen.
Man muss jetzt aber auch nicht alles auf die Pandemie schieben. Auch schon zuvor sind viele Unternehmen und Mitarbeiter ziemlich lax mit der Sicherheit umgegangen. Frei nach dem Motto: „Wer sollte uns denn angreifen?“ Es ist doch schon ein Unding, dass die technischen Sicherheitseinstellungen Ransomware-Attacken in Firmen überhaupt möglich machen. Ich kann bei mir alles so oft anklicken, bis der Arzt kommt. Da passiert nichts.