Homeoffice: Nicht überall mehr Sicherheitsvorfälle
Mit Beginn der Corona-Pandemie haben Unternehmen ihren Mitarbeiter:inne:n zunehmend Homeoffice und mobiles Arbeiten ermöglicht. Vielfach haben Meldungen suggeriert, dass es eine gestiegene Zahl von Cyberangriffen gab, die besonders mit der kurzfristig organisierten, dezentralen Arbeitsweise zusammenhingen.
Um das näher zu ergründen hat Techconsult im Auftrag von Sophos Anfang Oktober 200 Unternehmensvertreter:innen kleiner, mittelständischer und großer deutscher Unternehmen aus Industrie, Banken und Versicherungen, Dienstleistungen, Handel, Telekommunikation und Versorgung sowie Non-Profit-Organisationen und öffentlicher Verwaltung befragt, ob sie eine höhere Anzahl von Cyberattacken verzeichnet haben, wie
groß die Steigerung war und ob diese in direktem Zusammenhang mit der Arbeit der Beschäftigen im Homeoffice zu bringen ist.
Das (überraschende) Ergebnis lautet: So schlimm wie angenommen waren die Auswirkungen der verbreiteten Homeoffice-Nutzung offenbar doch
nicht, kommentiert Sophos. Zumindest gelte das hinsichtlich der Zahl sicherheitsrelevanter Vorfälle – betrachtet man aber Kosten, Arbeitsintensität und -aufwand zeige sich ein anderes Bild.
Die in der Studie befragten Unternehmen bestätigten zwar, dass mancherorts mehr Sicherheitsvorfälle registriert und von den IT-Teams bearbeitet
werden mussten – jedoch in weit geringerer Zahl als es angesichts der nachweislich angestiegenen Menge von Cyberattacken zu vermuten gewesen wäre. Nur 12 % der IT-Verantwortlichen verzeichneten demnach eine deutliche Steigerung der Sicherheitsvorfälle, 30 % stellten lediglich eine geringe Zunahme fest. Den somit insgesamt 42 %, die mehr Sicherheitsvorfälle als vor der Homeoffice-Regelung zu bewältigen hatten, stehen ganze 48 % gegenüber, die sagen: „Alles wie gehabt, die Zahl der Vorfälle blieb konstant.“ Und 10 % der Befragten haben sogar weniger sicherheitsrelevante Vorfälle registriert.
Was die Art der Vorfälle betrifft, so waren die mit Abstand am häufigsten genannten Ursachen hierfür auf Spam- (bei 77 %) und Phishing-Attacken (bei 59 %) zurückzuführen – immerhin 10 % der Befragten hatten mit Ransomware zu kämpfen (Mehrfachantworten – siehe auch Abbildung).
Vor dem Hintergrund anderslautender Schlagzeilen mag diese geringe Steigerung verwundern. Sophos bietet als Erklärung an, dass gleichzeitig die aufgewendeten Kosten für IT-Sicherheit sowie die Komplexität der Aufgaben gestiegen seien – und damit womöglich auch der Schutz vor den Cyberkriminellen.
Immerhin hätten 60 % der Befragten angegeben, dass ihr finanzieller Aufwand für IT-Sicherheit während der pandemiebedingten Homeoffice-Zeit
gestiegen sei – weitere 7 % sagten sogar, dass ihre Kosten geradezu explodiert wären.
Die verteilten Strukturen durch mobiles Arbeiten der Beschäftigten hatten für die meisten IT-Teams offenbar deutliche Auswirkungen auf Inhalt
und Pensum ihrer Arbeit: Nur gut ein Viertel (27 %) der Befragten sah Aufwand und Aufgaben in der IT-Sicherheit trotz der neuen Situation als unverändert an. Bei 31,5 % kamen der Studie zufolge neue Aufgabenbereiche hinzu, 17,5 % verzeichneten eine höhere Intensität bei der Bewältigung ihrer Aufgaben und 24,5 % gaben an, sowohl deutlich mehr zu tun gehabt zu haben als auch mit neuen Herausforderungen konfrontiert gewesen zu sein. Letzteres bestätigen allem voran Organisationen aus den Bereichen Banken und Versicherungen.
All dies könne darauf hindeuten, dass für das flächendeckende Ausbleiben massiver Steigerungen bei Sicherheitsvorfällen – zumindest auch – investierte Geldmittel und Mehraufwand ursächlich waren, folgert Sophos.
Als weitere Erkenntnisse der Studie meldet das Unternehmen: Dort, wo vermehrt Sicherheitsvorfälle auftraten, seien diese von etwas mehr als der
Hälfte der befragten Unternehmen intern mit dem eigenen IT-Team gelöst worden – nur 26,5 % nahmen die Unterstützung externer IT-Dienstleister
in Anspruch. Neue technische Lösungen seien bei 36 % der Befragten in der Homeoffice-Situation zum Einsatz gekommen, 4 % nahmen „Security as a Service“ (SaaS) in Anspruch. (www.sophos.de)