Cybersecurity-Umfrage

Der Chef als Sicherheitsrisiko

16.11.2023

Von

Martin Bayer ist Chefredakteur von COMPUTERWOCHE, CIO und CSO. Spezialgebiet Business-Software: Business Intelligence, Big Data, CRM, ECM und ERP.

Alle Posts des Autors Email: Connect:

Sie teilen ihre Rechner, verwenden unsichere Passwörter und umgehen Sicherheitsmaßnahmen – Führungskräfte können für die Security-Teams ein wahrer Albtraum sein.

Führungskräfte verhalten sich riskanter und stellen damit die Nerven ihrer Security-Mitarbeiter auf eine harte Probe.
Foto: VAKS-Stock Agency - shutterstock.com

Führungskräfte nehmen es in Punkto Cybersecurity offenbar nicht so genau, obwohl gerade Vertreter der C-Level-Ebene in Unternehmen im Visier der Spear-Phishing-, beziehungsweise Whaling-Übeltäter stehen. Das ist das Kernergebnis des Executive Security Spotlight Reports von Ivanti. Der Anbieter von IT-Sicherheitslösungen hat weltweit etwa 6.500 Manager, Cybersecurity-Experten und Büroangestellte zum Thema Sicherheitsverhalten befragt.

Das Problem mit den Chefs: Aufgrund ihrer Führungsaufgaben sind sie häufig mit umfangreichen Zugangsrechten ausgestattet, stellen die Studienautoren fest. Und dort, wo ihnen Berechtigungen fehlen, umgehen sie Sicherheitsvorgaben. Dabei seien sich die CXOs durchaus ihrer exponierten Stellung bewusst. Fast alle erklärten, sie würden den Cybersicherheitsauftrag ihres Unternehmens unterstützen und sich dafür einsetzen. Doch diese Aussage steht in krassem Widerspruch zu ihrem Handeln. Rund die Hälfte der Führungskräfte hat in den zurückliegenden 12 Monaten bei sich im Betrieb beantragt, eine oder mehrere IT-Sicherheitsmaßnahmen umgehen zu dürfen - und dies letztendlich auch durchgesetzt.

Chefs verhalten sich riskanter als der Rest der Belegschaft

Dieses Muster ziehe sich durch die gesamte Erhebung, heißt es in einer Mitteilung von Ivanti. "Sei es aus Zeitmangel, um spezifische Prozesse zu durchlaufen oder aus einem Gefühl der Sonderstellung heraus: Führungskräfte neigen dazu, sich riskanter zu verhalten als der Rest der Belegschaft."

Dafür finden sich in der Studie zahlreiche Belege:

Jede fünfte Führungskraft hat ihr Arbeitspasswort schon einmal mit jemandem außerhalb des Unternehmens geteilt - in Deutschland ist es sogar mehr als jede/r dritte CXO (37 Prozent).
Mehr als drei Viertel (77 Prozent) der CXOs verwenden leicht zu merkende Passwörter, die beispielsweise Geburtstage oder Namen eines Haustiers enthalten.
Die Wahrscheinlichkeit, dass Arbeitsgeräte mit nichtautorisierten Nutzern wie Freunden oder Familienangehörigen geteilt werden, ist bei Führungskräften dreimal höher als bei allen anderen Mitarbeitern. Fast die Hälfte lässt mindestens einmal im Monat Familie oder Freunde das eigene Arbeitsgerät benutzen.
Ein Drittel der Manager hat in den zurückliegenden 12 Monaten auf Arbeitsdateien und Daten zugegriffen, für die eigentlich keine entsprechende Berechtigung vorlag - in Deutschland war es sogar die Hälfte.
Jede vierte Führungskraft nutzt heute noch das gleiche Passwort, das sie ursprünglich bekommen hatte. Bei Büroangestellten liegt dieser Wert nur bei 14 Prozent.

Auf CSO online bleiben Sie immer auf dem Laufenden zu allen IT-Security-Themen

In der Zusammenarbeit zwischen der Chefetage und den Security-Teams in den Unternehmen muss sich also etwas tun. "Wenn Führungskräfte bereit sind, Sicherheit gegen Benutzerfreundlichkeit einzutauschen, unterschätzen sie, dass sie ein lukratives Ziel für Bedrohungsakteure sind", erläutert Daniel Spicer, Chief Security Officer bei Ivanti. In einem digitalen Arbeitsumfeld sei es zwar unmöglich, alle Risiken vermeiden - aber wenigstens die unnötigen Risiken ließen sich vermeiden. Die Herausforderung für IT-Sicherheitsverantwortliche bestehe darin, die Unterstützung des Unternehmens bei der Erfüllung von Cyberaufgaben einzufordern - insbesondere im Führungsteam. "Denn nicht alle Mitglieder der Führungsebene halten Cyberhygiene hoch."

Aktuelle IDG-Studien

Seit der Einführung von ChatGPT beherrscht kein anderes IT-Thema so die Schlagzeilen wie (generative) künstliche Intelligenz. Wir schauen auf Einsatzszenarien, Hintergründe und Folgen.

Mehr zur Studie erfahren
Der Einsatz von No-/Low-Code boomt. Lange dauert es wohl nicht mehr, bis Software-Entwicklung und Prozessmodellierung via grafischer UI das klassische Coding überholen. Mehr in der Studie.

Mehr zur Studie erfahren
Unternehmen rüsten auf: Je komplexer die Gefährdungslage, desto stärker der Bedarf an Security Services. Dazu alles zu Cyberattacken und Gegenmaßnahmen.

Mehr zur Studie erfahren
Hybrid Work: Wer als Arbeitgeber für die jungen Generationen interessant und attraktiv sein will, darf nicht auf eine moderne IT-Infrastruktur und -Arbeitsumgebung verzichten. Mehr in der Studie.

Mehr zur Studie erfahren
Das datengesteurte Unternehmen - Realität oder Hirngespinst? Erst wenige Firmen schaffen es, mithilfe von Daten-Insights neue Geschäftsmodelle auf die Beine zu stellen. Mehr in der Studie.

Mehr zur Studie erfahren
Für knapp neun von zehn Unternehmen kommt künftig eine Migration in die Cloud ohne strategischen Ansatz nicht infrage. Trends und Zahlen rund ums Thema in unserer Studie.

Mehr zur Studie erfahren
Unternehmen wollen energieeffizienter und nachhaltiger werden. Dazu müssen sie aber noch ihre IT-Strategien anpassen und die notwendige Datenbasis schaffen. Mehr dazu in der Studie.

Mehr zur Studie erfahren
Integrationsplattformen sind Drehscheiben für die Vernetzung von Anwendungen im Unternehmen und unterstützen zudem die Prozessautomatisierung. Mehr in der Studie.

Mehr zur Studie erfahren
Die End-to-End-Automatisierung von Geschäftsprozessen stellt einen wichtigen Eckpfeiler der digitalen Transformation der Unternehmen dar. Trends und Zahlen rund ums Thema in unserer Studie.

Mehr zur Studie erfahren
Auch in wirtschaftlich schwierigen Zeiten ist das (IT/Enterprise) Service Management geschäftskritsich - gerade mit Hinblick auf eine stärkere (Prozess-)Automatisierung. Trends und Zahlen dazu in der Studie.

Mehr zur Studie erfahren