Land

Security Blog

Sicherheitsrisiko Digital Natives?

Im Personalwesen und Marketing ist es schon längst selbstverständlich: Die Generation „Y“ hat neue, andere Ansprüche als die Generationen davor. Diese Geburtsjahrgänge von ca. 1980 bis 2000 werden auch als „Millennials“ bezeichnet. Sie wurden durch das Aufwachsen inmitten der Entwicklung von Informationstechnologie geprägt und zeichnen sich dadurch aus, dass sie gegenüber den Generationen zuvor eine andere Herangehensweise an alles, was mit IT zu tun hat, mitbringen. Aus diesem Grund wird diese Generation auch als „Digital Natives“ bezeichnet: Das Internet und soziale Medien waren in wichtigen Phasen ihres Lebens immer präsent, sie sind mit mobiler Kommunikation, Apps und sozialen Medien aufgewachsen. Durch dieses veränderte Umfeld ist das grundlegende Verständnis für Internet und Kommunikation ein anderes.

 

Ist das Verhalten der Generation Y ein unterschätztes IT-Sicherheitsrisiko?

Eine Studie von Censuswide/Centrify befragte 500 Büroangestellte in Deutschland zwischen 18 und 24 Jahren sowie 250 Vorgesetzte von Unternehmen in verschiedenen Größen und Branchen. Das Ergebnis mit dem Fokus auf jüngere Mitarbeiter hat gezeigt, dass mehr als ein Viertel der Teilnehmer nur gelegentlich oder nie Sicherheitsrichtlinien des Arbeitsgebers befolgen. Die Hälfte hat bereits mindestens einmal bestehende Richtlinien nicht befolgt.

Diese Resultate machen einen deutlichen Konflikt zwischen der Vorgabe von Sicherheitsrichtlinien und deren Umsetzung bzw. Einhaltung sichtbar. Die Entwicklung von Vorgaben ist die eine Seite, die Überwachung und Effizienz der Kontrollen und das erforderliche Bewusstsein der Mitarbeiter gänzlich andere. Auch die Überwachung von Geräten aus der Ferne ist oft bei den Teilnehmern bekannt, trägt aber nicht zu einer Veränderung des Online-Verhaltens bei.

 

Werden die Fähigkeiten der „Digital Natives“ überschätzt?

Durch das Aufwachsen inmitten der digitalen Welt scheint diese Selbstverständlichkeit von Internet und Kommunikationsmöglichkeiten auch unerwünschte Folgen anzunehmen: So haben 50% der Befragten angegeben, dass sie zuerst versuchen würden, Probleme mit einem digitalen Gerät selbst zu lösen. Eine oft genannte Lösungsstrategie ist dabei einfach die heruntergeladene App wieder zu löschen. Rund 15% der Befragten haben schon verdächtige E-Mails oder auch Links geöffnet oder sich gleich auf riskanten Websites eingeloggt. Ein solches Verhalten kann gerade bei aktuellen Vorkommnissen wie gefälschten Apps, Identitätsdiebstahl und Ransomware-Attacken fatale Folgen haben.

 

Welche Anpassung von Gegenmaßnahmen ist denkbar?

Eine deutliche und wiederholte Vermittlung von klassischen Themen wie Passwortsicherheit, Attacken über E-Mail und allgemeine Verhaltensregeln für die digitale und physische Welt ist unverzichtbar. Während in bestehenden Schulungen sehr oft nur technische, firmenspezifische Aspekte unabhängig von der Anwendergruppe fokussiert werden, ist es wichtig auch auf die jeweilige Zielgruppe einzugehen. Nicht jeder Mitarbeiter bringt automatisch die Motivation und das Verständnis mit, ein ausgebildeter Sicherheitsexperte zu werden. Statt fixen Regeln wäre es besonders wichtig, das grundlegende Verständnis für das allgemein benötigte Sicherheitsbewusstsein zu fördern. Dazu kann es eben dienlich sein, auch das private Umfeld der Mitarbeiter einzubinden. Neben der Schulung von Vorgaben soll auch erklärt werden, warum technische Vorkehrungen alleine nicht immer wirksam sind. Die Vermittlung von Maßnahmen, die ebenso im privaten Bereich zu treffen und anwendbar sind, kann zu einer Verbesserung des Verständnisses und der Umsetzung von Sicherheitsrichtlinien führen.

Auch Unternehmen müssen umdenken und interne IT-Sicherheitsstrategien weiterentwickeln. Im Brandschutz wir beispielsweise immer von einem möglichen Vorfall ausgegangen, dementsprechende Maßnahmen und Übungen werden präventiv umgesetzt. Analog dazu haben Maßnahmen in der IT-Sicherheit noch einiges aufzuholen. Die Herangehensweise, dass jederzeit ein Vorfall passieren kann, ist oft noch nicht in der Kultur der Unternehmen verankert. Die Vorbereitung und das Training für mögliche Reaktionen stellen einen natürlichen Schritt dar, mit solchen Gefahren aktiver umzugehen.