kaspersky-Training zeigt: Mitarbeiter überschätzen eigene IT-Kenntnisse

Mitarbeiter machen 90 Prozent der Fehler – aber in der Überzeugung, das Richtige zu tun

[datensicherheit.de, 09.09.2020] Mitarbeiter machten 90 Prozent der Fehler im Kontext der Verletzung von IT-Sicherheit – dabei allerdings in der Überzeugung, das Richtige zu tun, meldet kaspersky und beschreibt die Herkunft dieser Erkenntnis: So habe die kostenfreie Security-Schulung von kaspersky und Area 9 Lyceum aktuell ezeigt, dass Mitarbeiter ihr Wissen bezüglich IT-Sicherheit überschätzten. Demnach wurden in zwei Drittel der Fälle (66 Prozent) zwar korrekte Antworten gegeben, jedoch waren in neun von zehn Fällen, in denen die Antwort falsch war, die Mitarbeiter trotzdem weiterhin von ihren Kenntnissen überzeugt. Als schwierigste Lernziele seien der Einsatz von virtuellen Maschinen, Software-Updates und die Gründe zur Nutzung der unternehmensbezogenen IT-Ressourcen im Home-Office identifiziert worden.

kaspersky und Area9 Lyceum: Adaptives Online-Training speziell für Mitarbeiter im Home-Office bereitgestellt

Die „Corona-Pandemie“ habe bei vielen Unternehmen zu einer Umstellung auf „Remote Work“ beziehungsweise den Umzug der Mitarbeiter ins sogenannte Home-Office geführt. Eng damit verknüpft sei eine steigende Anzahl internetbasierter Angriffe, Phishing-Mails mit „COVID-19“-Bezug und einer zunehmenden Schatten-IT. Um Unternehmen weltweit bei der Verbesserung der Security-Kenntnisse ihrer Mitarbeiter zu unterstützen, haben kaspersky und Area9 Lyceum nach eigenen Angaben Anfang April 2020 ein adaptives Online-Training speziell für die im Home-Office arbeitenden Angestellten zur Verfügung gestellt, welches diesbezüglich grundlegendes Cyber-Sicherheitswissen vermitteln soll.
Die Analyse der anonymisierten Lernergebnisse zeige jedoch, dass Mitarbeiter im Home-Office dazu neigten, ihre Kenntnisse hinsichtlich IT-Sicherheit zu überschätzen: „In 90 Prozent der Fälle, in denen die Lernenden eine falsche Antwort wählten, waren sie überzeugt, richtig zu liegen und gaben an: ,Ich weiß es‘ oder ,Ich glaube, ich weiß es‘.“ Dies sei durch die adaptive Lernmethodik aufgedeckt worden, „bei der die Teilnehmer gebeten wurden, den Grad ihres Selbstvertrauens hinsichtlich der Antworten und der Beantwortung der Testfragen zu beurteilen“.

kaspersky hat schwierigstes Lernziel beim Thema „Security Awareness“ identifiziert – den Einsatz virtueller Maschinen

Durch diese Analyse habe kaspersky zudem die schwierigsten Lernziele beim Thema „Security Awareness“ identifizieren können: Als größte Herausforderung sei der Einsatz virtueller Maschinen festgestellt worden. Ganze 60 Prozent der gegebenen Antworten diesbezüglich seien falsch und 90 Prozent der Antwortenden seien in die Kategorie „unbewusste Inkompetenz“ gefallen. „Letzteres bedeutet, dass die Lernenden trotz der falschen Antwort weiterhin überzeugt waren, die richtige Option gewählt zu haben.“
Darüber hinaus seien mehr als die Hälfte der Antworten (52 Prozent) auf Fragen zur Nutzung der unternehmenseigenen IT-Ressourcen aus dem Home-Office (wie beispielsweise Mail-, Messaging-, oder Cloud-Storage-Dienste) inkorrekt gewesen. In 88 Prozent der Fälle seien Remote-Mitarbeiter fälschlicherweise davon ausgegangen, dass sie über ein entsprechendes Wissen zu diesem Thema verfügten. Auch bei der Beantwortung der Frage zur Installation von Software-Updates habe die Fehlerquote bei 50 Prozent gelegen. „In diesem Fall glaubte eine überwältigende Mehrheit von 92 Prozent derer, die falsche Antworten gegeben hatten, dass sie über die erforderlichen Fähigkeiten verfügten.“

kaspersky warnt vor „unbewusster Inkompetenz“ – lang etablierte Gewohnheiten erschweren Veränderung

„Wenn Mitarbeiter keine Gefahr in riskanten Aktionen sehen, wie zum Beispiel die Speicherung sensibler Dokumente im persönlichen Speicher, ist es unwahrscheinlich, dass sie Rat bei der IT- oder IT-Sicherheitsabteilung suchen“, befürchtet Denis Barinov, Leiter der Kaspersky Academy.
Aufgrund von derartigen, lang etablierten Gewohnheiten sei es für Mitarbeiter schwierig, ihr Verhalten zu ändern und die damit verbundenen Cyber-Risiken zu erkennen. Diese „unbewusste Inkompetenz“ stelle eine der „relevantesten Herausforderungen“ dar, die mit ihrem Security-Awareness-Training erkannt und gelöst werden könnten.

Weitere Informationen zum Thema:

kaspersky, 07.09.2020
Working-from-home lessons: employees ‘confidently’ make 90% of all security awareness mistakes

kaspersky SECURELIST, Tatyana Kulikova, Tatyana Sidorina, Tatyana Shcherbakova, 07.08.2020
Spam and phishing in Q2 2020

kaspersky SECURELIST, AMR, 14.05.2020
Research / Cyberthreats on lockdown

kaspersky, 21.04.2020
37,5 Prozent der Datenpannen in Deutschland betreffen Kundeninformationen / Kaspersky erweitert Security-Awareness-Schulungen um kostenfreies Modul zu Remote-Arbeit und neue Inhalte zur DSGVO und vertraulichen Informationen

kaspersky, 2020
How COVID–19 changed the way people work

kaspersky
Kaspersky Adaptive Online Training

datensicherheit.de, 09.07.2020
kaspersky: Neues Geschäftsmodell von Cyber-Kriminellen