As of April 1, 2024, all Ivanti operations in your region will be assumed by IVM EME. For sales questions please visit https://www.ivmeme.com
Sicherung der digitalen Mitarbeitererfahrung
Ivantis Forschungsreport-Reihe zum Stand der Cybersicherheit
Starre Sicherheitsprotokolle – wie komplexe Authentifizierungsverfahren und sehr restriktive Zugangskontrollen – können Mitarbeitende frustrieren, die Produktivität verlangsamen und dazu führen, dass auf sicherheitskritische Bypass-Lösungen ausgewichen wird. Untersuchungen von Ivanti zeigen, wie man das richtige Gleichgewicht findet.
Bei Cybersicherheitsstrategien wird die Benutzererfahrung oft vernachlässigt.
Ein guter Anfang:
Mehr als die Hälfte der Cybersicherheitsfachleute (57 %) gibt an, dass die Benutzererfahrung (UX) in ihrem Unternehmen „sehr gut“ oder „ausgezeichnet“ ist.
Aber immer noch eine niedrige Priorität:
Dennoch bestätigen nur 13 % der von uns befragten Sicherheitsexperten, dass die Benutzerfreundlichkeit als erfolgskritische Priorität bei der Einführung von Cybersicherheitstechnologien angesehen wird.
Ist es tatsächlich möglich, eine leistungsstarke Sicherheits-UX zu erreichen, wenn ein Unternehmen ihr keine hohe Priorität einräumt?
Warum dies wichtig ist
Wenn Unternehmen die Sicherheits-UX vernachlässigen und von ihren Mitarbeitenden erwarten, umständliche Tools zu nutzen, kann dies dazu führen, dass sicherheitskritische Bypass-Lösungen verwendet werden.
Jeder zweite Büroangestellte gibt an, private Geräte zu nutzen, um sich in Arbeitsnetzwerke und -software einzuloggen – und davon geben 32 % zu, dass ihre Arbeitgeber nicht darüber informiert sind.
Was sind die Ursachen für sicherheitskritisches Verhalten? Die meisten Mitarbeitenden greifen nicht aus böser Absicht auf nicht zugelassene Geräte und Software zurück, sondern weil diese oft benutzerfreundlicher und zuverlässiger sind. In vielen Fällen sehen sie auch keine andere praktikable Möglichkeit, um ihre Arbeit effizient zu erledigen.
Unternehmen sollten Maßnahmen ergreifen, um das Verhalten ihrer Mitarbeitenden am Arbeitsplatz – sowohl gutes als auch schlechtes – besser zu verstehen und eine Arbeitsumgebung zu schaffen, die Spannungen, Frustration und sicherheitsgefährdendes Verhalten minimiert.
Bei der Sicherheits-UX geht es darum, Aktionen und Workflows so zu gestalten, dass sie sich nahtlos in die bevorzugte Arbeitsweise der Mitarbeitenden integrieren und es ihnen ermöglichen, Entscheidungen effizient zu treffen und umzusetzen. Es ist eine Gratwanderung: Wir müssen ein starkes Monitoring und Kontrollen einrichten, um das Unternehmen zu schützen, während wir gleichzeitig sicherstellen, dass diese Maßnahmen keine unnötigen Hürden oder Verzögerungen verursachen.
Das Risiko einer mangelhaften Sicherheitshygiene – wie sicherheitskritische Bypass-Lösungen oder die Nutzung nicht zugelassener Geräte – wird mit der rasch zunehmenden Verbreitung generativer KI deutlich steigen.
Die Akzeptanz von KI-gesteuerten Technologien nimmt rasant zu. Laut dem Microsoft 2024 Work Trend Index hat sich der Anteil der globalen Wissensarbeitenden, die generative KI nutzen, innerhalb von nur sechs Monaten nahezu verdoppelt und liegt nun bei 75 %.
Dennoch reagieren die meisten Unternehmen nicht schnell genug, um die Risiken im Zusammenhang mit KI zu minimieren.
81 %
der Büroangestellten berichten, dass sie keine Schulung im Umgang mit generativer KI erhalten haben.
32 %
der Sicherheits- und IT-Fachleute verfügen über keine dokumentierte Strategie für den Umgang mit Risiken im Zusammenhang mit der generativen KI.
Warum dies wichtig ist
Wenn Mitarbeitende einen unkontrollierten Zugang zu allen KI-Tools und anderen fortschrittlichen Technologien haben, können die negativen Auswirkungen erheblich sein:
Cyberbedrohungen: Nicht zugelassene KI-Tools – ähnlich wie jede andere Form von Schatten-IT – bergen erhebliche Risiken, da sie die Angriffsfläche des Unternehmens erweitern, ohne von der Sicherheitsabteilung kontrolliert zu werden. Dadurch können unbekannte Schwachstellen entstehen, die die gesamte Sicherheitslage eines Unternehmens gefährden.
Datenschutz und Compliance: Mitarbeitende könnten versehentlich sensible Unternehmens- oder Kundendaten in generative KI-Tools eingeben, was erhebliche Sicherheits- und Datenschutzrisiken zur Folge haben könnte. Wenn diese Daten auf externen Servern gespeichert oder verarbeitet werden, liegen sie außerhalb der Kontrolle des Unternehmens und sind anfällig für Datenschutzverletzungen sowie Verstöße gegen Datenschutzgesetze wie GDPR oder HIPAA.
Urheberrechte: Mitarbeitende könnten auf Datensätze Dritter, die urheberrechtlich geschütztes Material enthalten, zugreifen und diese verwenden, was zu rechtlichen Problemen führen kann.
Untersuchungen von Ivanti zeigen, dass 15 % der Büroangestellten, die KI bei der Arbeit nutzen, auf nicht zugelassene Tools zurückgreifen – eine Zahl, die vermutlich weiter steigen wird. All dies sind fahrlässige Fehler von Mitarbeitenden, die durch angemessene Schulungen, Monitoring und einen gut durchdachten Technologiestack deutlich reduziert werden können.
03
Absicherung von Everywhere Work
Aktuelles Problem
Die Mitarbeitenden möchten orts- und zeitunabhängig arbeiten. Dennoch bieten viele Unternehmen noch immer nicht die notwendigen Tools und Verfahren, um das Konzept des Everywhere Work sowohl produktiv als auch sicher umzusetzen.
Warum dies wichtig ist
Everywhere Work ist kein vorübergehender Zustand. Selbst Unternehmen, die ihre Angestellten wieder öfter im Büro sehen wollen und deshalb Remote-Arbeit einschränken, müssen ihren Mitarbeitenden Technologien und Workflows bereitstellen, die ihr Engagement und ihre Produktivität fördern und für Sicherheit sorgen – unabhängig davon, wo diese ihre Arbeit erledigen.
In den jährlichen Studien von Ivanti beobachten wir eine Veränderung in der Wahrnehmung von Remote-Arbeit seitens der Chef-Etage, wobei immer mehr Führungskräfte ihre Mitarbeitenden wieder im Büro sehen möchten.
Im Jahr 2024 sind 60 % der Manager davon überzeugt, dass Mitarbeitende im Büro sein müssen, um produktiv zu sein, verglichen mit 44 % im Vorjahr.
Auch wenn Arbeitgeber ihre Mitarbeitenden zur Rückkehr ins Büro drängen, bedeutet dies nicht, dass Remote-Arbeit keine Priorität mehr hat oder kein Thema mehr ist.
Ihre Mitarbeitenden nehmen möglicherweise abends Arbeitsgeräte mit nach Hause, loggen sich unterwegs in Telefonkonferenzen ein oder greifen über ihre privaten Telefone auf Arbeitsanwendungen zu. Unabhängig davon, ob die Hälfte Ihrer Mitarbeitenden remote arbeitet oder nur ein kleiner Teil, muss das Unternehmen sicherstellen, dass alle Arbeitsweisen unterstützt werden – auch die unkonventionellen und weniger üblichen.
Sicherheitsverantwortliche werden oft nicht in Entscheidungen über Investitionen in die digitale Mitarbeitererfahrung (DEX) einbezogen.
Nur 38 % der Unternehmen beziehen den CISO in die Strategie, Investitionen und Planung der DEX ein. Und das, obwohl DEX-Tools einen wichtigen Beitrag zur Verbesserung der Sicherheit leisten können.
DEX-Tools können Sicherheitsmaßnahmen proaktiv automatisieren, ohne die täglichen Workflows der Mitarbeitenden zu unterbrechen. So können Unternehmen beispielsweise Geräte auf Nichtkonformität scannen und die Behebung routinemäßiger Cyberhygiene-Probleme automatisieren – und das alles, ohne dass die User eingreifen oder zusätzlichen Aufwand betreiben müssen.
Warum dies wichtig ist
Mitarbeitende werden Sicherheitsmaßnahmen, die umständlich, verwirrend oder ineffizient sind, wahrscheinlich nicht befolgen. Die Investition in die richtigen Tools kann Abhilfe schaffen.
Eine DEX-orientierte Sicherheit minimiert die Notwendigkeit für Mitarbeitende, ihre gewohnten Verhaltensweisen am Arbeitsplatz zu ändern. Die Studie von Ivanti zeigt, dass 96 % der Führungskräfte und 93 % der Sicherheitsexperten überzeugt sind, dass die Priorisierung der digitalen Mitarbeitererfahrung einen positiven Einfluss auf die Cybersicherheitsstrategien eines Unternehmens hat.
Derzeit geben die meisten Sicherheitsexperten (89 %) an, dass sie in die richtigen sicherheitsrelevanten UEM-Tools zur Automatisierung ihrer Sicherheitspraktiken investiert haben. Neben den richtigen Tools ist sicherlich auch eine Veränderung im Denken erforderlich.
CISOs müssen aktiv an der Schaffung und Gewährleistung einer positiven Erfahrung beteiligt sein – und wir beobachten, dass moderne CISOs die digitale Mitarbeitererfahrung (DEX) sehr ernst nehmen. Sicherheit ist weitaus mehr als nur eine Sammlung von Tools und Verfahren. Sie bedeutet Teamarbeit. Diese Erkenntnis erfordert einen erheblichen Kultur- und Mentalitätswandel.
Fachleute teilen ihre Erkenntnisse darüber, wie Unternehmen ein Gleichgewicht zwischen hoher Sicherheit und einer reibungslosen Benutzererfahrung schaffen können.
Verstehen Sie die bevorzugten Verhaltensweisen Workflows Ihrer Mitarbeitenden
Viele CISOs konzentrieren sich so stark auf die Sicherheit, dass sie die Benutzererfahrung übersehen und zu komplexe Authentifizierungsprozesse, sehr restriktive Zugangskontrollen oder andere wenig benutzerfreundliche Maßnahmen implementieren. Und wenn Mitarbeitende auf technische Schwierigkeiten stoßen oder mit den vorgegebenen Tools nicht zurechtkommen, suchen sie nach einem eigenen Workaround.
CISOs sollten sich die Zeit nehmen, die Arbeitsgewohnheiten, Workflows und bevorzugten Tools der Mitarbeitenden zu verstehen – bevor das Unternehmen in neue Sicherheitstechnologien investiert. Auf diese Weise werden neue Investitionen in Sicherheitstools und -maßnahmen besser mit den Arbeitsgewohnheiten der Mitarbeitenden in Einklang gebracht und führen zu höherer Akzeptanz. Letztlich fördert eine positive Benutzererfahrung (UX) eine starke Sicherheit.
Entwickeln Sie klare Richtlinien für den Einsatz von generativer KI
Um potenzielle Sicherheitsrisiken beim Einsatz von generativer KI zu vermeiden, müssen die Mitarbeitenden umfassend geschult werden – nicht nur in der Nutzung der Tools, sondern auch dazu, welche Art von Daten für den Einsatz mit diesen Tools geeignet ist. Die Mitarbeitenden müssen sowohl das Tool selbst als auch den Ort, an dem die Daten gespeichert und verarbeitet werden, genau verstehen bzw. kennen.
Zunächst müssen Unternehmen entscheiden, welche KI-Tools sie ihren Mitarbeitenden zur Verfügung stellen möchten. Zweitens müssen klare Richtlinien und Grundsätze festgelegt werden, welche Art von Daten in diese Tools importiert und innerhalb dieser Tools verwendet werden dürfen. Sensible Unternehmens-, Kunden- oder persönliche Mitarbeiterdaten sollten niemals in ein KI-Tool eingegeben werden, das nicht vom Unternehmen überwacht wird. Die Speicherung von Daten außerhalb des Unternehmens kann zu erheblichen Problemen führen, darunter Datenschutzverletzungen und Verstöße gegen gesetzliche Vorschriften.
Nutzen Sie proaktive Automatisierung, um Unterbrechungen von Workflows zu vermeiden
Die beste Sicherheitsinteraktion ist, gar keine manuell ausführen zu müssen. Idealerweise möchten Sie die Interaktionen und die Beteiligung der User an den Cybersicherheitstools so gering wie möglich halten. Wenn Menschen Sicherheitskontrollen und -tools umgehen, entstehen unerwünschte Folgen und Risiken für das Unternehmen. Fragen Sie den User nicht: „Möchten Sie ein Update durchführen?“ Integrieren Sie stattdessen Automatisierungen und stellen Sie Updates proaktiv und automatisch im Hintergrund bereit, ohne den User zu involvieren. Dies ist ein einfaches Beispiel, aber es verdeutlicht, wie Sicherheit in die täglichen Workflows integriert und bis zu einem gewissen Grad unsichtbar sein sollte.
Menschliche Überwachung ist nicht mehr notwendig. Die zentrale Herausforderung bei der Nutzung von generativer KI und modernen Automatisierungstools besteht darin, manuelle Tätigkeiten, Interaktionen und Beteiligung der User in alltäglichen Arbeitsprozessen zu minimieren.
Dezentralisieren Sie Ihre Sicherheitsstrategie
Hybridarbeit und Everywhere Work sind heute Realität. Wie können wir sicherstellen, dass unsere Assets sicher bleiben – unabhängig davon, wo unsere Mitarbeitenden arbeiten? Ihre Sicherheitsstrategie muss mehr als nur Ihre physischen Arbeitsplätze und Geräte vor Ort umfassen. Sie muss Ihre erweiterte Angriffsfläche überall dort einbeziehen, wo Ihre Geräte mit einem Netzwerk interagieren. Angesichts dessen gewinnen Technologien wie SASE und Zero Trust zunehmend an Bedeutung. Wir können es uns nicht leisten, unser Unternehmen nur lokal zu sichern, sondern müssen auch netzwerkübergreifend, in der Cloud und auf dezentralen Geräten im Rechenzentrum entsprechend aufgestellt sein.
Binden Sie CISOs in die DEX-Strategie und -Planung ein
CISOs müssen vorausschauend erkennen, wie sich ihre Sicherheitsmaßnahmen und -richtlinien auf die Unternehmensproduktivität und das Engagement der User auswirken. Wenn Sicherheitsverantwortliche Zugang zu Informationen über die digitale Mitarbeitererfahrung (DEX) haben, können CISOs proaktiver Entscheidungen treffen und Sicherheitsrichtlinien implementieren. So vermeiden sie nachträgliche Anpassungen, wenn User technische Probleme haben oder sicherheitskritische Bypass-Lösungen nutzen.
Konfigurationsänderungen als Teil eines optimalen Konfigurationsmanagements sind eine der wichtigsten Triebfedern für den technologischen Wandel in Unternehmen. Denn sie sind notwendig, um auf die sich ständig weiterentwickelnde Bedrohungslandschaft zu reagieren. Leider werden Veränderungen oft als Störfaktor empfunden, was die Produktivität der User erheblich beeinträchtigen kann.
Die Einbindung von CISOs und anderen Sicherheitsverantwortlichen in die DEX-Strategie ist aus mehreren Gründen von entscheidender Bedeutung:
Gewährleistung einer angemessenen Kontrolle und Steuerung der DEX-Tools.
Integration von DEX-Tools in Sicherheits-Workflows, um reaktive Service-Desk-Anfragen von betroffenen Usern zu minimieren.
Messung der Auswirkungen von Shift-Left-Maßnahmen wie proaktive Konfigurationsänderungen und Patching.
Erweiterung bestehender Sicherheitstools um DEX-Funktionen.
As of April 1, 2024, all Ivanti operations in your region will be assumed by IVM EME. For sales questions please visit https://www.ivmeme.com
Executive Summary herunterladen
Erhalten Sie wichtige Erkenntnisse und Umfrageergebnisse, einschließlich Diagrammen und Grafiken, in einem präsentationsbereiten Format
Mit dem Absenden dieses Formulars erkläre ich mich damit einverstanden, dass Ivanti meine Daten wie in der Ivanti-Datenschutzerklärung beschrieben verarbeitet.