Burnout: Das neue Sicherheitsrisiko für Unternehmen

Der mittlerweile weit verbreitete Stress unter Arbeitnehmern und insbesondere unter Fachleuten für Cyberangriffe öffnet eine neue Sicherheitslücke, die Unternehmen noch anfälliger macht. Zusätzlich zu den Auswirkungen der Pandemie untergräbt eine wachsende Welle von Cyberangriffen die psychische Gesundheit der Mitarbeiter, die deshalb über Symptome des sogenannten Burnout-Syndroms berichten (außerordentlich hohe Fluktuation). Dieses Szenario führt letztlich zu Teilnahmslosigkeit im Job und folglich zu einer geringeren Wachsamkeit, wodurch sich neue Möglichkeiten für böswillige Akteure ergeben.

Um das Phänomen Burnout zu verstehen, hat das Datenschutz- und Sicherheitsunternehmen 1Password seinen ersten Bericht „The Burnout Breach“ erstellt, der Informationen von 2.500 Nordamerikanern sammelt, die in Vollzeit und hauptsächlich mit einem Computer arbeiten. Ziel war es, zu erforschen, wie Burnout in der Belegschaft Cyberkriminellen den Zugang zu Unternehmen erleichtert.

„Der aus der Pandemie resultierende Burnout – und die folgende Apathie und Ablenkung am Arbeitsplatz – erweisen sich als das bedeutendste neue Sicherheitsrisiko. Es ist besonders überraschend festzustellen, dass Führungskräfte, die mit dem Schutz von Unternehmen beauftragt sind, selbst Schwierigkeiten haben, ihre eigenen Sicherheitsrichtlinien zu befolgen. Damit setzen sie die Unternehmen einem Risiko aus.“, sagt Jeff Shiner, CEO von 1Password.

Die 1Password-Umfrage ergab, dass sich erstaunliche 84 % der Sicherheitsexperten und 80 % der Mitarbeiter in anderen Bereichen ausgebrannt fühlen, was zu ernsthaften Rückschlägen im Bereich der Sicherheitsprotokolle führt. Mitarbeiter aus verschiedenen Fachgebieten mit Burnout waren außerdem dreimal häufiger der Meinung, dass feste Sicherheitsregeln und -richtlinien „die Schwierigkeiten nicht ausgleichen“. Diese Ansicht vertraten 20 % der Befragten mit Anzeichen von Burnout – in der Gruppe der nicht gestressten Fachleute waren es nur 7 %. Verglichen mit denjenigen, die nur leichte Symptome zeigten, waren sehr ausgebrannte Sicherheitsexperten dabei doppelt so häufig der Meinung, dass die Sicherheitsvorschriften und -richtlinien den Aufwand nicht wert seien (44 % versus 19 %).

Das Burnout-Syndrom führt daneben zu einer Welle von Kündigungen. Fachkräfte verlassen ihren Arbeitsplatz auf der Suche nach einer anderen Berufslaufbahn, mehr Flexibilität, neuen Lebenszielen oder höheren Gehältern. Fast zwei Drittel (64 %) der Befragten gaben an, dass sie einen neuen Job suchen, kurz davor stehen zu kündigen oder zumindest offen für die Idee eines Jobwechsels sind. Vor allem Sicherheitsexperten gaben 50 % häufiger an, aktiv nach einer neuen Stelle zu suchen (13 % gegenüber 9 %).

Die 1Password-Umfrage zeigt, dass diese Kündigungen auch ein erhebliches Sicherheitsrisiko für Unternehmen darstellen.

Noch beunruhigender war die Feststellung, dass Fachkräfte, die gekündigt hatten, auch eine Sicherheitsbedrohung für ihre früheren Arbeitgeber darstellten. Ein Viertel von ihnen hatte laut eigener Angabe nach ihrem Ausscheiden aus dem Beruf versucht, auf ihre alten Arbeitskonten zuzugreifen. Mehr als 80 % davon war dies angeblich auch gelungen. Drei von vier Befragten dieser Gruppe hatten sogar noch über mehrere Wochen hinweg und länger Zugang zu ihren alten Konten.

Die überwiegende Mehrheit der Sicherheitsexperten (89 %) gibt zwar an, dass ihnen Sicherheit wichtiger sei als Bequemlichkeit. Trotzdem ist die Wahrscheinlichkeit, dass diese Gruppe bewährte Praktiken ignoriert und sich bei der Arbeit auf riskante digitale Aktivitäten einlässt, viel größer als bei anderen Mitarbeitern – unabhängig davon, ob sie Anzeichen von Burnout zeigen oder nicht. 29 % der Befragten rechtfertigen dieses Vorgehen mit dem Versuch, IT-Probleme zu lösen, während 30 % mit der von ihren Unternehmen bereitgestellten Software unzufrieden sind. Andere geben an, produktiver sein zu wollen (48 %).

Abseits des Burnouts zeigt die Studie, dass benutzerfreundliche Software, die die Erwartungen der Mitarbeiter erfüllt oder übertrifft, einen großen Einfluss auf die Sicherheit haben kann. Etwa 45 % der Remote- und Hybrid-Mitarbeiter, welche die Sicherheitsvorschriften und -richtlinien ihrer Unternehmen nicht akkurat befolgen, gaben an, dass sie dies wahrscheinlich tun würden, wenn sie über automatisierungstechnologische Tools verfügen würden.

Aufkommende Bedrohungen

In der Umfrage wurden die Sicherheitsexperten auch zu ihrer Einschätzung der größten Bedrohungen am Arbeitsplatz befragt, sowohl für das vergangene Jahr als auch für 2022. Die am häufigsten genannte Bedrohung war dabei Ransomware (55 %). Dabei waren allerdings nur 20 % der Gruppe im Jahr 2021 mit dieser Art von Problem konfrontiert.

Phishing ist für jeden vierten Sicherheitsexperten eine der drei größten Sorgen. In der Studie wird diese Technik als besonders gefährlich betrachtet, weil sie die menschliche Psychologie manipuliert, indem sie sich als Freund oder Mitarbeiter ausgibt, der Hilfe sucht oder anbietet. Mehr als die Hälfte (57 %) der Angestellten gab an, in letzter Zeit eine E-Mail erhalten zu haben, bei der es sich scheinbar um Phishing handelte.

Sechs von zehn Sicherheitsexperten sagten auch, dass ihre Unternehmen im vergangenen Jahr mit einer neuen Bedrohung konfrontiert waren – am häufigsten waren dabei Spoofing in sozialen Medien, raffiniertes Phishing und DDoS-Angriffe.