IT-Experten: Mangelndes Sicherheitsbewusstsein trotz hoher Expertise?

Um Kundendaten frühzeitig vor Hackerangriffen zu schützen, ist die Two Factor Authentification die optimale Lösung. Warum jedoch zögern IT-Experten?

Okt 4, 2021 - 2 Min.
Picture of: Sebastian Ulbert
Sebastian Ulbert

Ob Online-Banking, digitaler Gesundheitspass oder Online-Shopping: Kaum eine Dienstleistung kommt heutzutage im Internet noch ohne ein Login-Verfahren aus, das den Schutz der digitalen Identität sicherstellt und die Identität des Nutzers prüft. Angesichts der sensiblen Eigenschaften persönlicher Daten sind die Kundenerwartungen an die Login-Verfahren der Anbieter sehr hoch. Die User vertrauen den IT-Entscheidern – doch ist der Vertrauensvorschuss gerechtfertigt und werden die Sicherheitsmassnahmen zum Schutz der Kundendaten in Unternehmen vollständig ausgeschöpft? Das repräsentative Sicherheitsbarometer 2021 von Nevis deckt auf und informiert über die Diskrepanz zwischen optimalem Sicherheitskomfort und fehlerhaften Prioritäten von IT-Entscheidern.

Für das repräsentative Sicherheitsbarometer hat der IT-Experte Nevis im April 2021 in Zusammenarbeit mit den Meinungsforschungsunternehmen Civey und mo’web research 500 deutsche IT-Leiter und 1.000 deutsche Konsumenten ab 14 Jahren befragt. Inhaltlich widmete sich die Studie Themen wie der Passwortsicherheit, dem Login-Verhalten sowie der Anwendung der passwortfreien Multi-Faktor-Authentifizierung in Unternehmen. 

Die Kundenerwartungen im Fokus: Maximale Sicherheit ist wünschenswert

Die IT-Entscheider des Sicherheitsbarometers 2021 sind sich einig, was die Einschätzung sensibler Kundendaten angeht. Unter den besonders schützenswerten Informationen befinden sich mehrheitlich Daten aus den Bereichen Healthcare und Finance, die bei digitalen Serviceleistungen zum Einsatz kommen: Bank- und Finanzdaten belegen den ersten Platz und sind laut den IT-Entscheidern mit 67,2 Prozent besonders schützenswert. Auf Platz zwei folgen Gesundheitsdaten mit 63,8 Prozent und die Login-Daten von Online-Konten mit rund 55 Prozent auf Platz drei. Die Ergebnisse stimmen dabei mit dem Wunsch vieler Unternehmen überein, ihrer Zielgruppe ein sicheres digitales Kundenerlebnis zu bieten. In knapp 60 Prozent der Unternehmen hat die Customer Journey einen sehr hohen bis eher hohen Stellenwert, davon entfallen 37,4 Prozent auf die Kategorie sehr wichtig. 

Jedes zehnte Unternehmen verzichtet auf erhöhte IT-Sicherheitsmassnahmen

In der Praxis ist die Anwendung geeigneter Sicherheitsmassnahmen nicht so weit verbreitet, wie die Ansprüche der Unternehmen vermuten lassen. Zwar werden die Mindestlänge von Passwörtern in 61,8 Prozent der Fälle erzwungen und eine regelmässige Änderung der Zugangsdaten in rund 50 Prozent der Fälle durchgeführt, doch kommt die besonders sichere Zwei-Faktor-Authentifizierung (2FA) mit 48,5 Prozent nicht einmal in jedem zweiten befragten Unternehmen zum Einsatz. Erschwerend kommt hinzu, dass mehr als zehn Prozent der befragten Experten vollständig auf erhöhte IT-Sicherheitsvorkehrungen verzichten – das geht besser. Schliesslich eignet sich 2FA durch die Kombination aus mehreren Identifikationskriterien wie PIN und Passwort sowie mindestens einer biometrischen Information optimal, um sensible Daten umfassend vor Hackerangriffen zu schützen. Mit der Folge, dass der Sicherheitskomfort nicht bestmöglich optimiert wird und die Kundenbedürfnisse nicht zufrieden gestellt werden. 

Mangelnder Handlungsbedarf versus optimaler Sicherheitskomfort

Die vielfältigen Gründe, die gegen eine passwortfreie Authentifizierung angeführt werden, lassen sich auf einen gemeinsamen Kern zurückführen: Die IT-Entscheider sehen derzeit keinen Handlungsbedarf für eine Anpassung der Authentifizierung. So belegt die Aussage „Keine Vorbehalte“ gegenüber der passwortfreien Authentifizierung mit 28,2 Prozent den ersten Platz, gefolgt von der Zufriedenheit mit der bestehenden Methode (24,6 Prozent). Brisant ist der drittplatzierte Grund, der von knapp jedem fünften IT-Chef genannt wird – die Thematik habe aktuell keine Priorität. Angesichts der Brisanz der Thematik wiegt der hohe Prozentanteil dieser Aussage schwer, zumal sich gerade IT-Leiter berufsbedingt sehr gut mit der Relevanz von Daten- und Passwortsicherheit und den Konsequenzen einer Cyberattacke für Unternehmen auskennen sollten. Die unterschiedlichen Sicherheitsmassnahmen in Unternehmen liegen somit weder an fehlenden Kompetenzen, Kosten (9,5 Prozent) oder mangelnden Ressourcen für die Umstellung (5,3 Prozent). Es entscheidet schlicht das Mindset und die subjektive Risikoeinschätzung der IT-Entscheider über die Art der Authentifizierung und damit über den Schutz der Kundendaten.

Keine Frage: IT-Entscheidungsträger sind über die Bedürfnisse ihrer Kunden informiert und kennen die Erwartungen durchaus. Um ihnen gerecht zu werden, verfolgen Unternehmen zwar die gängigen Anforderungen an Login-Verfahren wie etwa ein zwölfstelliges Passwort. Doch sobald es um den Einsatz neuer sicherer Authentifizierungsverfahren geht, die einen optimalen Sicherheitskomfort ermöglichen, zögern viele IT-Entscheider. Noch scheint neuen Methoden wie der passwortfreien Authentifizierung oder 2FA nicht genug Aufmerksamkeit geschenkt zu werden, um die Mehrheit der Befragten zu einer Änderung bestehender Verfahren zu bewegen – zum Nachteil der Kunden und der Unternehmen. Was dringend benötigt wird, ist eine neue Priorisierung durch die Experten, die ihren Fokus auf die konsequente Optimierung des eigenen wie auch unternehmensinternen Sicherheitsbewusstseins richtet. 

Übrigens: Weitere Ergebnisse der Verbraucherstudie und einer Befragung von 500 IT-Entscheidern rund um das Thema IT- und Login-Sicherheit hat Nevis im neuen „Sicherheitsbarometer #2“ zusammengefasst. 

Nevis Sicherheitsbarometer #2