Mitarbeiter Sensibilisieren
Mitarbeitersensibilisierung: Schließen Sie Ihre größte Sicherheitslücke

Mitarbeitersensibilisierung: Schließen Sie Ihre größte Sicherheitslücke

Studien zeigen immer wieder: Mitarbeiter im Unternehmen sind das größte Einfallstor für Hacker, Wirtschaftsspione, Datendiebe und andere Cyberkriminelle. Mit der kommenden EU-Datenschutz-Grundverordnung (DSGVO) wird die Relevanz der Mitarbeitersensibilisierung noch einmal steigen: horrende, existenzvernichtende Bußgelder können bei Datenschutzverstößen erhoben werden. Wir zeigen Ihnen, welche Fragen Sie sich stellen sollten.

Verfügen alle Mitarbeiter um ausreichende Kenntnis?

In vielen Unternehmen finden Antivirensoftware, Firewall und Co. Einsatz, um Unternehmensinterna gut zu schützen. Leider reicht die beste Technik nicht aus, wenn die Mitarbeiter selbst zur Sicherheitslücke werden. Dies geschieht meist aus Unkenntnis: Gutgläubig und freiwillig werden mit verschiedenen Methoden, etwa dem Social Engineering, Informationen weitergegeben.

Damit die IT-Sicherheit in sämtlichen Bereichen effizient greifen kann, müssen Geschäftsleitung sowie Mitarbeiter verschiedene Sicherheitsaspekte in ihrer täglichen Arbeit berücksichtigen. Dafür ist es nötig, ein Bewusstsein über IT-Sicherheit zu schaffen. Fachleute sprechen von „Security awareness“, was so viel bedeutet wie „für IT-Sicherheit sensibilisieren“.

Der Fokus darf nicht nur einseitig auf die IT-Infrastruktur gerichtet sein. Es müssen sämtliche Sicherheitsaspekte einbezogen werden: Wie gehen wir mit Dokumenten um? Existieren sinnvolle Zugangsregelungen? Wie gehen wir mit dem Datenschutz um? Richtlinien sind immer ein erster Schritt. Verständnis und Kenntnis von IT-Sicherheit verhelfen Mitarbeitern zu einem sicheren Umgang mit der IT-Infrastruktur. Zieht Security awareness ins Unternehmen ein, trägt jeder Mitarbeiter mit seinem Handeln zur IT-Sicherheit im Unternehmen bei.

In welchen Bereichen gilt es, Mitarbeiter zu sensibilisieren?

Das wohl größte Risiko für die Informationssicherheit eines Unternehmens liegt in der externen Kommunikation der Beschäftigten mit Kunden, Interessenten oder Geschäftspartnern. Vielfach sind Mitarbeiter unsicher, welche Informationen an welchen Dialogpartner weitergegeben werden dürfen. Richtlinien für die verschiedenen Kommunikationskanäle (z. B. E-Mail, Telefon, Social Media, etc.) können Irritationen dieser Art verhindern.

Um solche Richtlinien gestalten zu können, lohnt eine Ist-Analyse: Welche Informationen sind für welche externen Kommunikationspartner überhaupt relevant? Mit entsprechendem Untersuchen und Dokumentieren entsteht ein Raster für die externe Unternehmenskommunikation, an der sich Mitarbeiter orientieren können. Idealerweise wird für jeden externen Kommunikationspartner ein Ansprechpartner sowie eine Vertretung festgelegt.

Selbstverständlich werden Mitarbeiter auch mit unbekannten Personen kommunizieren. Dann gilt es, nur so viel Information preiszugeben, wie unbedingt nötig. Geschäftsführer machen den Mitarbeitern idealerweise klar, dass keine Nachteile entstehen, wenn sie das Herausgeben von Betriebsinterna verweigern.

Im Übrigen richten sich die Angriffe vielfach gegen Beschäftigte, die mit geringen Befugnissen ausgestattet sind. Genau hier fehlt nämlich häufig das Bewusstsein für IT-Sicherheit. Ein einzelner Mitarbeiter-Account kann somit Einfallstor fürs gesamte Unternehmensnetzwerk werden!

Für die unterschiedlichen Daten im Unternehmen sollten verschiedene Vertraulichkeitsstufen erstellt werden. Anhand dieser Einstufung erkennen Mitarbeiter, wie vertraulich die jeweilige Information ist. Dementsprechend sind auch die Kommunikationswege auszuwählen. So lässt sich beispielsweise die Herausgabe sensibler Daten per unverschlüsselter E-Mail verhindern.

Mitarbeitersensibilisierung trifft jedoch nicht nur die Technik. Ein vermeintlich harmloser Handwerker, der sich unbeobachtet im Büro aufhält, kann sich als Datendieb entpuppen. Beschäftigte sollten angehalten sein, unbekannte Personen im Unternehmen im Auge zu behalten und Anliegen zu hinterfragen. Kann sich der Handwerker nicht als solcher ausweisen, sollte zum Handwerksbetrieb Kontakt aufgenommen werden. Fremde sollten grundsätzlich keinen Zugang zu nicht besetzten Räumlichkeiten erhalten.

Verlassen Mitarbeiter ihre Workstation, sollte das Benutzerkonto am Rechner gesperrt werden. Im Vorfeld ist dafür ein sicheres Passwort auszuwählen. Ein weiteres Einfallstor ist der BYOD-Trend: Bring your own devices. Private Geräte wie USB-Sticks, externe Festplatten, das Smartphone oder Tablet sollten nicht ohne Weiteres an den Arbeitsrechner angeschlossen werden. Ein unsicheres Smartphone lässt Cyberkriminelle auch ins Firmennetzwerk hineingelangen, ein privater mobiler Datenträger kann Schadsoftware enthalten.

Werfen wir einen noch intensiveren Blick auf die einzelnen Bereiche, in denen es gilt, Mitarbeiter zu senisbilisieren:

Passwortschutz

Die Arbeit am Rechner, aber auch an allen weiteren Geräten wie Smartphone, Notebook, Tablet, beginnt idealerweise mit der Eingabe eines Passworts. Machen Sie Ihren Mitarbeitern bewusst, dass dieses Passwort nicht nur den PC, sondern das gesamte Unternehmensnetzwerk vor unbefugtem Zugang schützt. Selbstredend werden auch der E-Mail- und andere Accounts mit wirkungsvollen Passwörtern geschützt.

Dass Passwörter vor unbefugtem Zugang schützen, ist vielen Mitarbeitern bewusst. Jedoch fehlt es am Bewusstsein für die Wichtigkeit eines guten und sicheren Passworts. Wenn das Passwort eine direkte Verbindung zum Mitarbeiter herstellt, etwa weil das Geburtsdatum oder der Name der Kinder genutzt wird, entsteht eine Angriffsfläche für Missbrauch.

Sich ein sicheres Passwort zu merken, ist nicht immer einfach. Mitarbeiter wählen deshalb häufig den Weg, einen Passwortzettel unter der Tastatur zu verstecken – oder sogar an den Bildschirmrand zu kleben. Das bloße Über-die-Schulter-schauen wird auch „Shoulder Surfing“ genannt und gehört mit zu den häufigsten Angriffsmethoden. Mit sogenannten Keyloggern (Programme, die die Tastatureingaben mitlesen) können ebenfalls Passwörter ausspioniert werden.

Zur Mitarbeitersensibilisierung sollten einige Verhaltensregeln aufgestellt werden:
Verwenden Sie starke Passwörter, die aus Groß- und Kleinbuchstaben, Ziffern sowie Sonderzeichen bestehen. Je mehr Zeichen ein Passwort hat, umso sicherer ist es. Das Passwort sollte regelmäßig gewechselt werden. Insbesondere, wenn der Verdacht besteht, dass das Passwort ausspioniert werden könnte.
Passwörter dürfen niemals an Dritte weitergegeben werden – schon gar nicht an Fremde.
Idealerweise behalten Mitarbeiter ihre Passwörter im Kopf. Als Gedächtnisstütze können Merksätze verwendet werden, z. B.: Das ist mein Passwort zum 1. Anmelden am Rechner! = DimPwz1.AaR! Alternativ hilft ein Passwortsafe oder das verschlüsselte Speichern Ihrer Passwörter auf einem externen Datenträger.
Bei der Passworteingabe ist darauf zu achten, dass Mitarbeiter nicht beobachtet werden.

Internet

Das World Wide Web wird in Unternehmen für eine Vielzahl von Zwecken genutzt. Insbesondere für die Kommunikation mit Kunden oder Geschäftspartnern per E-Mail, in Diskussionsforen sowie Blogs, per Instant Messaging oder für die Informationssuche. Es bestünde die Möglichkeit, das Nutzen bestimmter Angebote zu untersagen oder einzuschränken. Jedoch kommen täglich neue Angebote hinzu, sodass Security awareness auch hier das Mittel der Wahl sein sollte.

Zur Mitarbeitersensibilisierung gehört es, die Beschäftigten darüber zu informieren, wie sie durch korrektes Verhalten und optimale Konfiguration der Anwendungen verhindern können, unerwünschte Datenspuren zu hinterlassen. Auch hier können Richtlinien, etwa zur Browser-Konfiguration, hilfreich sein. Insbesondere sollten Mitarbeiter über folgendes aufgeklärt sein:
bestehende Richtlinien des Unternehmens zur Internet-Nutzung (eventuell existieren neben allgemeinen Richtlinien auch spezielle zum Umgang mit Blogs, E-Mails, etc.),
Umgang mit Downloads sowie Richtlinien zum Installieren von Software sowie Pugins,
mögliche Gefahren aus dem Internet und wie ergriffene Sicherheitsvorkehrungen dagegen wirken,
aktive Inhalte (Java-Applets, JavaScript oder ActiveX-Controls) und der Umgang mit ihnen,
die Informationspolitik des Unternehmens, also welche Inhalte vertraulich und damit nicht zur Veröffentlichung vorgesehen sind,
korrektes Verhalten beim Nutzen von Internet-Diensten wie etwa Social Media, da Mitarbeiter im Namen des Unternehmens agieren,
Strategien zum Vermeiden von Spam,
rechtliche Vorgaben wie beispielsweise die Achtung des Urheberrechts,
Wissen zum Thema Verschlüsselung sowie digitale Signaturen, um korrekt verschlüsseln zu können,
das Wissen darum, dass verschiedene Angebote im World Wide Web von unterschiedlich vertrauenswürdigen Quellen stammen und bei weiterer Verwendung entsprechend kritisch hinterfragt werden müssen.

Wie bei jeder Awareness Kampagne ist es wichtig, die Beschäftigten nicht nur einmal in die sichere Internet-Nutzung einzuweisen, sondern sie stets fortzubilden. Das geschieht, indem über die neusten Entwicklungen informiert wird. Dies kann mithilfe von Rundbriefen geschehen, aber auch durch webbasierte interaktive Programme oder durch Veranstaltungen.

Mobile IT-Systeme

Notebooks, Smartphones und Tablets: sie werden wie selbstverständlich genutzt und ins Unternehmensnetzwerk eingebunden. Jedoch birgt der Verlust oder Diebstahl dieser Geräte erhebliche Gefahren. Neben den Kosten der Wiederbeschaffung entstehen auch Vertraulichkeits- und Datenverluste, wenn Unbefugte Zugriff auf firmeninterne Informationen erhalten.

Natürlich unterstützen mobile Geräte im beruflichen und privaten Alltag: Terminplaner, Notizblock und die Möglichkeit, immer und überall E-Mails abzurufen sind einfach praktisch. Doch gerade aufgrund dieser Beliebtheit und der praktischen Tatsache, dass mobile Geräte schnell mitgenommen werden können, sind sie für Angreifer ein sehr beliebtes Ziel. Dasselbe gilt für mobile Datenträger wie USB-Sticks oder externe Festplatten.

Mitarbeiter müssen auf den sorgsamen Umgang mit diesen Geräten geschult werden. Geht das Gerät verloren, kann der damit einhergehende Datenverlust verheerende Auswirkungen haben. Deshalb müssen mobile Geräte noch höhere Sicherheitsstandards erfüllen als stationäre IT-Systeme. Die Mitarbeitersensibilisierung sollte folgende Inhalte umfassen:
Beschäftigte sollten Dieben keine Chance geben und mobile Geräte so unauffällig wie möglich aufbewahren. Das bedeutet unter anderem, dass während der Zugfahrt keine vertraulichen E-Mails gelesen werden oder dass das Smartphone während der Autofahrt im Kofferraum aufbewahrt wird.
Grundsätzlich sollten vertrauliche Daten auf mobilen Geräten verschlüsselt werden. Viele Geräte bringen bereits eine Festplattenverschlüsselung mit. Damit wird sichergestellt, dass beim Verlust des Geräts lediglich ein materieller Schaden entsteht, denn die verschlüsselten Daten können nicht ausgespäht werden.
Finden Mitarbeiter fremde Datenträger, etwa USB-Sticks oder Speicherkarten, sollten sie ihn bei ihrer Führungskraft abgeben. Fremde Datenträger dürfen nicht an die Workstation angeschlossen werden, andernfalls könnten Schadprogramme im Unternehmensnetzwerk landen.
Vorsicht ist geboten, wenn drahtlose Technologien wie WLAN oder Bluetooth genutzt werden; Hacker missbrauchen sie gerne als Einfallstor. Diese Technologien sollten nur dann eingeschaltet werden, wenn sie auch gebraucht werden.
Um Datenverlust zu verhindern, sind regelmäßige verschlüsselte Backups zu speichern. Idealerweise werden die Backups auf externen Datenträgern gespeichert.
Mobile IT-Geräte sind mit einem effizienten Passwort zu schützen. Bei Inaktivität sollte der Bildschirm gesperrt werden.
Bei Außerbetriebnahme des mobilen Geräts ist darauf zu achten, dass sämtliche darauf gespeicherten Daten unbrauchbar bzw. gelöscht sind.

Umgang mit vertraulichen Informationen

Beim Umgang mit vertraulichen Informationen ist Verschlüsselung ein wesentlicher Faktor. Eine effiziente Verschlüsselung verhindert den unbefugten Zugriff von Dritten. Das ist einerseits nötig, um sich gegen Angriffe von außen zu schützen. Andererseits aber auch, damit nur befugte Mitarbeiter Zugriff auf diese Daten erhalten. Verschlüsselung schafft also einen Zugangsschutz.

Damit Beschäftigte mit Informationen entsprechend umgehen können, muss zunächst einmal geklärt werden, welche Informationen vertraulich sind. Dies gilt es, in den Richtlinien festzuhalten. Wie bereits erwähnt, lohnt es sich, für jeden Kommunikationskanal bestimmte Verhaltensregeln festzulegen. So sollte beispielsweise nicht auf Facebook lautstark über den neuen Kunden kommuniziert werden, der gar nicht als Referenz genannt werden möchte.

Phishing

Als Phishing werden Betrugsversuche bezeichnet, die über gefälschte E-Mails oder Websites versuchen, Daten abzufischen. Gerade E-Mail-Phishing ist in Unternehmen ein großes Thema: Um bestimmte Services nutzen zu können, werden Mitarbeiter höflichst gebeten, ein paar Daten einzugeben – ein Link zum notwendigen Formular ist der E-Mail gleich beigefügt. Als engagierter Mitarbeiter möchte man dies schnell eben erledigen – und spendiert Cyberkriminellen damit für sie wertvolle Informationen.

Beschäftigte müssen darauf geschult werden, derartige Betrugsversuche zuverlässig zu erkennen. Wissen Mitarbeiter um die Gefahren wie Phishing, werden sie im Umgang mit E-Mails von unbekannten Absendern vorsichtiger. Unliebsame Überraschungen wie Viren und Trojaner werden so deutlich reduziert.

Skimming

Skimming ist eine Man-in-the-middle-Attacke, bei der illegal Kreditkarten- oder Bankkartendaten ausgespäht werden. Die Daten werden vom Magnetstreifen ausgelesen und auf gefälschte Karten kopiert, mit denen dann Abhebungen oder Bezahlungen erfolgen. Skimming-Attacken können zu Datenverlusten führen, an denen das Unternehmen zu knabbern hat. Insbesondere sind jene Mitarbeiter zu sensibilisieren, die mit den Finanzen des Unternehmens umgehen.

Urlaubsvertretung/ IT-Sicherheit auf Reisen

Security awareness gilt nicht nur für die Beschäftigten selbst, sondern auch für die Urlaubsvertretung. Sie sollte mit den Befugnissen und Berechtigungen des zu vertretenden Mitarbeiters vertraut sein und dieselben Sicherheitsmaßnahmen treffen.

In Zeiten des Immer-erreichbar-seins muss IT-Sicherheit jedoch auch auf Reisen gegeben sein. Hierzu zählen die unter „Mobile IT-Systeme“ genannten Hinweise.

Social Engineering

Bei Social Engineering-Angriffen wird versucht, Mitarbeitern fimeninterne Informationen zu entlocken. Das geschieht durch zwischenmenschliche Beeinflussung: ein paar Bemerkungen zum Büroalltag, einige Informationen zu einem vermeintlich gemeinsamen Kollegen – schon reden Mitarbeiter häufig. Angreifer machen sich die Gutgläubigkeit und Hilfsbereitschaft, zuweilen auch die Unsicherheit der Beschäftigten zunutze. Dafür beschaffen sich Angreifer im Vorfeld entsprechende Informationen zum Unternehmen.

Das unbedachte Weitergeben vertraulicher Informationen kann dem Unternehmen extrem schaden. Vertrauliche Informationen über Mitarbeiter, Kunden oder Geschäftspartner, geschäftskritische Informationen oder Zugangsdaten müssen immer mit größter Vertraulichkeit behandelt werden. Bei der Mitarbeitersensibilisierung darf die Wichtigkeit eines kritischen Umgangs mit derlei Anfragen per E-Mail oder Telefon nicht unterschätzt werden – das gilt ebenso für das persönliche Gespräch oder die sozialen Netzwerke.

Soziale Netzwerke

Twitter, Facebook & Co. sind für zahlreiche Unternehmen zur wichtigen Marketing-Plattform geworden. Damit laufen Unternehmen Gefahr, die Kontrolle über persönliche Daten zu verlieren. Deshalb gilt für Firmen-Accounts insbesondere eine Regel: Das Internet vergisst nicht! Wurden Informationen versehentlich publiziert, können diese auch noch lange nach der vermeintlichen Löschung auf den Servern gespeichert sein. Es gilt, lediglich solche Informationen zu veröffentlichen, die tatsächlich öffentlich eingesehen werden dürfen.

Für den Firmen-Account muss ein sicheres Passwort gewählt werden. Das gilt damit auch für die Passwörter der Privat-Accounts von Mitarbeitern, die Firmenseiten verwalten. Weiter müssen die Mitarbeiter bezüglich des Phishings sensibilisiert sein, denn häufig kommen Phishing-Angriffe zum Einsatz. Dabei werden die Mitarbeiter über Links auf gefälschte Sites gelockt, geben ihre Zugangsdaten ein – und schon haben die Angreifer Zugang zum Firmen-Account.

Wenn Beschäftigte ihre privaten Accounts am Arbeitsplatz nutzen dürfen, besteht auch hier eine große Gefahr für die Firmen-IT. Denn Schadprogramme werden über Nachrichten in den sozialen Netzwerken genauso empfangen wie über E-Mails. Auch das Social Engineering kann über soziale Netzwerke erfolgreich betrieben werden.

Zutrittsschutz

Durch physischen Zutrittsschutz lässt sich ebenfalls IT-Sicherheit herstellen. Es gilt: Mitarbeiter gelangen nur an die Informationen, die für ihre Arbeit zwingend notwendig sind. So hat etwa der Vertriebsmitarbeiter nichts im Serverraum oder in Informationen, die die Buchhaltung angehen, zu suchen. Die Maßnahmen für den Zutrittsschutz reichen von der Schlüsselvergabe bis hin zu komplexen Zutrittssystemen. Um eine Zutrittsregelung und entsprechende -kontrolle zu erreichen, ist es erforderlich, den betroffenen Bereich eindeutig zu bestimmen, die Anzahl zutrittsberechtigter Personen auf ein Minimum zu beschränken, Zutritte von anderen Personen ausschließlich nach Prüfung der Notwendigkeit zuzulassen und erteilte Zutrittsberechtigungen zu dokumentieren.

Werden Mitarbeiter angehalten, Sicherheitsvorfälle zu melden?

Es bringt sehr wenig, Mitarbeitern zu erklären, wie sie sich bei Sicherheitsvorfällen zu verhalten haben, wenn sie solche Vorfälle gar nicht erkennen. Zur Mitarbeitersensibilisierung gehört es also in einem ersten Schritt, festzuhalten, welche Ereignisse als Sicherheitsvorfall eingestuft werden und woran Beschäftigte ihn erkennen.

Der Mitarbeiter, der einen Sicherheitsvorfall bemerkt hat, macht Meldung an den Administrator. Dieser kann erste Schritte zum Behandeln des Problems einleiten. Der Administrator kontaktiert den idealerweise zur Verfügung stehenden IT-Sicherheitsbeauftragten. Existiert ein solcher nicht, wird die Geschäftsleitung informiert. Gemeinsam wird der IT-Sicherheitsvorfall dokumentiert. Zum Schluss wird geklärt, ob der Vorfall den Sicherheitsbehörden gemeldet wird.

Sind kulturelle Besonderheiten bei der Mitarbeitersensibilisierung zu berücksichtigen?

In Unternehmen mit Firmenstandorten im In- und Ausland kann jeweils ein anderes Vorgehen sinnvoll sein. Mitarbeiter sollten individuell geschult und entsprechend des interkulturellen Kontextes eingebunden werden. Um das Awareness-Level kontinuierlich hoch zu halten, ist neben einem Gesamtkonzept auch eine stetige Kommunikation notwendig. Es existieren verschiedene Möglichkeiten, die Security-Strategie in verschiedenen Ländern dem jeweiligen interkulturellen Kontext anzupassen. So kommen in den USA beispielsweise Quiz gut an, bei denen der Gewinner einen Preis erhält.

Anders ist es im kollektivistisch geprägten Asien oder Indien. Hier liegt der Fokus auf der Gruppe, nicht auf dem Einzelnen. Entsprechend führen Gruppenaufgaben zum Ziel. Im Nahen Osten sind Unternehmen streng hierarchisch organisiert. Mitarbeiter halten die Ansagen des Chefs ein.

Für alle gilt, dass neben der persönlichen Ansprache auch E-Mails, Give-Aways, erinnernde Plakate oder webbasierte Trainings mit spielerischem Charakter („Gamification“) in Frage kommen. Solche Aktionen halten das Awareness-Level nachhaltig hoch, sodass der Mensch vom Risiko- zum Sicherheitsfaktor im Unternehmen wird.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*