Studien zeigen immer wieder: Mitarbeiter im Unternehmen sind das gr\u00f6\u00dfte Einfallstor f\u00fcr Hacker, Wirtschaftsspione, Datendiebe und andere Cyberkriminelle. Mit der kommenden EU-Datenschutz-Grundverordnung (DSGVO) wird die Relevanz der Mitarbeitersensibilisierung noch einmal steigen: Horrende, existenzvernichtende Bu\u00dfgelder k\u00f6nnen bei Datenschutzverst\u00f6\u00dfen erhoben werden. Wir zeigen Euch, welche Fragen Ihr Euch stellen solltet.<\/p>\n
<\/p>\n
In vielen Unternehmen finden Antivirensoftware, Firewall und Co. Einsatz, um Unternehmensinterna gut zu sch\u00fctzen. Leider reicht die beste Technik nicht aus, wenn die Mitarbeiter selbst zur Sicherheitsl\u00fccke werden. Dies geschieht meist aus Unkenntnis: Gutgl\u00e4ubig und freiwillig werden mit verschiedenen Methoden, etwa dem Social Engineering, Informationen weitergegeben.<\/p>\n
Damit die IT-Sicherheit in s\u00e4mtlichen Bereichen effizient greifen kann, m\u00fcssen Gesch\u00e4ftsleitung sowie Mitarbeiter verschiedene Sicherheitsaspekte in Eurer t\u00e4glichen Arbeit ber\u00fccksichtigen. Daf\u00fcr ist es n\u00f6tig, ein Bewusstsein \u00fcber IT-Sicherheit zu schaffen. Fachleute sprechen von „Security Awareness“, was so viel bedeutet wie „f\u00fcr IT-Sicherheit sensibilisieren“.<\/p>\n
Der Fokus darf nicht nur einseitig auf die IT-Infrastruktur gerichtet sein. Es m\u00fcssen s\u00e4mtliche Sicherheitsaspekte einbezogen werden: Wie gehen wir mit Dokumenten um? Existieren sinnvolle Zugangsregelungen? Wie gehen wir mit dem Datenschutz um? Richtlinien sind immer ein erster Schritt. Verst\u00e4ndnis und Kenntnis von IT-Sicherheit verhelfen Mitarbeitern zu einem sicheren Umgang mit der IT-Infrastruktur. Zieht Security Awareness ins Unternehmen ein, tr\u00e4gt jeder Mitarbeiter mit seinem Handeln zur IT-Sicherheit im Unternehmen bei.<\/p>\n
<\/p>\n
Das wohl gr\u00f6\u00dfte Risiko f\u00fcr die Informationssicherheit eines Unternehmens liegt in der externen Kommunikation der Besch\u00e4ftigten mit Kunden, Interessenten oder Gesch\u00e4ftspartnern. Vielfach sind Mitarbeiter unsicher, welche Informationen an welchen Dialogpartner weitergegeben werden d\u00fcrfen. Richtlinien f\u00fcr die verschiedenen Kommunikationskan\u00e4le (z. B. E-Mail, Telefon, Social Media, etc.) k\u00f6nnen Irritationen dieser Art verhindern. Um solche Richtlinien gestalten zu k\u00f6nnen, lohnt eine Ist-Analyse: Welche Informationen sind f\u00fcr welche externen Kommunikationspartner \u00fcberhaupt relevant?\u00a0Mit entsprechendem Untersuchen und Dokumentieren entsteht ein Raster f\u00fcr die externe Unternehmenskommunikation, an der sich Mitarbeiter orientieren k\u00f6nnen. Idealerweise wird f\u00fcr jeden externen Kommunikationspartner ein Ansprechpartner sowie eine Vertretung festgelegt.<\/p>\n
Selbstverst\u00e4ndlich werden Mitarbeiter auch mit unbekannten Personen kommunizieren. Dann gilt es, nur so viel Information preiszugeben, wie unbedingt n\u00f6tig. Gesch\u00e4ftsf\u00fchrer machen den Mitarbeitern idealerweise klar, dass keine Nachteile entstehen, wenn sie das Herausgeben von Betriebsinterna verweigern.<\/p>\n
Im \u00dcbrigen richten sich die Angriffe vielfach gegen Besch\u00e4ftigte, die mit geringen Befugnissen ausgestattet sind. Genau hier fehlt n\u00e4mlich h\u00e4ufig das Bewusstsein f\u00fcr IT-Sicherheit. Ein einzelner Mitarbeiter-Account kann somit Einfallstor f\u00fcrs gesamte Unternehmensnetzwerk werden!<\/p>\n
F\u00fcr die unterschiedlichen Daten im Unternehmen sollten verschiedene Vertraulichkeitsstufen erstellt werden. Anhand dieser Einstufung erkennen Mitarbeiter, wie vertraulich die jeweilige Information ist. Dementsprechend sind auch die Kommunikationswege auszuw\u00e4hlen. So l\u00e4sst sich beispielsweise die Herausgabe sensibler Daten per unverschl\u00fcsselter E-Mail verhindern.<\/p>\n
Mitarbeitersensibilisierung trifft jedoch nicht nur die Technik. Ein vermeintlich harmloser Handwerker, der sich unbeobachtet im B\u00fcro aufh\u00e4lt, kann sich als Datendieb entpuppen. Besch\u00e4ftigte sollten angehalten sein, unbekannte Personen im Unternehmen im Auge zu behalten und Anliegen zu hinterfragen. Kann sich der Handwerker nicht als solcher ausweisen, sollte zum Handwerksbetrieb Kontakt aufgenommen werden. Fremde sollten grunds\u00e4tzlich keinen Zugang zu nicht besetzten R\u00e4umlichkeiten erhalten.<\/p>\n
Verlassen Mitarbeiter ihre Workstation, sollte das Benutzerkonto am Rechner gesperrt werden. Im Vorfeld ist daf\u00fcr ein sicheres Passwort auszuw\u00e4hlen. Ein weiteres Einfallstor ist der BYOD-Trend: Bring your own devices. Private Ger\u00e4te wie USB-Sticks, externe Festplatten, das Smartphone oder Tablet sollten nicht ohne Weiteres an den Arbeitsrechner angeschlossen werden. Ein unsicheres Smartphone l\u00e4sst Cyberkriminelle auch ins Firmennetzwerk hineingelangen, ein privater mobiler Datentr\u00e4ger kann Schadsoftware enthalten.<\/p>\n
Werfen wir einen noch intensiveren Blick auf die einzelnen Bereiche, in denen es gilt, Mitarbeiter zu senisbilisieren:<\/p>\n
Die Arbeit am Rechner, aber auch an allen weiteren Ger\u00e4ten wie Smartphone, Notebook, Tablet, beginnt idealerweise mit der Eingabe eines Passworts. Macht Euch und Euren Mitarbeitern bewusst, dass dieses Passwort nicht nur den PC, sondern das gesamte Unternehmensnetzwerk vor unbefugtem Zugang sch\u00fctzt. Selbstredend werden auch der E-Mail- und andere Accounts mit wirkungsvollen Passw\u00f6rtern gesch\u00fctzt.<\/p>\n
Dass Passw\u00f6rter vor unbefugtem Zugang sch\u00fctzen, ist vielen Mitarbeitern bewusst. Jedoch fehlt es am Bewusstsein f\u00fcr die Wichtigkeit eines guten und sicheren Passworts. Wenn das Passwort eine direkte Verbindung zum Mitarbeiter herstellt, etwa weil das Geburtsdatum oder der Name der Kinder genutzt wird, entsteht eine Angriffsfl\u00e4che f\u00fcr Missbrauch.<\/p>\n
Sich ein sicheres Passwort zu merken, ist nicht immer einfach. Mitarbeiter w\u00e4hlen deshalb h\u00e4ufig den Weg, einen Passwortzettel unter der Tastatur zu verstecken \u2013 oder sogar an den Bildschirmrand zu kleben. Das blo\u00dfe \u00dcber-die-Schulter-schauen wird auch „Shoulder Surfing“ genannt und geh\u00f6rt mit zu den h\u00e4ufigsten Angriffsmethoden. Mit sogenannten Keyloggern (Programme, die die Tastatureingaben mitlesen) k\u00f6nnen ebenfalls Passw\u00f6rter ausspioniert werden.<\/p>\n
Zur Mitarbeitersensibilisierung sollten einige Verhaltensregeln aufgestellt werden:<\/p>\n
Das World Wide Web wird in Unternehmen f\u00fcr eine Vielzahl von Zwecken genutzt. Insbesondere f\u00fcr die Kommunikation mit Kunden oder Gesch\u00e4ftspartnern per E-Mail, in Diskussionsforen sowie Blogs, per Instant Messaging oder f\u00fcr die Informationssuche. Es best\u00fcnde die M\u00f6glichkeit, das Nutzen bestimmter Angebote zu untersagen oder einzuschr\u00e4nken. Jedoch kommen t\u00e4glich neue Angebote hinzu, sodass Security Awareness auch hier das Mittel der Wahl sein sollte. Zur Mitarbeitersensibilisierung geh\u00f6rt es, die Besch\u00e4ftigten dar\u00fcber zu informieren, wie sie durch korrektes Verhalten und optimale Konfiguration der Anwendungen verhindern k\u00f6nnen, unerw\u00fcnschte Datenspuren zu hinterlassen. Auch hier k\u00f6nnen Richtlinien, etwa zur Browser-Konfiguration, hilfreich sein.<\/p>\n
Insbesondere sollten Mitarbeiter \u00fcber folgendes aufgekl\u00e4rt sein:<\/p>\n
Wie bei jeder Awareness Kampagne ist es wichtig, die Besch\u00e4ftigten nicht nur einmal in die sichere Internet-Nutzung einzuweisen, sondern sie stets fortzubilden. Das geschieht, indem \u00fcber die neusten Entwicklungen informiert wird. Dies kann mithilfe von Rundbriefen geschehen, aber auch durch webbasierte interaktive Programme oder durch Veranstaltungen.<\/p>\n
Notebooks, Smartphones und Tablets: Die kleinen Helfer werden wie selbstverst\u00e4ndlich genutzt und ins Unternehmensnetzwerk eingebunden. Jedoch birgt der Verlust oder Diebstahl dieser Ger\u00e4te erhebliche Gefahren. Neben den Kosten der Wiederbeschaffung entstehen auch Vertraulichkeits- und Datenverluste, wenn Unbefugte Zugriff auf firmeninterne Informationen erhalten.\u00a0Nat\u00fcrlich unterst\u00fctzen mobile Ger\u00e4te im beruflichen und privaten Alltag: Terminplaner, Notizblock und die M\u00f6glichkeit, immer und \u00fcberall E-Mails abzurufen sind einfach praktisch. Doch gerade aufgrund dieser Beliebtheit und der praktischen Tatsache, dass mobile Ger\u00e4te schnell mitgenommen werden k\u00f6nnen, sind genau diese Smart Devices f\u00fcr Angreifer ein sehr beliebtes Ziel. Dasselbe gilt f\u00fcr mobile Datentr\u00e4ger, wie USB-Sticks oder externe Festplatten.<\/p>\n
Mitarbeiter m\u00fcssen auf den sorgsamen Umgang mit diesen Ger\u00e4ten geschult werden. Geht das Ger\u00e4t verloren, kann der damit einhergehende Datenverlust verheerende Auswirkungen haben. Deshalb m\u00fcssen mobile Ger\u00e4te noch h\u00f6here Sicherheitsstandards erf\u00fcllen als station\u00e4re IT-Systeme. Die Mitarbeitersensibilisierung sollte folgende Inhalte umfassen:<\/p>\n
Beim Umgang mit vertraulichen Informationen ist Verschl\u00fcsselung ein wesentlicher Faktor. Eine effiziente Verschl\u00fcsselung verhindert den unbefugten Zugriff von Dritten. Das ist einerseits n\u00f6tig, um sich gegen Angriffe von au\u00dfen zu sch\u00fctzen. Andererseits aber auch, damit nur befugte Mitarbeiter Zugriff auf diese Daten erhalten. Verschl\u00fcsselung schafft also einen Zugangsschutz.<\/p>\n
Damit Besch\u00e4ftigte mit Informationen entsprechend umgehen k\u00f6nnen, muss zun\u00e4chst einmal gekl\u00e4rt werden, welche Informationen vertraulich sind. Dies gilt es, in den Richtlinien festzuhalten. Wie bereits erw\u00e4hnt, lohnt es sich, f\u00fcr jeden Kommunikationskanal bestimmte Verhaltensregeln festzulegen. So sollte beispielsweise nicht auf Facebook lautstark \u00fcber den neuen Kunden kommuniziert werden, der gar nicht als Referenz genannt werden m\u00f6chte.<\/p>\n
Als Phishing werden Betrugsversuche bezeichnet, die \u00fcber gef\u00e4lschte E-Mails oder Websites versuchen, Daten abzufischen. Gerade E-Mail-Phishing ist in Unternehmen ein gro\u00dfes Thema: Um bestimmte Services nutzen zu k\u00f6nnen, werden Mitarbeiter h\u00f6flichst gebeten, ein paar Daten einzugeben \u2013 ein Link zum notwendigen Formular ist der E-Mail gleich beigef\u00fcgt. Als engagierter Mitarbeiter m\u00f6chte man dies schnell eben erledigen \u2013 und spendiert Cyberkriminellen damit f\u00fcr sie wertvolle Informationen.<\/p>\n
Besch\u00e4ftigte m\u00fcssen darauf geschult werden, derartige Betrugsversuche zuverl\u00e4ssig zu erkennen. Wissen Mitarbeiter um die Gefahren wie Phishing, werden sie im Umgang mit E-Mails von unbekannten Absendern vorsichtiger. Unliebsame \u00dcberraschungen, wie Viren und Trojaner werden so deutlich reduziert.<\/p>\n
Skimming ist eine Man-in-the-middle-Attacke, bei der illegal Kreditkarten- oder Bankkartendaten ausgesp\u00e4ht werden. Die Daten werden vom Magnetstreifen ausgelesen und auf gef\u00e4lschte Karten kopiert, mit denen dann Abhebungen oder Bezahlungen erfolgen. Skimming-Attacken k\u00f6nnen zu Datenverlusten f\u00fchren, an denen das Unternehmen zu knabbern hat. Insbesondere sind jene Mitarbeiter zu sensibilisieren, die mit den Finanzen des Unternehmens umgehen.<\/p>\n
Security Awareness gilt nicht nur f\u00fcr die Besch\u00e4ftigten selbst, sondern auch f\u00fcr die Urlaubsvertretung. Ihr solltet mit den Befugnissen und Berechtigungen des zu vertretenden Mitarbeiters vertraut sein und dieselben Sicherheitsma\u00dfnahmen treffen.<\/p>\n
In Zeiten des Immer-erreichbar-seins muss IT-Sicherheit jedoch auch auf Reisen gegeben sein. Hierzu z\u00e4hlen die unter „Mobile IT-Systeme“ genannten Hinweise.<\/p>\n
Bei Social Engineering-Angriffen wird versucht, Mitarbeitern fimeninterne Informationen zu entlocken. Das geschieht durch zwischenmenschliche Beeinflussung: Ein paar Bemerkungen zum B\u00fcroalltag, einige Informationen zu einem vermeintlich gemeinsamen Kollegen \u2013 schon reden Mitarbeiter h\u00e4ufig. Angreifer machen sich die Gutgl\u00e4ubigkeit und Hilfsbereitschaft, zuweilen auch die Unsicherheit der Besch\u00e4ftigten zunutze. Daf\u00fcr beschaffen sich Angreifer im Vorfeld entsprechende Informationen zum Unternehmen.<\/p>\n
Das unbedachte Weitergeben vertraulicher Informationen kann dem Unternehmen extrem schaden. Vertrauliche Informationen \u00fcber Mitarbeiter, Kunden oder Gesch\u00e4ftspartner, gesch\u00e4ftskritische Informationen oder Zugangsdaten m\u00fcssen immer mit gr\u00f6\u00dfter Vertraulichkeit behandelt werden. Bei der Mitarbeitersensibilisierung darf die Wichtigkeit eines kritischen Umgangs mit derlei Anfragen per E-Mail oder Telefon nicht untersch\u00e4tzt werden \u2013 das gilt ebenso f\u00fcr das pers\u00f6nliche Gespr\u00e4ch oder die sozialen Netzwerke.<\/p>\n
Twitter, Facebook & Co. sind f\u00fcr zahlreiche Unternehmen zur wichtigen Marketing-Plattform geworden. Damit laufen Unternehmen Gefahr, die Kontrolle \u00fcber pers\u00f6nliche Daten zu verlieren. Deshalb gilt f\u00fcr Firmen-Accounts insbesondere eine Regel: Das Internet vergisst nicht! Wurden Informationen versehentlich publiziert, k\u00f6nnen diese auch noch lange nach der vermeintlichen L\u00f6schung auf den Servern gespeichert sein. Es gilt, lediglich solche Informationen zu ver\u00f6ffentlichen, die tats\u00e4chlich \u00f6ffentlich eingesehen werden d\u00fcrfen.<\/p>\n
F\u00fcr den Firmen-Account muss ein sicheres Passwort gew\u00e4hlt werden. Das gilt damit auch f\u00fcr die Passw\u00f6rter der Privat-Accounts von Mitarbeitern, die Firmenseiten verwalten. Weiter m\u00fcssen die Mitarbeiter bez\u00fcglich des Phishings sensibilisiert sein, denn h\u00e4ufig kommen Phishing-Angriffe zum Einsatz. Dabei werden die Mitarbeiter \u00fcber Links auf gef\u00e4lschte Sites gelockt, geben ihre Zugangsdaten ein \u2013 und schon haben die Angreifer Zugang zum Firmen-Account.<\/p>\n
Wenn Besch\u00e4ftigte ihre privaten Accounts am Arbeitsplatz nutzen d\u00fcrfen, besteht auch hier eine gro\u00dfe Gefahr f\u00fcr die Firmen-IT. Denn Schadprogramme werden \u00fcber Nachrichten in den sozialen Netzwerken genauso empfangen, wie \u00fcber E-Mails. Auch das Social Engineering kann \u00fcber soziale Netzwerke erfolgreich betrieben werden.<\/p>\n
Durch physischen Zutrittsschutz l\u00e4sst sich ebenfalls IT-Sicherheit herstellen. Es gilt: Mitarbeiter gelangen nur an die Informationen, die f\u00fcr ihre Arbeit zwingend notwendig sind. So hat etwa der Vertriebsmitarbeiter nichts im Serverraum oder in Informationen, die die Buchhaltung angehen, zu suchen. Die Ma\u00dfnahmen f\u00fcr den Zutrittsschutz reichen von der Schl\u00fcsselvergabe bis hin zu komplexen Zutrittssystemen. Um eine Zutrittsregelung und entsprechende -kontrolle zu erreichen, ist es erforderlich, den betroffenen Bereich eindeutig zu bestimmen, die Anzahl zutrittsberechtigter Personen auf ein Minimum zu beschr\u00e4nken, Zutritte von anderen Personen ausschlie\u00dflich nach Pr\u00fcfung der Notwendigkeit zuzulassen und erteilte Zutrittsberechtigungen zu dokumentieren.<\/p>\n
<\/p>\n
Es bringt sehr wenig, Mitarbeitern zu erkl\u00e4ren, wie sie sich bei Sicherheitsvorf\u00e4llen zu verhalten haben, wenn sie solche Vorf\u00e4lle gar nicht erkennen. Zur Mitarbeitersensibilisierung geh\u00f6rt es also in einem ersten Schritt, festzuhalten, welche Ereignisse als Sicherheitsvorfall eingestuft werden und woran Besch\u00e4ftigte ihn erkennen.<\/p>\n
Der Mitarbeiter, der einen Sicherheitsvorfall bemerkt hat, macht Meldung an den Administrator. Dieser kann erste Schritte zum Behandeln des Problems einleiten. Der Administrator kontaktiert den idealerweise zur Verf\u00fcgung stehenden IT-Sicherheitsbeauftragten. Existiert ein solcher nicht, wird die Gesch\u00e4ftsleitung informiert. Gemeinsam wird der IT-Sicherheitsvorfall dokumentiert. Zum Schluss wird gekl\u00e4rt, ob der Vorfall den Sicherheitsbeh\u00f6rden gemeldet wird.<\/p>\n
<\/p>\n
In Unternehmen mit Firmenstandorten im In- und Ausland kann jeweils ein anderes Vorgehen sinnvoll sein. Mitarbeiter sollten individuell geschult und entsprechend des interkulturellen Kontextes eingebunden werden. Um das Awareness-Level kontinuierlich hoch zu halten, ist neben einem Gesamtkonzept auch eine stetige Kommunikation notwendig. Es existieren verschiedene M\u00f6glichkeiten, die Security-Strategie in verschiedenen L\u00e4ndern dem jeweiligen interkulturellen Kontext anzupassen. So kommen in den USA beispielsweise Quiz gut an, bei denen der Gewinner einen Preis erh\u00e4lt.<\/p>\n
Anders ist es im kollektivistisch gepr\u00e4gten Asien oder Indien. Hier liegt der Fokus auf der Gruppe, nicht auf dem Einzelnen. Entsprechend f\u00fchren Gruppenaufgaben zum Ziel. Im Nahen Osten sind Unternehmen streng hierarchisch organisiert. Mitarbeiter halten die Ansagen des Chefs ein.<\/p>\n
F\u00fcr alle gilt, dass neben der pers\u00f6nlichen Ansprache auch E-Mails, Give-Aways, erinnernde Plakate oder webbasierte Trainings mit spielerischem Charakter („Gamification“) in Frage kommen. Solche Aktionen halten das Awareness-Level nachhaltig hoch, sodass der Mensch vom Risiko- zum Sicherheitsfaktor im Unternehmen wird.<\/p>\n","protected":false},"excerpt":{"rendered":"
Studien zeigen immer wieder: Mitarbeiter im Unternehmen sind das gr\u00f6\u00dfte Einfallstor f\u00fcr Hacker, Wirtschaftsspione, Datendiebe und andere Cyberkriminelle. Mit der kommenden EU-Datenschutz-Grundverordnung (DSGVO) wird die Relevanz der Mitarbeitersensibilisierung noch einmal steigen: Horrende, existenzvernichtende Bu\u00dfgelder k\u00f6nnen bei Datenschutzverst\u00f6\u00dfen erhoben werden. Wir zeigen Euch, welche Fragen Ihr Euch stellen solltet. Verf\u00fcgen alle Mitarbeiter um ausreichende Kenntnis? … <\/p>\n