Mitarbeitersensibilisierung – IT-Sicherheit

Klassische Fehlerquellen – und warum sie nach wie vor relevant sind

Softwaremaßnahmen und auch die Implementierung neuer Hardware, die für Sicherheit im Bereich der IT-Infrastruktur sorgen, sind ein erster Schritt einer Minderung von Cyber-Security-Risiken im Umgang mit Daten. Die größte Fehlerquelle ist jedoch nach wie vor der Mensch, der Geräte und Applikationen bedient. Aus diesem Grund ist es heute unverzichtbar, Mitarbeiter für das Thema IT-Sicherheit zu sensibilisieren.

E-Mail-Anhänge waren vor 20 Jahren ein akutes Thema, wenn es darum ging, Schadsoftware in Unternehmen zu verbreiten – und daran hat sich bis heute nichts geändert. Aktuelle Ransomware etwa verbreitet sich über diese Methode. Auch Trojaner, die aus einem Unternehmensnetzwerk unbemerkt ein Botnetz aufbauen, finden sich gerne in diesen Anhängen. Die Schäden können immens ausfallen und je nach Unternehmensgröße dreistellige Millionenbeträge erreichen.

Dies zeigt: Um die Mitarbeitersensibilisierung müssen sich Unternehmen heute mehr denn je kümmern, denn auch die Schadsoftware wird immer ausgefeilter. Am Anfang reichen Schulungen, Kurse, Meetings und Seminare aus, die selbst vermeintlich kleinere Themen ansprechen.

Kennwortsicherheit

Zugänge zu geschützten Bereichen verweisen normalerweise auf Daten, die ein hohes Schadenspotenzial mitbringen. Aus diesem Grund ist das Thema Kennwortsicherheit unbedingt anzusprechen. Verdeutlichen Sie, warum „abc123“ oder sogar Vornamen oder Geburtstage von Mitarbeitern einfach keinen sicheren Schutz bieten. Insbesondere persönliche Daten sollten niemals als Passwort verwendet werden, da sich diese durch Social Engineering recht einfach ermitteln lassen.

Emails

Wie bereits erwähnt, sind Emails noch immer ein großes Einfallstor für Schadsoftware, Phishing-Angriffe und weitere Methoden, um Schaden zuzufügen. Mitarbeiter sollten unbedingt wissen, wie im Fall eines Schadens vorgegangen wird oder auf welche Weise sich sichere Nachrichten von unsicheren Exemplaren unterscheiden lassen. Hier helfen strenge IT-Richtlinien, auf die der nächste Abschnitt in diesem Artikel eingehen wird.

Natürlich gibt es noch viele weitere Bereiche, die sich für die Mitarbeitersensibilisierung eignen. Mit diesen beiden Schritten haben Sie jedoch die größten Brandherde, die durch den durchschnittlichen Mitarbeiter in einem Büro entfacht werden können, im Griff.

IT-Sicherheit unternehmensweit umsetzen

Die IT-Compliance in Unternehmen stellt sicher, dass sich sowohl Hardware als auch Software und auch Human Resources – sprich: die Mitarbeiter – an die IT-Guidelines halten. Jene Richtlinien lassen sich als Handbuch beschreiben, das Erste Hilfe im Ernstfall bietet. Der IT-Support im Unternehmen weiß genau, welche Schritte bei welchen Schadensfällen einzuleiten sind. Schwere eventuell auftretende Datenverluste können sich damit präventiv bekämpfen lassen.

Aufgabe der IT-Compliance ist es, sicherzustellen, dass jene Richtlinien auch eingehalten werden. Regeln bieten keinen Schutz, wenn diese gebrochen werden. Wie etwa gehen Mitarbeiter mit bestimmten Datentypen um? Halten sich Angestellte an Regeln in BYOD-Umgebungen? Erfolgen Logins von außen über sichere VPN-Verbindungen oder gibt es hier möglicherweise Sicherheitslücken? Eine strenge IT-Compliance in Unternehmen ist unverzichtbar, um die Einhaltung von Sicherheits-Guidelines zu garantieren.

Mitarbeitersensibilisierung – ein einmaliges Thema?

Insbesondere in modernen IT-Umgebungen – mit Cloud-Anbindungen, Geräte vom Smartphones bis zum Desktop-PC, mehreren Betriebssystemen, plattformunabhängiger Software über die Cloud und mehr – sollten Unternehmen unbedingt darauf achten, Kurse und Meetings häufiger als nur einmal pro Jahr abzuhalten. Vor allem IT-orientierte Unternehmen können sich Datenverluste sehen sich jeden Tag unzähligen Angriffen ausgesetzt. Die meisten davon werden nicht bemerkt, da sie an der Firewall scheitern.

Trotzdem bleibt eine Gefahr für den Datenschutz bestehen, die sich heute schneller wandelt es je zuvor. Wir raten daher dazu, jene Sensibilisierung eher zu häufig als zu selten durchzuführen. Vor allem beim Umgang mit neuer Software, der Migration von bestehenden Systemen in die Cloud oder etwa dem Wechsel von E-Mail-Clients sollten Mitarbeiter sofort erfahren, wo mögliche Gefahren liegen und wie sich diese vermeiden lassen. Jene Schulung sollte auch nicht von einfachen Mitarbeitern „nebenbei“ erledigt werden, sondern von ausgebildetem Personal aus dem Compliance-Bereich.

Jedes Unternehmen sensibilisiert anders

Ein goldenes Rezept für eine Sensibilisierung gibt es nicht. Abhängig von der Software und wie Mitarbeiter alltäglich damit umgehen, sollten auch andere Themen im Vordergrund stehen. Denkbare Themen sind heute etwa Bereiche wie das Social Engineering: Facebook, Instagram & Co. werden auch von Angreifern ausgenutzt, um persönliche Daten über Opfer in Erfahrung zu bringen. Befinden sich darunter persönliche Informationen wie Passwörter oder Zugangsnamen, können Sie sich den eventuell auftretenden Schaden leicht vorstellen. Machen Sie Mitarbeitern bewusst, dass soziale Netzwerke auch ein Spielplatz für Angreifer sind. Vielleicht herrscht in Ihrem Unternehmen auch eine Bring Your Own Device-Philosophie. Dann wäre es besonders empfehlenswert, darauf einzugehen, wie Mitarbeiter Gefahren beim Umgang mit den eigenen Geräten erkennen und gegebenenfalls handeln können.

Hilfe aus dem Softwarebereich

Zu guter Letzt lassen Sie Ihre sensibilisierten Mitarbeiter ab jetzt mit Hardware und Software umgehen, die von sich aus bereits sehr sicher arbeitet – wie etwa unsere hauseigenen ShyNet Cloud-Umgebungen. Für Datenschutz, Antivirenschutz und Backup-Strategien für Datenverluste ist hier bereits automatisch gesorgt. Sie vereinen somit eine hohe Sicherheit auf Hardwareebene mit Mitarbeitern, die sich keine Fehler beim Umgang mit sensiblen Daten erlauben.

Oktober 19, 2017