So schulen Sie das Bewusstsein für IT-Sicherheit bei Ihren Mitarbeiter

Wer IT-Sicherheit hört, denkt als erstes an Technologien, wie zum Beispiel Firewall, Virenscanner oder Verschlüsselung. Allerdings birgt menschliches Fehlverhalten laut zahlreicher Studien die größte Gefahr. So fängt der Schutz von IT im Kopf an. Wir geben Ihnen Tipps, wie Sie die IT-Sicherheit Ihres Unternehmens im Bewusstsein Ihrer Mitarbeiter regelrecht verankern.

Ursache für Sicherheitsprobleme ist fast immer menschliches Versagen. So entstanden mehr als 90 Prozent der Lücken, die 2014 in IT-Sicherheitssystemen entdeckt wurden, nach Informationen der weltweit tätigen IT-Sicherheitsorganisation (ISC)2 (International Information Systems Security Certification Consortium) durch menschliches Fehlverhalten. Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) führt menschliches Versagen in seinem Lagebericht der IT-Sicherheit in Deutschland als eine der zentralen Bedrohungen auf. Die Europäische Agentur für Netz- und Informationssicherheit (ENISA) konstatiert jährlich wiederkehrend, dass Menschen das schwächste Glied in der Sicherheitskette bleiben. Und laut des Global IT Security Risks Survey 2015 des IT-Sicherheitsunternehmens Kaspersky hatten im letzten Jahr 73 Prozent aller Unternehmen mit internen IT-Sicherheitslücken zu kämpfen. Aus den genannten Berichten und Studien geht hervor, dass es sich hier insbesondere um ungewollten Datenverlust oder -preisgabe durch eigenes Personal, Softwarefehler und den Verlust oder Diebstahl mobiler Geräte handelt.

Interne Risikoquellen sind zum Beispiel:

Brände im Rechenzentrum
Stromausfälle
Server-Festplattencrash durch Überlastung
Falsche Nutzung von Software
Datenverlust oder Diebstahl von Mobile Devices
Nichterkennung von Schadsoftware durch fehlende Schulung

IT-Sicherheit muss in Fleisch und Blut übergehen

Um Ihre Mitarbeiter für IT-Gefahren zu sensibilisieren sollten Sie diese immer wieder und wieder darauf aufmerksam machen. Zum Beispiel können Sie eine Webinarreihe erarbeiten, die Ihre Mitarbeiter sich bei Bedarf wiederholt ansehen können.

Wichtige Themen wären zum Beispiel:

Wie Sie sicher mit mobilen Endgeräten umgehen!

Auch wenn die Mobilität eine der wichtigsten Aspekte der fortschreitenden Digitalisierung ist, birgt sie viele Gefahren. Denn die zahlreichen Endgeräte von Mitarbeitern im Vertrieb, in der Montage oder im Lager tragen zur steigenden Komplexität von Netzwerken bei. Gleichzeitig wächst die Diebstahlquote exponentiell. Sensibilisieren Sie Ihre Mitarbeiter, so dass sie mehr auf ihr Firmengerät achten:

Bewährt hat sich in diesem Fall zum Beispiel zu Beginn jedes Meetings das Thema Sicherheit, zum Beispiel in Form von einem alltäglichen Tipp, immer wieder ins Bewusstsein zu rufen.
Eine weitere Möglichkeit ist der Einsatz von kleinen Alarmsensoren, die anschlagen, wenn sich ein Smartphone oder Laptop, vom Besitzer zu weit entfernt.
Sollte ein Device doch einmal verloren gehen, sollten die Daten darauf verschlüsselt und auch das Zugangspasswort sicher sein.
Zudem sollten die Daten auf dem Gerät über eine zentrale Verwaltung mit einer Mobile Management Software sofort gelöscht werden können. So kann es auch geortet werden. Dafür ist es aber wichtig, dass der Mitarbeiter den Verlust sofort meldet. Dies ist auch im Zuge des Daten- und Identitätsschutzes rechtlich sehr wichtig. Denn ein Verlust kann strafrechtliche Konsequenzen und hohe Kosten nach sich ziehen. Nicht zu vergessen: der Imageverlust.

Auch Social Media will gelernt sein!

Social Media gehört heute, auch bei kleineren und mittleren Unternehmen, dazu. Bilden Sie Ihre Mitarbeiter zielgerichtet für die Nutzung der sozialen Plattformen aus. Welche Informationen dürfen veröffentlicht werden und welche nicht? Denken Sie daran, Ihren Mitarbeitern vor allem die umfangreichen Privatsphäre-Einstellungen ans Herz zu legen. Auch Konversationen aus Chats und Foren, beispielsweise mit Kunden zu Qualitätsfragen, gehören dazu. Entwickeln Sie einen Social-Media-Codex, in dem klare Verhaltens- beziehungsweise Kommunikationsregeln aufgestellt werden. So sorgen Sie dafür, dass sich Kunden und Geschäftspartner das richtige Bild von Ihrem Unternehmen machen.

So schützen Sie Ihre Identität!

Schon im Privatleben eine Horrorvorstellung: Ihre persönlichen Daten werden im Internet für Käufe von Fremden eingesetzt. Der Schaden, der entsteht, wenn Identitäten von Mitarbeitern genutzt werden, kann für Unternehmen sogar irreparable Schäden zur Folge haben. Sie werden oftmals nicht nur für den unbefugten Zugang zu Portalen, Netzwerken oder Bankkonten benutzt. Mittlerweile gibt es regelrechte Profis, die sich auf die Nutzung dieser Daten spezialisiert haben und noch viel mehr Schaden anrichten können. Deshalb ist es wichtig, dass Sie sich über das Rechtemanagement im Vorfeld intensiv Gedanken machen. Wer bekommt welche Rechte im Unternehmen? Schließlich steht die Identität Ihrer Mitarbeiter auch für die Identität Ihres Unternehmens!

Einmal im Internet, immer im Internet!

Ist erst einmal etwas im Internet veröffentlicht, bahnt es sich sehr schnell einen Weg durch die unendlichen Weiten des WWW. Noch Jahre später können Informationen an anderer Stelle auftauchen. Auch wenn mittlerweile Suchmaschinen unter bestimmten Umständen verpflichtet sind, Inhalte wieder zu löschen, sollten Ihre Mitarbeiter immer daran denken: das Internet vergisst nichts.

Nur rechtlich legitimierte Inhalte ins Internet laden!

Richtig teuer kann die Verletzung von Urheberrechten sein. Kurz mal hier ein Bild aus dem Internet für die Mitarbeiterzeitung hochgeladen, die allerdings auch im Internet veröffentlicht wird oder hier einen Text für Ihr neuestes Produkt nutzen, das ein wenig am Konkurrenzprodukt angelehnt ist.

Ihre Mitarbeiter sollten Texte, Bilder und Videos nur dann im Internet einsetzen, wenn Ihr Unternehmen alle Rechte an diesen besitzt oder am besten die Inhalte selbst erstellt wurden. Denken Sie auch an die Datenschutzrechte Dritter! Sonst kann es richtig teuer werden!

Wählen Sie ein sicheres Passwort!

Vergeben Sie unternehmensweit nur sichere Passwörter! Sichere Passwörter sind mindestens 15 Zeichen lang und bestehen aus einer Kombination von Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen. Ihre Mitarbeiter sollten für jeden Zugang zu einem Portal oder Netzwerk ein anderes Passwort nutzen, das regelmäßig gewechselt wird.

Nur verschlüsselte Kommunikation ist gute Kommunikation!

Digitale Kommunikation kann man sich so vorstellen: In Datenpaketen, die mit Zügen zu vergleichen sind, passieren zum Beispiel E-Mails zahlreiche Server, die praktisch wie Bahnhöfe fungieren, bis Ihre E-Mails an ihrem Ziel ankommen. Unverschlüsselte Daten können auf diesen Servern von Hackern wie Postkarten gelesen werden. Deshalb sollten im Unternehmensalltag E-Mails nur verschlüsselt „auf die Reise gehen“. Gleiches gilt auch für Datenverbindungen. Die Daten werden in Pakete gepackt, die unterwegs auch abgefangen werden können. Sicher ist hier zum Beispiel die Nutzung eines Virtual Private Network (VPN), das als privater Tunnel durch das öffentliche WWW fungiert und eine sichere Übertragung von Daten und Sprachmitteilungen ermöglicht. Die praktische Nutzung für die Mitarbeiter verläuft, bis auf den Einsatz eines Passworts beim Zugang, fast wie gewohnt.

Aktualisieren Sie Ihre Betriebssysteme regelmäßig!

Betriebssysteme werden laufend technisch weiterentwickelt – auch um mögliche enthaltene Schwachstellen zu schließen. Selbst wenn jeder IT-Mitarbeiter weiß, dass man seine Systeme regelmäßig mit (Sicherheits)Patches und -Updates aktualisieren sollten, kann dies schon mal im Alltagsstress untergehen. Installieren Sie Alarmsysteme, die die Verantwortlichen daran erinnern, Software immer aktuell zu halten. Auch Laptops, Smartphones und Tablets sollten immer up-to-date sein. Das ist eine der wichtigsten Voraussetzungen, um sich vor Phishing-Betrügern und dem Upload von Schadprogrammen zu schützen. Wichtig: Halten Sie insbesondere Ihre Sicherheitssoftware auf dem neuesten Stand!

Erst denken, dann klicken!

Jeder kennt es: Sehen E-Mails nicht ganz offensichtlich nach Spam aus, öffnet man diese schon mal schnell und klickt unter Umständen und ohne zu überlegen auf einen Link oder öffnet einen Dateianhang. Schnell ist auf diese Malware auf dem eigenen System installiert. Deshalb sollten nur Dateien geöffnet werden, die als absolut sicher einzustufen sind und am besten zuvor von der eigenen Sicherheitssoftware untersucht wurden.

Strikte Trennung von beruflich und privat!

Wenn Mitarbeiter mobile Geräte auch für private Zwecke nutzen oder ihre privaten Smartphones und Tablets beruflich einsetzen, sollten private und Unternehmensdaten z.B. in Form von Sicherheitscontainern getrennt sein.

Fazit

IT-Sicherheit ist insbesondere im Zuge fortschreitender Digitalisierung eines der wichtigsten IT-Themen. Wer seine Mitarbeiter umfassend schult und die Zusammenhänge erklärt, damit Schutzmaßnahmen nachvollziehbar und verständlich sind, kann die Schadensquote enorm senken. Wichtig ist dabei, nicht nur einmal eine Schulung anzubieten. IT-Sicherheit sollte zum Beispiel durch Webinare, in Meetings, Newslettern oder bei Veranstaltungen immer wieder thematisiert werden.

Quellen:

Bundesanstalt für
Finanzdienstleistungsaufsicht: IT-Sicherheit: Der Faktor Mensch – Das schwächste Glied

Über
Letzte Artikel

Jana Behr

Jana Behr ist IT-Fachredakteurin, PR-Beraterin sowie Bloggerin aus Köln und beschäftigt sich leidenschaftlich gern mit allen Themen rund um IT, Telekommunikation und Digitalisierung.

Letzte Artikel von Jana Behr (Alle anzeigen)