Die IT Security ist ein entscheidender Faktor für den wirtschaftlichen Erfolg eines KMU. Sie reduziert die Risiken für finanzielle Schäden durch IT-Ausfälle und verhindert negative Auswirkungen auf das Firmenimage. Nicht nur externe Faktoren bedrohen die Cyber Security: einen massgeblichen Anteil an der Sicherheit von Daten, Anwendungen und IT-Systemen hat das Verhalten der eigenen Mitarbeitenden. Voraussetzung dazu ist das Bewusstsein aller Mitarbeitenden über die möglichen Gefahren in der Unternehmens-IT, wie sie sich vermeiden lassen und welche Richtlinien und Verantwortlichkeiten einzuhalten sind.
Mit diesen fünf Tipps lässt sich die IT Security in KMU durch die Mitarbeitenden fördern:
Tipp 1: Regelmässige Schulungen der Mitarbeitenden zu Themen der Cyber Security
Nur wer mögliche Gefahren für die Sicherheit der IT kennt und weiss, wie er sich in der täglichen Arbeit und im Ernstfall zu verhalten hat, kann seinen Beitrag zur Cyber Security leisten. Unerlässlich sind regelmässige Schulungen des Personals zu den verschiedenen Themen der Cybersicherheit. Mögliche Fragestellungen, die diese Schulungen behandeln sollen, sind etwa die folgenden:
- Was sind Phishing-Attacken? Wie werden sie erkannt und verhindert?
- Was ist Social-Engineering? Wie lässt es sich identifizieren und abwehren?
- Wie verhindert man, dass Malware auf den Rechner gelangt?
- Was zeichnet ein sicheres Passwort aus und wie ist damit umzugehen?
- Wie schützen Mitarbeitende ihren physischen Arbeitsplatz gegen Cyberkriminalität?
- Was sind die wichtigsten Regeln im Umgang mit Daten?
Hier erfahren Sie mehr zu den wichtigsten Schulungsthemen für KMU-Mitarbeitende zur Cybersicherheit.
Tipp 2: Verbindliche Richtlinien für Mitarbeitende zur IT-Sicherheit definieren und kommunizieren
Sind sich die Mitarbeitenden über die zahlreichen Gefahren für die IT-Sicherheit bewusst, benötigen sie klare Regeln und Vorgaben, wie sie sich in der täglichen Arbeit zu verhalten haben. Das KMU muss verbindliche Richtlinien für das Personal definieren und zur Verfügung stellen. Inhalte der Vorgaben sind neben den Regeln klar formulierte Reportingprozesse im Fall von Security-relevanten Vorfällen. Auch sollen deutliche Hinweise enthalten sein, mit welchen Konsequenzen Mitarbeitende bei Verstössen gegen die IT-Sicherheitsrichtlinien zu rechnen haben.
Oft kann beobachtet werden, dass Mitarbeitende an einem unaufgeräumten Pult USB-Sticks, Smartphone, Notebook oder vertrauliche Informationen offen und ungesichert am Arbeitsplatz zurücklassen – so können sich Unbefugte auf einfache Weise Zugang zu vertraulichen Informationen oder zur IT-Infrastruktur verschaffen und umgehen so jede noch so sichere Firewall im Unternehmen. Ein sinnvoller Teil der Richtlinien für die Cybersicherheit ist daher eine Clean Desk Policy. Dieses Regelwerk definiert das sichere Verhalten am physischen Arbeitsplatz und verlangt vom Personal ein nach bestimmten Kriterien aufgeräumtes Arbeitspult (Clean Desk). Damit lässt sich der unbefugte Zugriff auf vertrauliche oder kritische Dokumente und Daten am Arbeitsplatz verhindern.
Tipp 3: Laufende interne Cyber-Security-Kampagnen und regelmässige aktuelle Informationen
Wichtig ist es, die Mitarbeitenden mit internen Cyber-Security-Kampagnen und regelmässig aktualisierten Informationen zur IT-Sicherheit zu sensibilisieren. Für die Kommunikation mit dem Personal können Medien wie der interne E-Mail-Newsletter, das Intranet, interne soziale Netzwerke, der unternehmenseigene Messenger und Plakate oder Flyer zum Einsatz kommen. Besteht eine aktuelle Bedrohungslage für die IT oder ist ein sicherheitsrelevantes Ereignis aufgetreten, sollten Kommunikationswege zur Verfügung stehen, die die Mitarbeitenden unmittelbar informieren. Dies können Push-Meldungen auf dem Smartphone oder Alarme auf dem PC-Desktop sein.
Tipp 4: Konsequente Anwendung des Least-Privilege-Prinzips im gesamten Unternehmen
Ein konsequent umgesetztes Least-Privilege-Prinzip gilt als eine der wirkungsvollen Grundlagen, um in Unternehmen IT-Gefahren abzuwenden. Es besagt, dass Mitarbeitende nur diejenigen Zugriffsrechte auf IT-Systeme und Daten erhalten, die sie für die Ausführung der ihnen übertragenen Arbeit wirklich benötigen. Damit lässt sich etwa das Risiko von Downloads von Schadsoftware reduzieren. Administratorenrechte sollen ausschliesslich wenigen Personen der IT-Abteilung oder des externen IT-Partners gewährt werden. Das Least-Privilege-Prinzip wird über die Zuordnung der Anwender zu bestimmten Gruppen mit klar definierten Rollen in einem strukturierten Rechtekonzept in die Praxis umgesetzt.
Tipp 5: Die Unternehmensführung und das mittlere Management gehen in Sachen Cybersicherheit mit gutem Beispiel voran
Unerlässlich für die Glaubwürdigkeit der Massnahmen und Anstrengungen zur IT-Sicherheit ist, dass die Unternehmensführung und das mittlere Management stets mit gutem Beispiel vorangehen. Sie pflegen einen aufgeräumten Arbeitsplatz, gehen verantwortlich mit Daten oder Zugangskennungen um und kennen die internen oder externen Gefahren für die Cybersicherheit. Im Sinne ihrer Vorbildfunktion besuchen Management und IT-Verantwortliche die Security-Schulungen gemeinsam mit den Mitarbeitenden. Dies zeigt die Relevanz des Themas und fördert einen konstruktiven Dialog zwischen Personal und Vorgesetzten.
Fazit
Durch verantwortungsvolles und geschultes Verhalten der Mitarbeitenden wird die IT Security im Unternehmen deutlich gesteigert. Dies lässt dich durch die Umsetzung der beschriebenen Massnahmen wirkungsvoll erreichen. Nachhaltige IT-Sicherheit stellt sich allerdings nur ein, wenn diese Tipps nicht nur einmalig umgesetzt werden, sondern zu einem festen Bestandteil des laufenden unternehmerischen Risiko-Managements werden. Wertvolle Unterstützung dazu bieten auch erfahrene Dienstleister im Bereich Managed IT Services. Diese liefern hilfreiche Beratung zu den flankierenden Massnahmen, unterstützen bei Schulungen oder bei der Einführung von IT-Sicherheitsrichtlinien im Unternehmen.
Titelbild: Shutterstock