Eine Clean Desk Policy fördert ein aufmerksames Sicherheitsverhalten der Mitarbeitenden an ihrem Arbeitsplatz und schützt sie so vor unliebsamen Cyberangriffen. Denn IT-Gefahren lauern nicht nur online: Internetbetrüger verschaffen sich auch offline Zugang zu sensiblen KMU-Daten und Dokumenten. Mit einheitlichen Leitlinien lässt sich dieses Cyberrisiko deutlich reduzieren.
Nicht immer ist es eine verschlüsselte E-Mail oder ein verhängnisvoller Download, der einen Cyberangriff auslöst: Auch der physische Arbeitsplatz von Mitarbeitenden kann Cyberbetrügern ausreichend Informationen offenlegen und ihnen so Zugang zu sensiblen Firmendaten gewähren. Viele Unternehmen fokussieren sich in ihrer Cyberabwehr vor allem auf die Gefahren im Netz und unterschätzen so das Risiko am persönlichen Arbeitsplatz. Doch während Virenprogramme, E-Mail-Blocker und Patches die computerbasierte IT-Sicherheit stärken, so braucht es eine Clean Desk Policy, um die Cyberrisiken am physischen Arbeitsplatz zu reduzieren.
Risiko am Arbeitsplatz
Der physische Arbeitsplatz von Mitarbeitenden kann Cyberbetrügern ungewollt als reichhaltige Informationsquelle dienen. Offen herumliegende Daten ermöglichen ihnen einen einfachen Zugang zur IT-Infrastruktur einer Firma und ein unaufgeräumter Schreibtisch wandelt sich rasch zu einem Risikofaktor für die IT-Sicherheit. Die folgenden fünf Verhaltenstipps zeigen auf, wie Mitarbeitende mit einem aufgeräumten Arbeitsplatz die IT-Sicherheit des Unternehmens stärken:
1. Passwörter und Login-Daten sicher verwahren
Passwörter, die auf Post-It-Zettel am Arbeitsplatz kleben, sind für Cyberbetrüger ein gefundenes Fressen. Ohne viel Aufwand können sie sich damit Zugang zu den Firmenservern verschaffen und an wichtige Informationen gelangen. Es ist daher entscheidend, dass Mitarbeitende ihre Login-Daten und Passwörter an einem sicheren Ort aufbewahren und sie damit vor unbefugten Blicken schützen – Passwort-Manager wie etwa der Pleasant Password Server sind eine sinnvolle und sichere Lösung.
2. Wichtige Dokumente archivieren oder wegschliessen
Lagern auf einem Schreibtisch viele Dokumente, so ist es einfacher, Unterlagen unbemerkt zu entwenden. Der Diebstahl lässt sich schwieriger aufdecken und er kann lange unbemerkt bleiben – je mehr Zeit vergeht, desto grösser der Schaden für das Unternehmen.
Statt den Schreibtisch also als Ablagefläche zu verwenden, sollen Mitarbeitende wichtige Papiere stets in gesicherten Dokumentenschubladen oder im entsprechenden Archiv aufbewahren. Nicht mehr benötigte Dokumente sind zeitnah zu entsorgen, wobei insbesondere im Falle von vertraulichen Informationen ein Aktenvernichter zum Einsatz kommen muss.
3. Computer nicht ungesichert zurücklassen
Verlässt ein Angestellter seinen Arbeitsplatz für eine gewisse Zeit, so ist der Computer in jedem Fall mit einem Passwort zu sichern. Noch zielführender ist es, wenn die IT-Verantwortlichen des KMU unternehmensweit eine einheitliche Sperrzeit einrichten: Bereits nach wenigen Minuten der Inaktivität erfolgt automatisch eine Bildschirmsperre, die sich nur mit dem persönlichen Passwort wieder lösen lässt.
Nutzen die Mitarbeitenden ein Notebook, so ist darüber hinaus dessen Festplatte zu sichern und zu verschlüsseln. Diese Massnahme gewährleistet, dass die Daten der Festplatte auch bei Diebstahl des Notebooks unzugänglich bleiben.
4. Mobile Hardware sichern
Nicht nur die Computer, sondern auch herumliegende mobile Hardware kann die Cybersicherheit eines KMU gefährden. Wer eine externe Festplatte, einen USB-Stick oder sein Mobiltelefon ungesichert am Arbeitsplatz zurücklässt, riskiert, dass Cyberkriminelle das Gerät mit einer Malware infizieren und sich diese beim nächsten Anschluss auf die internen Systeme überträgt. Ein grosses Risiko, welches sich mit einfachen Routinen vermeiden lässt.
5. Unbefugten den Zugang verwehren
Ergänzend zu den bereits genannten Massnahmen sollte ein Unternehmen weitere Schritte ergreifen, um Unbefugten den Zugang zu den Büroräumlichkeiten der Firma zu verunmöglichen. Zutrittsbeschränkungen sowie ein intelligentes Schlüsselmanagementsystem tragen dazu bei, unerwünschte Besucher von den Arbeitsplätzen fernzuhalten.
Clean Desk Policy: Einheitliche Richtlinien für den Arbeitsplatz
Mitarbeitende sind ein beliebtes Ziel für Cyberangriffe, denn ein einziger unaufmerksamer Moment kann genügen, um die IT-Systeme mit einem Virus oder einer Malware zu infizieren. Daher ist es umso wichtiger, dass die gesamte Belegschaft die Massnahmen der Cybersicherheit aktiv mitträgt und durchsetzt. In einer umfassenden Clean Desk Policy (Clean-Desk-Richtlinie) lassen sich Verhaltensrichtlinien, einheitliche Standards und Erwartungen des Unternehmens rund um den Arbeitsplatz festhalten. Sie ist damit ein verbindliches Regelwerk für das Sicherheitsverhalten der Mitarbeitenden am physischen Arbeitsort.
Mit regelmässigen Schulungen zum Thema Cybersicherheit am Arbeitsplatz sorgt das Unternehmen dafür, dass sämtliche Angestellten die Clean-Desk-Richtlinie verstehen, implementieren und unterstützen. Als positiver Nebeneffekt steigert das Regelwerk nicht nur die IT-Sicherheit in der Firma, sondern auch die Produktivität der Mitarbeitenden, da diese weniger Zeit mit dem Suchen von Dokumenten oder Notizen verlieren. 
Abbildung 1: Inhalte einer Clean Desk Policy
Ordnung und IT-Sicherheit mit externen IT-Spezialisten umsetzen
Unabhängig davon ob es sich um ein KMU, ein Start-Up oder ein international tätiges Unternehmen handelt – die IT-Sicherheit sollte stets weit oben auf der Prioritätenliste stehen. Für einen wirksamen Schutz vor Cyberangriffen sind nebst den technischen Sicherheitsvorkehrungen insbesondere auch die physische Arbeitsumgebung und die Mitarbeitenden einzubeziehen.
Für die Ausarbeitung eines umfassenden und sicheren IT-Schutzkonzepts braucht es die Expertise von IT-Fachspezialisten. Fehlen diese im eigenen Unternehmen, so unterstützen qualifizierte IT-Dienstleister mit Erfahrung in Managed Cyber Security die Ausgestaltung einer sicheren IT-Umgebung. Die externen IT-Dienstleister nehmen unter anderem bei der Erstellung und Bekanntmachung einer Clean-Desk-Richtlinie eine zentrale Rolle ein: Sie beraten KMU bei der Aufbereitung und kümmern sich bei Bedarf darum, dass die Policy mit regelmässigen Schulungsveranstaltungen wunschgemäss angewendet wird. Mit der Forderung nach einem «Clean Desk» steigert ein KMU nicht nur die Cybersicherheit, sondern auch die Produktivität und die Eigenverantwortung der Mitarbeitenden. Mit externer Unterstützung lassen sich Cyberangriffe professionell verhindern und das KMU kann sich auf das Erfüllen der Unternehmensziele fokussieren.
Titelbild: Pixabay
.png){kind=icon}
