Der IT-Blog für KMU.
Stets aktuell.
Immer.

Cyber Security am KMU-Arbeitsplatz: 9 Richtlinien + 1 Tool

IT-Sicherheit am Arbeitsplatz von KMU abseits der Firewall.jpeg

Spricht man über Datensicherheit oder Cyber Security, so spielt der physische Arbeitsplatz der Mitarbeitenden eine wichtige Rolle. Gerade das Arbeitspult kann als reichhaltige Quelle von vertraulichen Informationen dienen, bis hin zu offen zur Schau gestellten Login-Daten zur IT-Infrastruktur.

Nicht selten kommt es vor, dass Mitarbeitende mit einem überhäuften Pult USB-Sticks, Smartphone oder Notebook ebenfalls offen und ungesichert am Arbeitsplatz lassen – so können sich Unbefugte auf einfache Weise Zugang zu vertraulichen Informationen oder zur IT-Infrastruktur verschaffen und umgehen so jede noch so sichere Firewall im Unternehmen. Ein unordentlicher Arbeitsplatz erschwert es zudem festzustellen, dass gewisse Dokumente plötzlich fehlen – ein Diebstahl wird so nur mit Verzögerung bemerkt und bis mit der Ermittlung des Täters oder mit der Suche eines gestohlenes Dokuments begonnen werden kann, verstreicht wertvolle Zeit.

Es empfiehlt sich daher, das Personal zu einem aufgeräumten Arbeitsplatz, einem Clean Desk, zu ermutigen. Damit erhöht sich nicht nur die Datensicherheit, sondern gleichzeitig kann schneller auf Tools und Dokumente zugegriffen werden – die individuelle Produktivität steigt.

Clean Desk Policy für erhöhte Datensicherheit am Arbeitsplatz

Mit einer Clean Desk Policy, einem Regelwerk für das Sicherheitsverhalten am physischen Arbeitsplatz, lassen sich die Erwartungen des Unternehmens formalisieren und für das gesamte Personal vereinheitlichen. Die nachfolgenden Richtlinien dienen als zentrale Bausteine für eine derartige Policy für sämtliche Mitarbeitenden und sie lassen sich in einem KMU einfach umsetzen. Sie leisten zusammen mit den weiteren Massnahmen zur Cyber Security (Firewall, Security-Software, Managed IT Services) einen entscheidenden Beitrag zur Gewährleistung der IT-Sicherheit im gesamten Unternehmen.

Richtlinien einer Clean Desk Policy für Mitarbeitende

1. Unbefugten Zugang zu sensiblen Dokumenten verhindern

Wenn Sie den Arbeitsplatz verlassen, gehören Dokumente, Ausdrucke und Notizzettel mit vertraulichen oder privaten Daten nicht offen auf das Arbeitspult. Dokumente sind in einer Schublade zu verschliessen, im dafür vorgesehen Archiv zu lagern oder bei Nichtgebrauch im Aktenvernichter zu entsorgen. Die Arbeitsfläche soll stets in Ordnung gehalten werden und einen aufgeräumten Eindruck hinterlassen. So bleiben vertrauliche Informationen vertraulich. 

2. Computer und Smartphone bei Nichtbenutzung sperren

Ihre Arbeit ist wertvoll und wichtig. Denken Sie daher daran, Computer und Smartphone mit der automatischen Sperrung zu versehen. Der Bildschirm soll nach kurzer Zeit der Inaktivität automatisch blockiert werden und nur mit dem Ihnen bekannten Passwort entsperrt werden können. Damit sind die Geräte gesichert, wenn Sie sie gerade nicht verwenden  und Ihre Daten sowie Dokumente bleiben vor neugierigen Blicken, unerwünschten Zugriffen oder Manipulationen geschützt.

3. Nicht mehr benötige Dokumente vernichten

Jedes Dokument kann potenziell vertrauliche oder sensitive Informationen enthalten. Entsorgen Sie deshalb nicht mehr benötigte Papiere nicht im Papierkorb, sondern beseitigen Sie diese im Aktenvernichter. Ausnahme bilden die von Gesetzes wegen zu archivierenden Dokumente, welche im dafür vorgesehen Archiv abzulegen sind.

4. Dokumentenschubladen und -schränke stets verschliessen

Wir erschweren Unbefugten den Zugang zu unseren physischen Dokumenten und wollen unerwünschte Zugriffe sofort erkennen können. Die entsprechenden Schubladen und Schränke sind daher stets zu verschliessen und die Schlüssel an einem gesicherten Ort aufzubewahren.

5. Mobilgeräte und Zubehör nie offen liegen lassen

Smartphones und Speichermedien (z.B. USB-Sticks) mit vertraulichen Informationen lassen sich bei einer kurzen Unaufmerksamkeit einfach entwenden. Lassen Sie daher diese Geräte und Speicher nie unbeaufsichtigt liegen. Bewahren Sie sie in einer abgeschlossenen Schublade auf oder tragen Sie sie sicher auf sich.

6. Keine USB-Sticks unbekannter Herkunft verwenden

Mit Malware infizierte USB-Sticks können Computern oder Netzwerken Schaden zufügen und unbefugt Daten auslesen.  Verwenden Sie niemals gefundene, als Werbegeschenke überreichte oder von Unbekannten stammende USB-Sticks. USB-Sticks mit unklarer Herkunft sollen umgehend beim IT-Verantwortlichen abgegeben werden.

7. Festplatte verschlüsseln lassen

Ihr Notebook enthält sensitive Daten. Wird dieser von Cyberkriminellen gestohlen, steckt oft die Absicht dahinter, durch technisch aufwendige Massnahmen auf die Daten zuzugreifen. Stellen Sie mit dem internen/externen IT-Ansprechpartner sicher, dass die Daten auf Ihrem Notebook verschlüsselt werden und so auch bei einem Hardware-Diebstahl unzugänglich bleiben. 

8. Flip-Charts mit Notizen nach Sitzungsende entfernen

Flip-Charts oder Whiteboards werden oft verwendet, um neue Produkt­ideen oder strategische Überlegungen zu skizzieren. Verschliessen Sie die entsprechenden Blätter daher nach der Sitzung in einer Schublade oder vernichten Sie die Skizzen und Notizen im Aktenvernichter bzw. löschen Sie sie.

9. Login-Daten nie auf Notiz- oder Post-It-Zettel notieren

Offen hinterlegte Benutzernamen und Passwörter sind oft Quelle von unbefugten Zugriffen. Notieren Sie niemals Login-Daten, sondern verwenden Sie bei Bedarf einen Passwort-Manager wie Pleasant Password Server.

Wird die Clean Desk Policy von regelmässigen Schulungsveranstaltungen für die Mitarbeitenden begleitet und von einem regelmässigen Monitoring unterstützt, wird eine risikoreiche IT-Sicherheitslücke in KMU wirksam geschlossen.

Ob unternehmenseigene E-Mail-Adressen und Zugangsdaten bereits anlässlich eines aktuellen bekannten Datendiebstahls von einer Website im Internet entwendet wurden, lässt sich nun prüfen: die Melde und Analysestelle Informationssicherung des Bundes MELANI hat unter https://www.checktool.ch/ ein entsprechendes Tool bereitgestellt. MELANI rät Personen und Unternehmen, diesen Check durchzuführen. Sollte ein Konto betroffen sein, gibt das Checktool eine entsprechende Meldung aus. In diesem Fall soll umgehend das Passwort sämtlicher Online-Konten, die mit der betroffenen E-Mail-Adresse respektive dem Benutzernamen verknüpft sind geändert werden (Email-Konto, Online-Shops, E-Banking, soziale Medien etc.).


Personal als IT-Risikofaktor - erhöhte IT-Sicherheit und Cybersecurity durch risikobewusstes Verhalten der Mitarbeitenden | care4IT | Managed IT Services | Zürich

Themen: Cyber Security
Autor: Philipp Hollerer | 26.09.2017 | 11:28
Philipp Hollerer
Besuchen Sie mich auf Social Media:

Jetzt IT-Blog für KMU als E-Mail abonnieren.