Spricht man über Datensicherheit oder Cyber Security, so spielt der physische Arbeitsplatz der Mitarbeitenden eine wichtige Rolle. Gerade das Arbeitspult kann als reichhaltige Quelle von vertraulichen Informationen dienen, bis hin zu offen zur Schau gestellten Login-Daten zur IT-Infrastruktur.
Nicht selten kommt es vor, dass Mitarbeitende mit einem überhäuften Pult USB-Sticks, Smartphone oder Notebook ebenfalls offen und ungesichert am Arbeitsplatz lassen – so können sich Unbefugte auf einfache Weise Zugang zu vertraulichen Informationen oder zur IT-Infrastruktur verschaffen und umgehen so jede noch so sichere Firewall im Unternehmen. Ein unordentlicher Arbeitsplatz erschwert es zudem festzustellen, dass gewisse Dokumente plötzlich fehlen – ein Diebstahl wird so nur mit Verzögerung bemerkt und bis mit der Ermittlung des Täters oder mit der Suche eines gestohlenes Dokuments begonnen werden kann, verstreicht wertvolle Zeit.
Es empfiehlt sich daher, das Personal zu einem aufgeräumten Arbeitsplatz, einem Clean Desk, zu ermutigen. Damit erhöht sich nicht nur die Datensicherheit, sondern gleichzeitig kann schneller auf Tools und Dokumente zugegriffen werden – die individuelle Produktivität steigt.
Clean Desk Policy für erhöhte Datensicherheit am Arbeitsplatz
Mit einer Clean Desk Policy, einem Regelwerk für das Sicherheitsverhalten am physischen Arbeitsplatz, lassen sich die Erwartungen des Unternehmens formalisieren und für das gesamte Personal vereinheitlichen. Die nachfolgenden Richtlinien dienen als zentrale Bausteine für eine derartige Policy für sämtliche Mitarbeitenden und sie lassen sich in einem KMU einfach umsetzen. Sie leisten zusammen mit den weiteren Massnahmen zur Cyber Security (Firewall, Security-Software, Managed IT Services) einen entscheidenden Beitrag zur Gewährleistung der IT-Sicherheit im gesamten Unternehmen.
Richtlinien einer Clean Desk Policy für Mitarbeitende
1. Unbefugten Zugang zu sensiblen Dokumenten verhindern
Wenn Sie den Arbeitsplatz verlassen, gehören Dokumente, Ausdrucke und Notizzettel mit vertraulichen oder privaten Daten nicht offen auf das Arbeitspult. Dokumente sind in einer Schublade zu verschliessen, im dafür vorgesehen Archiv zu lagern oder bei Nichtgebrauch im Aktenvernichter zu entsorgen. Die Arbeitsfläche soll stets in Ordnung gehalten werden und einen aufgeräumten Eindruck hinterlassen. So bleiben vertrauliche Informationen vertraulich.
2. Computer und Smartphone bei Nichtbenutzung sperren
Ihre Arbeit ist wertvoll und wichtig. Denken Sie daher daran, Computer und Smartphone mit der automatischen Sperrung zu versehen. Der Bildschirm soll nach kurzer Zeit der Inaktivität automatisch blockiert werden und nur mit dem Ihnen bekannten Passwort entsperrt werden können. Damit sind die Geräte gesichert, wenn Sie sie gerade nicht verwenden – und Ihre Daten sowie Dokumente bleiben vor neugierigen Blicken, unerwünschten Zugriffen oder Manipulationen geschützt.
3. Nicht mehr benötige Dokumente vernichten
Jedes Dokument kann potenziell vertrauliche oder sensitive Informationen enthalten. Entsorgen Sie deshalb nicht mehr benötigte Papiere nicht im Papierkorb, sondern beseitigen Sie diese im Aktenvernichter. Ausnahme bilden die von Gesetzes wegen zu archivierenden Dokumente, welche im dafür vorgesehen Archiv abzulegen sind.
4. Dokumentenschubladen und -schränke stets verschliessen
Wir erschweren Unbefugten den Zugang zu unseren physischen Dokumenten und wollen unerwünschte Zugriffe sofort erkennen können. Die entsprechenden Schubladen und Schränke sind daher stets zu verschliessen und die Schlüssel an einem gesicherten Ort aufzubewahren.
5. Mobilgeräte und Zubehör nie offen liegen lassen
Smartphones und Speichermedien (z.B. USB-Sticks) mit vertraulichen Informationen lassen sich bei einer kurzen Unaufmerksamkeit einfach entwenden. Lassen Sie daher diese Geräte und Speicher nie unbeaufsichtigt liegen. Bewahren Sie sie in einer abgeschlossenen Schublade auf oder tragen Sie sie sicher auf sich.
6. Keine USB-Sticks unbekannter Herkunft verwenden
Mit Malware infizierte USB-Sticks können Computern oder Netzwerken Schaden zufügen und unbefugt Daten auslesen. Verwenden Sie niemals gefundene, als Werbegeschenke überreichte oder von Unbekannten stammende USB-Sticks. USB-Sticks mit unklarer Herkunft sollen umgehend beim IT-Verantwortlichen abgegeben werden.
7. Festplatte verschlüsseln lassen
Ihr Notebook enthält sensitive Daten. Wird dieser von Cyberkriminellen gestohlen, steckt oft die Absicht dahinter, durch technisch aufwendige Massnahmen auf die Daten zuzugreifen. Stellen Sie mit dem internen/externen IT-Ansprechpartner sicher, dass die Daten auf Ihrem Notebook verschlüsselt werden und so auch bei einem Hardware-Diebstahl unzugänglich bleiben.
8. Flip-Charts mit Notizen nach Sitzungsende entfernen
Flip-Charts oder Whiteboards werden oft verwendet, um neue Produktideen oder strategische Überlegungen zu skizzieren. Verschliessen Sie die entsprechenden Blätter daher nach der Sitzung in einer Schublade oder vernichten Sie die Skizzen und Notizen im Aktenvernichter bzw. löschen Sie sie.
9. Login-Daten nie auf Notiz- oder Post-It-Zettel notieren
Offen hinterlegte Benutzernamen und Passwörter sind oft Quelle von unbefugten Zugriffen. Notieren Sie niemals Login-Daten, sondern verwenden Sie bei Bedarf einen Passwort-Manager wie Pleasant Password Server.
Wird die Clean Desk Policy von regelmässigen Schulungsveranstaltungen für die Mitarbeitenden begleitet und von einem regelmässigen Monitoring unterstützt, wird eine risikoreiche IT-Sicherheitslücke in KMU wirksam geschlossen.