Mit steigender Sicherheit der IT-Infrastruktur in Unternehmen geraten zunehmend die Mitarbeitenden ins Visier von Cyberkriminellen. Über eine wachsende Anzahl Phishing E-Mails und Scams (betrügerische E-Mails, falsche Social-Media- oder Webseiten) wird versucht, an vertrauliche Informationen des Unternehmens oder an bestimmte Geldsummen heranzukommen.
Die immer raffinierteren Methoden, die von Cyberkriminellen angewendet werden, führen in zunehmendem Mass zum Erfolg der Delinquenten – mit gravierenden Konsequenzen für das Unternehmen: Daten gehen verloren oder werden mit schädlicher Ransomware verschlüsselt und somit unbrauchbar.
Trotz dieser Tatsache gehen zahlreiche KMU von falschen Annahmen aus, wenn es um ihre IT-Sicherheit (Cyber Security) geht. Insbesondere nimmt man leichtfertig an, dass das Personal schon weiss, wie es sich zu verhalten hat um die Sicherheit der IT-Infrastruktur nicht zu gefährden. Tatsächlich wird es aber versäumt, das Sicherheitsbewusstsein der Mitarbeiter so zu fördern, dass sie potenzielle IT-Risiken wirklich wahrnehmen und einordnen können. Sie sind daher ein beliebtes Ziel für Angreifer. Einer Umfrage von SolarWinds zufolge, sind 68% aller Verletzungen der Cyber Security in Regierungsorganisationen der USA auf menschliches Fehlverhalten zurückzuführen. Oft geschieht dies im Unwissen der Nutzer um die von ihnen eingegangenen IT-Risiken und damit ohne Einschätzung der Tragweite ihres Handelns.
Es gilt daher, die Mitarbeitenden als häufigste Nutzer der unternehmensweiten IT mit geeigneten Massnahmen für die Sicherheitsrisiken zu sensibilisieren und ihnen klare Handlungsanweisungen zu vermitteln. Deutlich vermindert werden die Risiken dann, wenn zusätzlich zu den technischen Massnahmen, die Mitarbeitenden regelmässig im Umgang mit Cyber Security geschult werden.
Die wichtigsten Themen bei Cyber Security Schulungen für Mitarbeitende in KMU
1. Phishing-Attacken identifizieren
Mitarbeitende sollen in der Lage sein, verdächtige E-Mails oder Websites selbständig zu erkennen, bevor sie auf einen betrügerischen Link klicken, eine schädliche Software herunterladen oder falsche Updates und Treiber installieren. Insbesondere sollten sie den Quick-Check zur Identifikation von Phishing E-Mails beherrschen.
2. Datendiebe erkennen
Auf Anfragen per Telefon oder E-Mail, die vertrauliche Informationen des Unternehmens abschöpfen wollen, sollen die Mitarbeitenden nicht eingehen. Dies gilt für Firmengeheimnisse ebenso wie für Geschäftsergebnisse, Mitarbeiter- oder Kundendaten sowie für Login-Informationen. Auch persönliche Daten sollen nicht unbesonnen preisgegeben werden. Auf kluge Weise versuchen Datendiebe, sich als Mitarbeiter oder Geschäftspartner auszugeben und so das Vertrauen zu gewinnen. Die Mitarbeitenden sollen in der Lage sein, solche Versuche frühzeitig zu erkennen und jeden Verdacht an die IT-Abteilung oder den externen IT-Partner zu melden.
3. Passwortregeln beherrschen
Schwache Passwörter stellen eines der gravierendsten Sicherheitsrisiken dar. Die Mitarbeitenden sollen die Kriterien eines starken Passwortes kennen und die 8 Regeln für den sicheren Umgang mit Login-Daten beherrschen.
4. Öffentliche Plattformen mit Vorsicht nutzen
Die Mitarbeitenden sollen auf die Risiken und Verhaltensweisen im Umgang mit Social Media, Foren, Newsgroups sensibilisiert werden. Sämtliche Kommunikation, die über solche Kanäle stattfindet, darf keine sensitiven Informationen enthalten, die direkte oder indirekte Rückschlüsse für den Zugriff auf die IT-Infrastruktur zulassen. Dies gilt es auch bei Gesprächen oder bei Telefonanrufen in physischen öffentlichen Räumen (z.B. in öffentlichen Verkehrsmitteln, Restaurants, Hotels etc.) zu beachten. Vollständig vermeiden sollten die Mitarbeitenden die Nutzung öffentlicher USB-Anschlüsse zur Ladung ihrer Smartphones. Über solche USB-Anschlüsse lassen sich nicht nur die Akkus der Mobiltelefone aufladen, sondern Cyberkriminelle können darüber auch Daten zum Gerät übermitteln und so Schadsoftware einschleusen. Auch soll auf die Nutzung öffentlicher ungesicherter WLANs verzichtet werden, um Datenzugriffe durch Unbefugte zu verhindern.
5. Sicher im Internet surfen
Damit sich die Mitarbeitenden risikofrei im Internet bewegen, müssen sie mit den wichtigen Vorsichtsmassnahmen vertraut sein und diese im Alltag umsetzen können. So sollen sie ausschliesslich verschlüsselte Websites nutzen. Dies lässt sich mit einem Blick auf die Adressleiste im Internet-Browser erkennen: die Internet-Adresse (URL) einer verschlüsselten und damit sicheren Website beginnt mit https (nicht http) oder mit einem geschlossenen Schloss-Symbol. Animierte Bilder und Schriften, Webformulare für Online-Bestellungen oder Werbebanner werden teilweise mit Tools wie ActiveX Controls und JavaScript realisiert. Über diese werden oft schädliche Handlungen an der IT-Infrastruktur des Besuchers vorgenommen. Die Mitarbeitenden sollen Kenntnis darüber haben, wie sie diese und weitere Instrumente in ihrem Internet-Browser bei Bedarf einschränken oder wen sie im Zweifelsfall kontaktieren können.
6. Clean Desk Policy anwenden
Sämtliche Mitarbeitenden sollen die Risiken am physischen Arbeitsplatz kennen und die Richtlinien der unternehmensweiten Clean Desk Policy verstehen und anwenden können.
7. Verdachtsmomente melden
Mitarbeitende sind darauf zu sensibilisieren, verdächtige Aktivitäten stets umgehend der IT-Abteilung oder dem externen IT-Partner zu melden. Je früher fragwürdige Vorfälle bekannt sind, desto wirkungsvoller können die IT-Spezialisten entsprechende Gegenmassnahmen ergreifen.
Aufgrund der sich laufend ändernden IT-Risikosituation ist es wichtig, die Schulung zur IT Sicherheit nicht nur einmalig durchzuführen, sondern sie zu einem fixen Bestandteil des Personal-Fortbildungskonzepts zu etablieren und wiederkehrend umzusetzen. Auch sind neu ins Unternehmen eintretende Mitarbeitende zu berücksichtigen, damit sie sich im Rahmen ihres Einführungsprogramms rasch den sicheren Umgang mit der IT-Infrastruktur aneignen.
Titelbild: Shutterstock
Dieser Artikel wurde am 11.11.2019 aktualisiert