Viele Sicherheitsvorfälle gehen auf das Fehlverhalten von Personen mit Zugriff auf Ihre IT oder sonstige Mitarbeiter zurück. Wie gut sind Ihre Mitarbeiter auf digitale Angriffe vorbereitet? Sind Ihre Mitarbeiter ausreichend zum Thema IT-Sicherheit informiert und geschult?
Überprüfen Sie Ihre Richtlinien im mit folgenden Fragen:
- Unterschreiben Ihre Mitarbeiter eine Sicherheitsrichtline?
Verstehen die Mitarbeiter diese Richtlinie und ist ihnen der Inhalt auch nach einiger Zeit noch bekannt? Diese Richtlinie sollte nicht nur Anweisungen enthalten, sondern auch Begründungen, warum welche Handlungen untersagt sind. Damit wird das Bewusstsein für IT-Sicherheitsfragen geschärft. - Gibt es im Unternehmen eine Anlaufstelle oder Telefonnummer für Mitarbeiter, denen etwas Verdächtiges auffällt?
Wenn im Unternehmen ein Ansprechpartner für Sicherheitsvorfälle oder mögliche Hackerangriffe definiert wird, werden Vorfälle schneller gemeldet. Das Motto: „Schauen wir mal, ob es morgen wieder geht“ darf nicht die Regel sein, denn morgen kann es zu spät sein. - Welche Regeln gelten für den Umgang mit externen Datenträgern?
Ein einfacher Angriff kann durch USB-Sticks erfolgen, die vom Angreifer auf dem Firmenparkplatz verteilt werden. Dies ist sehr offensichtlich, nicht jeder Angriff erfolgt auf diesem Weg. Es sollten aber Regeln gelten oder technische Maßnahmen ergriffen werden, um externe Datenträger zu sperren. Wussten Sie, dass in vielen der eingesetzten Sicherheitssoftware dieser Schutz bereits vorhanden ist? Er muss oft nur aktiviert und konfiguriert werden. - Welche Regeln gelten bei der Festlegung von Passwörtern?
Die sogenannte Kennwortkomplexität ist wichtig. Passwörter sollten aus mindestens 8-12 Buchstaben, Sonderzeichen und Zahlen bestehen, Groß- und Kleinschreibung und keine Wörter aus dem Wörterbuch enthalten. Eine regelmäßige Änderung ist von Vorteil. Es sollte auch nicht überall das gleiche Passwort verwendet werden. Nutzen Sie wenn möglich eine 2FA (2-Faktor-Authentifizierung).
In dem Fall wird über einen separaten Weg, z.B. SMS oder App, ein zweiter Sicherheitsschlüssel übermittelt. - Regeln für den Arbeitsplatz
Es muss nicht immer ein „clean desk“ sein, aber ein aufgeräumter Schreibtisch zur Mittagspause und Feierabend ist zu empfehlen. Computer sollten mit Bildschirmschoner mit Passworteingabe blockiert sein und Passwörter sollten natürlich nur dem jeweiligen Benutzer bekannt sein. Es ist bestimmt jedem Unternehmen möglich, ausreichend Hard- und Software für sensible Daten zur Verfügung zu stellen. - Vermeidung von Betrug und „CEO Fraud“
Als CEO Fraud bezeichnet man eine Betrugsmasche, bei der Firmen unter Verwendung falscher Identitäten zur Überweisung von Geld, Verträgen oder Geheimnisverrat manipuliert werden. Hier ist es wichtig, vor dem Vollzug von Zahlungen diese durch eine zweite Quelle zu verifizieren oder sich geeignete Mechanismen zu schaffen, die Schaden verhindern. - Schulung von Mitarbeitern verhindert Schaden
Social-Engineering-Angriffe zielen darauf ab, Mitarbeitern mit manipulativen Anrufen, Webseiten oder E-Mails sensible Daten zu entlocken. Ihre Mitarbeiter sollten auf die Gefahren vorbereitet sein und entsprechende Konsequenzen kennen. Nicht jede E-Mail die als Rechnung bezeichnet wird, beinhaltet auch eine Rechnung. Bei unbekannten Absendern oder falschen Formaten sollten die Alarmglocken angehen. Rechnungen, die als RTF oder Word/Excel Format verschickt werden, sollte man nicht öffnen und auch selbst nicht versenden.Der Computer und seine Software ist tägliches Arbeitsmaterial von Mitarbeitern im Büro, F&E, Produktion und Vertrieb. Bitte nutzen Sie Schulungen, um sich mit dem Umgang und den Gefahren vertraut zu machen.
IT-Notfallplan
Es ist notwendig, sich über das IT-Sicherheitsrisiko Mensch Gedanken zu machen. Oft können durch geeignete Maßnahmen Schäden und Verlust verhindert werden.
Gern unterstützen wir Sie bei der Auswahl der Maßnahmen.
Bild von Gerd Altmann auf Pixabay