Weitere Artikel
IT-Sicherheitsbedrohungen

Der Mensch als wesentlicher Sicherheitsfaktor - Fünf Schritte zu mehr IT-Sicherheit am Arbeitsplatz

Was sind aktuell die größten IT-Sicherheitsbedrohungen für Unternehmen? Ransomware? Spionagetrojaner? Hacker im Allgemeinen? Nein, die größte Schwachstelle ist weiterhin der Faktor Mensch. Viele Angriffe von außen funktionieren letztlich nur, weil grundlegende „digitale Verhaltensregeln“ am Arbeitsplatz nicht eingehalten werden. Dabei sind es oft ganz einfache Maßnahmen, bei deren strikter Beachtung es Hacker & Co. deutlich schwerer hätten, ihr Ziel zu erreichen. Maßnahmen, die wir in die vier Bereiche Hardware, E-Mail, Surfen und Passwort gliedern können. Und zuletzt hat auch das Management eine wesentliche Verantwortung bei der Ressourcenplanung.

Inhaltsverzeichnis:

  1. Führerschein in Sachen Sicherheit
  2. Unsicherheitsfaktor Hardware
  3. Einfallstor E-Mail
  4. Das Internet – unendliche (Angriffs-)Möglichkeiten
  5. Die ewigen Fehler bei der Passwortwahl
  6. Für alles andere: Ressourcen schaffen oder Managed Services etablieren

Studien belegen, dass allein die Anschaffung von Sicherheitslösungen wie Firewalls & Co. nicht ausreicht, um die IT-Sicherheit in Unternehmen auf ein angemessenes Niveau zu heben. Der Erfolg und Misserfolg eines firmeninternen IT-Sicherheitskonzeptes hängt im Wesentlichen vom Verhalten der Mitarbeiter ab. Dabei sind es meistens die unbeabsichtigten bzw. unbewussten Fehler, die ein solches Konzept gefährden. Auch fehlendes Wissen kann zu Unachtsamkeiten und damit zu Sicherheitslücken führen. Fragen Sie doch einmal intern nach: Wahrscheinlich wird jedem Ihrer Kollegen der Begriff Phishing geläufig sein, aber wie viele wissen tatsächlich, welche Angriffsstrategien letztlich dahinterstecken. Und welche Fehler es zu vermeiden gilt, das steht noch einmal auf einem anderen Blatt. So wird arglos ein Link angeklickt, der das „Opfer“ auf eine mit Viren gespickte Webseite führt. Die Konsequenzen für das Unternehmen reichen von Systemzusammenbrüchen über Datenverlust bis zu erheblichem finanziellem Schaden.

Führerschein in Sachen Sicherheit

Durch die zunehmende Nutzung (eigener) mobiler Geräte wie Smartphones und Tablets in Firmen und deren Einbindung in die IT-Infrastruktur hat sich das Potenzial an menschlichem Versagen in puncto Sicherheit nochmals erhöht. Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) führt das Fehlverhalten von Mitarbeitern regelmäßig in seinen „Lageberichten der IT-Sicherheit in Deutschland“ als eine der zentralen Bedrohungen auf. Unverzichtbar ist es deshalb, dass Unternehmen Regeln festlegen und ihre Mitarbeiter mit Verhaltensweisen vertraut machen, die die IT-Sicherheit enorm steigern würden. So, wie man die Verkehrsregeln lernt und einen Führerschein erwirbt, bevor es auf die Straße geht, so sollten auch die Regeln im eigenen Unternehmen tief verinnerlicht werden. Für die IT-Experten in Ihrem Unternehmen sind einige Maßnahmen selbstverständlich, für andere wiederum sind sie es noch lange nicht. Nicht gemeint sind in diesem Zusammenhang Maßnahmen, die eine langwierige Schulung voraussetzen. Auch muss keiner Ihrer Kollegen einschlägige Fachliteratur wälzen und zum IT-Experten werden. Oft sind es die kleinen Dinge, die das Sicherheitsniveau in Unternehmen schon enorm ansteigen lassen.

Unsicherheitsfaktor Hardware

Erinnern Sie sich bzw. Ihre Kollegen daran, in der Mittagspause Computer und Mobilgeräte, mit denen Sie auf das Netzwerk zugreifen, zu sperren, sofern Sie sie nicht mehr verwenden. So werden Daten vor neugierigen Blicken Dritter geschützt. Auch sollte der Autostart von Fremddatenträgern deaktiviert werden. Gerade Wechseldatenträger werden von externen Angreifern gerne verwendet, um Malware einzuschleusen und so Zugriff auf fremde Systeme zu erlangen. Die Autostartfunktion hat oft zur Folge, dass sich auch der auf dem USB-Stick oder der externen Festplatte befindliche Virus bzw. Trojaner o.Ä. aktiviert. In diesem Zusammenhang ist es von enormer Bedeutung, entsprechende Werbegeschenke (USB-Sticks etc.) genau auf Malware überprüfen zu lassen, statt sie „blind“ an den PC anzuschließen. Bei Unsicherheiten diesbezüglich gilt es stets, den hauseigenen oder externen IT-Spezialisten zurate zu ziehen.

Einfallstor E-Mail

Nach wie vor gehört die E-Mail zu den beliebtesten Einfallstoren für Hacker & Co. Einer der Kardinalfehler ist immer noch, dass E-Mails von unbekannten Absendern geöffnet werden. Natürlich erhalten Unternehmensmitarbeiter je nach Branche täglich bis wöchentlich E-Mails von bis dato Unbekannten, sodass eine Differenzierung sehr schwierig ist. Vielen E-Mails ist jedoch schnell anzumerken, ob es sich um seriöse Anfragen handelt oder nicht. Spätestens nach der Identifizierung von unseriösen Anfragen ist Vorsicht geboten. Keinesfalls sollten in diesem Fall die meist vorhandenen Anhänge geöffnet werden. Diese Spam Mails zu erkennen ist zugegeben schwieriger geworden, da sie mittlerweile professioneller gestaltet sind (personifizierte Ansprache, wenige bis keine Rechtschreib- und Grammatikfehler etc.). Generell ist bei Anhängen mit sogenannten ausführbaren Dateien (.exe, .zip etc.) Vorsicht geboten, da sich hier gerne entsprechende Malware verbirgt. Gleiches gilt für Links in unbekannten Mails. Ebenso ein No-Go ist es, auf E-Mails zu antworten, die nach Daten wie PIN, Passwörtern oder Bankdaten fragen – egal, wie seriös diese Anfragen erscheinen.

Das Internet – unendliche (Angriffs-)Möglichkeiten

Immer mehr Unternehmen erlauben ihren Mitarbeitern den uneingeschränkten Zugriff auf das World Wide Web – teilweise auch, weil die Internetrecherche essenziell für den jeweiligen Job ist. Nichtsdestotrotz sollten die Mitarbeiter klar angewiesen werden, Webseiten mit kontroversen Inhalten zu meiden. Denn sehr oft werden nicht die Rechner von Malware befallen, sondern die jeweiligen Browser. Ein Anzeichen kann es sein, dass der Browser regelmäßig selbstständig unerwünschte Internetseiten öffnet. In diesem Fall können Sie ziemlich sicher sein, dass Ihr Browser von einem Virus o.Ä. befallen ist. Ein Grund kann sein, dass ein oder mehrere Mitarbeiter selbstständig Browser Add-ons installiert haben, die Malware beinhalten.
Ein weiteres Beispiel: Sobald auf dem Bildschirm Virenwarnungen erscheinen, sollten diese ernst genommen werden. Entweder stammt die Meldung von Ihrem hauseigenen Virenscanner; ebenso ist es jedoch möglich, dass die Meldung von einem so genannten Fake-Anti-Virus-Programm stammt. Letzteres ist bereits ein Virus und sollte umgehend entfernt werden.
Öffnen sich beim Surfen nicht die gewünschten Webseiten, dafür aber Popups, ist dies ebenfalls ein Warnzeichen.

Die ewigen Fehler bei der Passwortwahl

Es erscheint unglaublich, aber das beliebteste/meistgewählte Passwort ist nach wie vor „123456“. Trotz aller Warnungen und zahlreicher Berichte zu diesem Thema geschieht die Wahl des Passworts immer noch sehr ideenlos, naiv und vorschnell. Anwender sollten vor allem vermeiden, ständig dasselbe Passwort für unterschiedliche Anwendungen oder Accounts zu verwenden. Hat ein Angreifer auf einer wenig geschützten Seite Ihr Passwort gehackt, liegt es für ihn nahe, dieses Passwort auch für sensible Anwendungen auszuprobieren. Mitarbeiter sollten Passwörter von mindestens acht Zeichen und einer Kombination aus Buchstaben, Zahlen und Sonderzeichen wählen. Ein gutes Passwort zu finden ist gar nicht so schwer. Überlegen Sie sich z.B. einen eingängigen, leicht zu behaltenden Satz, bestehend aus mindestens acht Wörtern, und kombinieren Sie lediglich die Anfangsbuchstaben zu einem Wort. Vermeiden Sie jedoch das Speichern der Passwörter im Browser und ändern Sie ihre Passwörter regelmäßig.

Für alles andere: Ressourcen schaffen oder Managed Services etablieren

Doch ganz aus der Verantwortung darf sich natürlich auch das Management bzw. die IT-Leitung nicht ziehen. Denn neben der Schulung der eigenen Mitarbeiter und dem Fördern eines IT-Sicherheitsdenkens gilt es, sich stets darüber bewusst zu sein: Die IT-Sicherheit gehört zum Bereich Risikomanagement mit direktem Einfluss auf die Betriebskontinuität. Dabei spielen die Faktoren Zeit, Pflege und Kompetenz eine entscheidende Rolle. Relevante Sicherheitsupdates, Patches und ein proaktives Monitoring der Systeme sollten sichergestellt sein und nie zur Routine werden. Es braucht Ressourcen, um die unterschiedlichen Gefahrenpotenziale erkennen und bannen zu können. Wer diese Ressourcen nicht aufbringen kann bzw. anders (gewinnbringender) einsetzen möchte, der sollte die Buchung von Managed Services ins Auge fassen. So können Kompetenzen gezielt ergänzt und das Personal gleichzeitig entlastet werden. Für die IT-Abteilungen bleibt so mehr Zeit, andere wichtige Arbeitsabläufe zu optimieren.

(Dariush Ansari)


 


 

Passwort
Mitarbeiter
IT-Sicherheit
Ihrem Unternehmen
Malware
E-Mail
Browser
Ressourcen
Anzeichen
Angreifer
Virus
Unsicherheiten
Kollegen
Verhaltensregeln
Fehler
Hacker
Webseite
Anfragen
Maßnahmen

Passende Artikel suchen

Finden Sie weitere Artikel zum Thema "Passwort" - jetzt Suche starten:

Kommentar abgeben

Bei einer Antwort möchte ich per E-Mail benachrichtigt werden

 
 

 

Entdecken Sie business-on.de: