Gefahren und Maßnahmen, die an ihrem Arbeitsplatz hinsichtlich der IT-Sicherheit bestehen.
Hier ein paar Hinweise und Anregungen die im täglichen Kampf der IT-Sicherheit keine unwichtige Rolle spielen. Die angegebenen Umsetzungshinweise bieten nur eine kleine Auswahl der Möglichkeiten und sind natürlich ausbaufähig. Ein gewisser Basisschutz sollte dennoch bestehen. Langfristig betrachtet, ist es in Unternehmen sehr sinnvoll, die ein oder andere Sache schriftlich zu fixieren und die eigenen Mitarbeiter mit ins Boot zu holen. Gerade beim Thema IT-Sicherheit aber auch in der gesamten Informationssicherheit sollte man eine offene Kommunikationskultur pflegen, damit alle ausreichend informiert sind!
Jeder ist verantwortlich!
"Für die Sicherheit ist doch nur die IT-Firma verantwortlich". Ja richtig, aber nur bis zu einem gewissen Grad ist das so. Die IT-Spezialisten setzen sich mit der Firewall auseinander, kümmern sich um die Websicherheit installieren Antiviren-Software und warten die PCs und Server. Aber deswegen ist die IT-Abteilung oder die IT-Firma noch lange nicht komplett allein für die IT-Sicherheit im Unternehmen verantwortlich! Jeder Mitarbeiter trägt seinen Teil für dieses immer wichtiger werdende Thema bei. Für viele Unternehmer oder Behördenleiter ist es die gebräuchlichste Floskel, um dem Thema nicht mehr Aufmerksamkeit zu geben. Aber es sind nicht nur die technischen Gegebenheiten, die ein Netzwerk unsicher machen oder die einzelnen Arbeitsplatz-PCs gefährden. NEIN, NEIN! Jeder Benutzer hat täglichen Kontakt mit verschiedenen Systemen oder Softwareprodukten, die immer wieder Schwachstellen enthalten. Die Digitalisierung verlangt den Nutzern immer mehr ab und die Verantwortlichen sollten hier nicht wegschauen, sondern sich mit der Thematik auseinandersetzen und Strategien für die Zukunft entwerfen.
Passwörter nicht weitergeben!
Oberstes Gebot für ein sicheres Passwort ist eine einfache Regel: Das eigene Passwort an niemanden weitergeben! Verlockende E-Mails verlangen oftmals nach der Angabe des eigenen Passworts, hier bitte niemals sein Passwort oder seine Passwörter angeben. Die Masche in den sogenannten Phising-Mails ist meistens gleich: Man bekommt eine E-Mail von großen Unternehmen (amazon, ebay, paypal, etc.) mit der Bitte sein Passwort zu verifizieren (einzugeben). Auch per E-Mail sollten keine Passwörter weitergegeben werden. Generell ist die Thematik mit den Passwörtern immer gleich: Nur man selbst sollte es kennen und sonst niemand anderes.
Zugang sichern!
Alle Geräte, mit denen man arbeitet und persönliche Daten/Dokumente speichert, sollten nicht ungeschützt zugänglich sein. Bei Smartphones hilft hier die Bildschirmsperre (Lockscreen). Mithilfe einer vorher festgelegten PIN oder einem Bildschirmmuster oder auch der Fingerabdruck kann man sein Gerät einfach und unkompliziert für Fremde unzugänglich machen. Die Länge der PIN oder des Musters erhöht die Schwierigkeit diese zu knacken. Bei einer PIN sollte man mindestens 6 besser 8 Ziffern verwenden. Warum? In der Praxis kann man durch beobachten eine vierstellige PIN viel einfacher abschauen als eine 6 oder 8stellige. Eine Displayschutzfolie sperrt zudem fremde Blicke aus. Diese sind oft kostengünstig zu erwerben haben einen enormen Vorteil für die Privatsphäre ;-).
Beim PC oder bei einem Notebook ist es die gleiche Laier. Nutzt ein Passwort! ;-) Schnell eingerichtet (unter Windows: STRG + ALT + ENTF -> Kennwort ändern!). So schnell, so einfach, mindestens 8 Stellen und ihr habt euer Sicherheitsniveau schon deutlich gesteigert. Wer seinen Arbeitsplatz verlässt -> unter Windows: Windows-Taste + L (Bildschirmsperre!!) Wichtig, gerade im Unternehmen. Keiner der Kollegen muss an euren PC, wenn ihr nicht an eurem Platz seid.
Abwehr gegen Social Engineering-Angriffe!
Angriffe mit Social Engineering werden immer häufiger und beliebter. Beim Social Engineering umgeht man sämtliche technische Abwehrmaßnahmen und nutzt direkt den Menschen als Schwachstelle. Jede Nachricht, in welcher Form auch immer, die mich zum Handeln auffordert (bitte überweise hier, ändere dein Passwort da...) sollte dazu führen, dass man besonders aufmerksam wird und den Nachrichtenursprung prüft. Auch wenn die E-Mail von bekannten Absendern im Postfach oder auf dem Smartphone landet, ist es besser noch einmal persönlich nachzufragen, sollten hier Zweifel in Richtung der Glaubwürdigkeit auftauchen. Dies gilt sowohl im privaten als auch im geschäftlichen Umfeld. In Unternehmen macht es Sinn, die Mitarbeiter zu sensibilisieren und zu schulen. Gut informierte Mitarbeiter fallen auf diese Art von Angriff deutlich weniger rein! Entsprechende Kommunikation und regelmäßiger Austausch fördern den Sensibilisierungsgrad der Mitarbeiter und beugen bösen Überraschungen vor.
Umgang mit mobilen Datenträgern!
Früher wurden nur auswechselbare Datenträger wie Disketten oder CDs für den Datenaustausch verwendet. Mittlerweile finden sich mobile Datenträger in einer Vielzahl von Varianten wieder. So gibt es Smartwatches, MP3-Player, Smartphones und jegliche USB-Gadgets mit integriertem Datenspeicher. Bei bekannten mobilen Datenträgern, die im Idealfall noch verschlüsselt sind, ist eine Verwendung risikoarm und meistens auch vom Unternehmen freigegeben bzw. im privaten Bereich sind diese Geräte meistens bekannt. Viel wichtiger ist es, den Umgang mit Fremdgeräten zu meistern. Grundsätzlich gilt: Keine gefundenen Geräte an einen PC oder an ein Notebook anstecken, welches mit dem Netzwerk verbunden ist. Idealerweise hat man einen sogenannten Standalone-PC, mit dem man solche Geräte vorerst über einen Virenscanner überprüfen kann. Erst nach Freigabe (es wurde nichts gefunden) dürfen die Geräte verwendet werden.
Wie verhalte ich mich im Schadensfall?
Ganz wichtig! Auf keinen Fall die Gefahren ignorieren. Damit verschlimmert man in den meisten Fällen die Situation und im Nachgang wird dann alles aufwändiger und komplizierter. Der PC macht nicht mehr das, was man möchte oder der Bildschirm zeigt kryptische Nachrichten? Am besten das Ding sofort ausschalten! Weg mit dem Netzstecker! Damit kann man zumindest vermeiden, dass bei einem Befall gleich das gesamte Netzwerk mit befallen wird! Gut! Und dann? Idealerweise kann man sich an die hauseigene IT-Abteilung wenden...Telefonnummer bereit? Anruf! Und dann kommt sicherlich ganz schnell Hilfe und der PC wird wieder gerichtet.