Schadsoftware gelangt oft durch unachtsames Verhalten der Mitarbeiter übers Netz auf die Rechner der Anwender. Sie müssen Ihr Team daher für die Bedeutung der Datensicherheit sensibilisieren, um Ihr Unternehmen vor hohen finanziellen Verlusten zu schützen – und davor, Ihr Renommee zu verlieren, weil sensible Daten in die falschen Hände geraten sind. Wir verraten Ihnen die wichtigsten Inhalte Ihres Cybersicherheit-Trainings.1
E-Mail ist längst das vorherrschende Kommunikationsmittel und das virtuelle Postfach meist voller als der Briefkasten an der Firmentür. So schnell und einfach Sie über E-Mail kommunizieren, so gefährlich kann es sein. Gerade weil die elektronische Post so selbstverständlich geworden ist, vernachlässigen viele die elementarsten Sicherheitsvorkehrungen. Zu diesen zählen:
Werden diese einfachen Sicherheitsfeatures missachtet oder nicht regelmäßig aktualisiert, können Malware, Viren und Co. ungehindert auf die Rechner der Mitarbeiter gelangen, Daten ausspionieren oder automatisiert Spam-E-Mails an alle Einträge aus dem Adressbuch versenden. Dann erhalten Ihre Kunden womöglich schlüpfrige E-Mails von Ihrem Vertrieb.
In diesem Zusammenhang steht auch die kritische Prüfung der Absender einer E-Mail und der Inhalte. Phishing-E-Mails werden immer professioneller, lassen sich jedoch mit einigen einfachen Regeln ziemlich genau erkennen. Auf betrügerische E-Mails von scheinbar vertraulichen Absendern deuten etwa diese Faktoren hin:
Selbst wenn der Absender bekannt ist, kann es sich um eine Phishing-Mail handeln. Business Email Compromise (BEC) nennt sich die Methode, mittels Identitätsdiebstahl Informationen einzuholen oder finanzielle Transaktionen zu tätigen.2 Der Angreifer erstellt eine E-Mail-Adresse, die einer echten aus dem Unternehmen täuschend ähnlich ist, oder agiert gleich mit der Identität des vermeintlichen Absenders. Sensibilisieren Sie Ihre Mitarbeiter, sich vor der Weitergabe von Informationen oder einer Überweisung die persönliche Legitimation des angeblichen E-Mail-Versenders einzuholen – indem sie zum Hörer greifen und ihn anrufen oder in dessen Büro vorbeigehen.
Cyberkriminalität und Verletzungen des Datenschutzes sind nicht auf den Computer begrenzt. Sie beginnen oftmals direkt am Schreibtisch. Mitarbeiter, die Ihre PCs in der Mittagspause ohne Passwortschutz einfach angeschaltet lassen, Passwörter offen sichtbar auf der Ablage notieren oder nicht darauf achten, wer sich Zutritt zum Gebäude verschafft, können Kriminellen Tür und Tor öffnen. Da genügt es schon, wenn kein Fremder, sondern ein unautorisierter Mitarbeiter sich Zugriff auf sensible Informationen verschafft. Denken Sie an den Kollegen, der gekündigt hat und zur Konkurrenz wechselt.
Sicherheitstrainings für den Cyberschutz sollten daher diese Informationen unbedingt transportieren:
Malware ist Schadsoftware, die auf Computern, Tablets und Smartphones sowie computergesteuerten Anlagen installiert werden kann. Einmal installiert, greift das Schadprogramm Daten ab oder verwendet den Computer als Bot für gezielte Angriffe auf ein Netzwerk.3 Dann versendet etwa der befallene Computer als Teil eines riesigen Bot-Netzwerks Millionen und Abermillionen Spam-E-Mails – und ist für nichts anderes mehr zu gebrauchen. Auch in der Produktion kann eine von Malware befallene computergesteuerte Anlage herbe Verluste bescheren, sie gar zum Stillstand bringen. Außerdem könnten vertrauliche Firmeninterna von einer Spionagesoftware ausgespäht werden. Einen von Malware befallenen Rechner zu erkennen, ist daher essenziell für jedes Cybersicherheit-Training. Vorsicht ist angesagt, wenn:
Malware kann durch Downloads von nicht vertrauenswürdigen Quellen aus dem Internet heruntergeladen werden – etwa im Gefolge vermeintlich hilfreicher Tools, aber auch via E-Mail versendet werden. Sensibilisieren Sie Ihre Mitarbeiter für diese Gefahren und halten Sie sie dazu an, den installieren Virenscanner stets zu aktualisieren.
Social Media ist nicht gerade das Medium, dem Sie sensible Daten anvertrauen sollten. Das ist nicht jedem bewusst. „Auf meine Daten haben doch nur meine Kontakte Zugriff“ – dieser Ausspruch dürfte Ihnen bekannt vorkommen. Aber gewiefte Cyberkriminelle kommen sehr wohl auch an Daten, die Sie eigentlich nicht der ganzen Welt mitteilen wollten. Auf Ihrer Unternehmenswebsite veröffentlichen Sie natürlich öffentlich zugängliche Informationen – als Teil Ihrer Social-Media-Marketingstrategie. Seien Sie jedoch überaus vorsichtig mit Firmeninterna und schulen Sie auch Ihre Mitarbeiter darin, auf ihren privaten Profilen keine Informationen über Ihre Firma zu verbreiten.
BYOD – bring your own device oder auch „nutzen Sie Ihre eigenen Geräte“ setzt sich in Zeiten zunehmender Mobilität immer mehr durch. Unternehmen sparen letztendlich Geld, wenn die Belegschaft das eigene Notebook verwendet. Damit sie ungehindert arbeiten können, müssen jedoch meist Netzwerkinstallationen vorgenommen werden, die Zugriff auf das Intranet oder andere interne Bereiche gewährleistet. Und hier kann es gefährlich werden.
Es reicht schon, wenn auf den privaten Rechnern kein oder kein aktuelles Antivirenprogramm installiert ist oder die Mitarbeiter sich in einem öffentlichen, ungeschützten WLAN ins Firmennetzwerk einloggen. Auch im Homeoffice lauern Gefahren, etwa wenn ein Familienmitglied auf den auch beruflich genutzten Rechner unbeabsichtigt Schadsoftware lädt. Außerdem können Geräte verloren oder gestohlen werden – sind sie nicht mit einem starken Passwort gesichert, gelangen sensible Daten womöglich in kriminelle Hände. Auschließen können Sie die genannten Szenarien kaum, denn es liegt nicht in Ihrer Hand, wie Ihre Mitarbeiter mit ihren privaten Rechnern umgehen. Sie können Sie dafür sensibilisieren oder auf BYOD ganz verzichten.
Dr. Moritz Schulz,
Geschäftsführer