Was HR zur IT-Sicherheit beitragen kann
Das "Sicherheitsrisiko Mensch" ist der Grund, weshalb nicht allein die IT-Abteilung für die Sicherheit der Unternehmenssysteme zuständig sein kann. Die Personalabteilung ist in der Pflicht, die Mitarbeitenden für das Thema zu sensibilisieren. Das ist noch wichtiger vor dem Hintergrund, dass immer mehr Beschäftigte im Homeoffice arbeiten und dort im heimischen WLAN mit teils privaten Geräten an sensiblen Informationen des Unternehmens arbeiten können.
IT-Sicherheit im Homeoffice: Checkliste des BSI
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat deshalb die Informationsseite "Sichere Passwörter" inklusive Erklärvideo, Hintergrundinformationen und Tipps veröffentlicht. Hier können Sie auch eine Checkliste zur IT-Sicherheit im Homeoffice abrufen. Darin rät das BSI, die notwendige IT-Ausstattung prinzipiell beim Arbeitgeber einzufordern – dazu zählen neben PC und Smartphone auch Zubehör wie USB-Sticks und Netzteile.
Auch die Art des Zubehörs kann entscheidend sein: So sind Funktastaturen und kabellose PC-Mäuse im privaten Bereich durchaus beliebt. Doch wer beim Kauf nicht auf ausreichende Sicherheit geachtet hat, gibt womöglich sensible Daten ein, die dann unverschlüsselt übertragen werden – und ein Einfallstor für Hacker sind.
Wer keinen Unternehmenscomputer nutzt, sollte die erarbeiteten Daten regelmäßig auf das Firmensystem übertragen, rät das BSI. Erst dann können die Sicherheitsmechanismen des Unternehmens zum Datenschutz greifen. Zudem gilt es, den privaten oder Arbeits-PC mit regelmäßigen Updates zu schützen.
Stark zugenommen hat durch die Arbeit im Homeoffice die Benutzung von Videokonferenzsystemen und Messengern. Um hier auf Nummer sicher zu gehen, sollten Mitarbeitende ausschließlich auf Dienste zurückgreifen, die der Arbeitgeber bereitstellt. (Lesen Sie dazu: Rechtssichere Nutzung von Konferenz-Tools).
Sicherheit von Passwörtern: Handlungsbedarf für HR
Ein wichtiger Hebel in Sachen IT-Sicherheit ist die Wahl eines geeigneten Passworts: "Je länger desto besser", gibt das BSI als Grundregel aus. Wer ein kürzeres Passwort mit acht bis zwölf Zeichen wählt, sollte unbedingt vier Zeicharten (Groß- und Kleinschreibung, Zahlen und Sonderzeichen) verwenden. Bei Passwörtern ab 25 Zeichen reichten laut BSI hingegen zwei Zeichenarten, also beispielsweise Kleinbuchstaben und Sonderzeichen. Am sichersten sei es, für jeden Account ein eigenes, komplexes Passwort zu haben – wenngleich das bedeutet, mehrere Dutzend von Zugangsdaten zu verwalten.
Top Ten der schwachen Passwörter in Deutschland
Das Hasso-Plattner-Institut (HPI), Exzellenz-Center für IT-Systems Engineering, Data Engineering und Digital Health der Universität Potsdam, wertet jedes Jahr die Top Ten der geleakten Passwörter aus. Im Jahr 2023 waren dies:
- 123456789
- 12345678
- hallo
- 1234567890
- 1234567
- password
- password1
- target123
- iloveyou
- gwerty123
Auch das HPI gibt in diesem Zusammenhang Tipps zur Passworterstellung. Es empfiehlt:
- Lange Passwörter (> 15 Zeichen)
- Keine Wiederverwendung von gleichen oder ähnlichen Passwörtern bei unterschiedlichen Diensten
- Verwendung von Passwortmanagern
- Passwortwechsel bei Sicherheitsvorfällen und bei Passwörtern, die die obigen Regeln nicht erfüllen
- Zwei-Faktor-Authentifizierung aktivieren, wenn möglich
Die meistgenutzten Passwörter in HR
Eine Studie des Cybersecurity-Dienstleisters Nordpass aus dem Jahr 2021 zeigt, dass gerade in der Personalbranche großer Handlungsbedarf besteht. Die Liste der zehn meistgenutzten Passwörter in HR macht deutlich, wie schwach und dadurch anfällig für Hacker-Angriffe diese sind:
- password
- Kenzie14
- Firmenname123*
- Firmenname1234*
- welcome1
- 123456
- Firmenname*
- scooter
- Password
(* Dieses Passwort ist der Name des eigenen Unternehmens oder eine Abwandlung davon.)
Dabei sind schwache Passwörter eine der Hauptursachen für Datenpannen in Unternehmen. So kam es zum Beispiel beim US-amerikanischen Unternehmen Solarwinds zu einer großen Datenschutzverletzung, die Berichten zufolge auf den Schutz eines der Server mit dem Passwort "solarwinds123" zurückzuführen war. "Unternehmen und ihre Mitarbeitenden sind verpflichtet, die Daten ihrer Kunden zu schützen. Das schwache Passwort eines Mitarbeiters kann möglicherweise das gesamte Unternehmen gefährden", sagt Chad Hammond, Sicherheitsexperte bei Nordpass.
Passwortwechsel und Multi-Faktor-Authentifizierung
Nordpass rät, komplexe und einzigartige Passwörter zu erstellen sowie diese regelmäßig zu aktualisieren. Das BSI wiederum sagt, man solle das Passwort nicht mehr häufig wechseln. Laut chip.de hatte das BSI zunächst lange an dieser Empfehlung festgehalten. Doch inzwischen herrsche die einhellige Expertenmeinung, dass ein einmalig erstelltes, sicheres Passwort über Jahre genutzt werden könne. Der häufige Wechsel führe nur dazu, dass schwache Passwörter entstünden. Das Passwort sollte jedoch in jedem Fall geändert werden, wenn der Verdacht besteht, dass es in fremde Hände geraten sein könnte.
Außerdem enthält die BSI-Checkliste den Tipp, das Passwort des WLAN-Routers im Homeoffice zu ändern. Denn offenbar werden oft die Standard-Zugangsdaten des Herstellers beim Einrichten des Routers nicht geändert. Nordpass rät zudem, dass Mitarbeitende ihre Arbeits- und ihre persönlichen Konten nicht vermischen sollten. Denn nur so lasse sich sicherstellen, dass die persönliche Identität und alle Informationen, die sich auf den Arbeitgeber beziehen, im Falle einer Datenpanne geschützt seien.
Sowohl das BSI als auch Nordpass raten außerdem zu einer Multi-Faktor-Authentifizierung (MFA) oder auch Zwei-Faktor-Authentifizierung (2FA), bei der Benutzer zwei oder mehr Verifizierungsfaktoren angeben müssen, um Zugang zu einem Online-Konto oder einer Anwendung zu erhalten. Hier wird das Passwort zum Beispiel durch eine App-Bestätigung, eine Gesichtserkennung oder eine Pin auf einem anderen Gerät ergänzt.
Datenschutz im Homeoffice beachten
Der letzte Punkt in der BSI-Checkliste: "Stellen Sie sicher, dass nur Sie Zugriff auf die Firmen-IT haben." Schließlich könnten auch zuhause Unbefugte Zugriff auf die IT erhalten – etwa Handwerker in der Wohnung. Dieser Tipp ist auch Hauptbestandteil der Hinweise, wenn es um den Datenschutz im engeren Sinn geht. In unserem Beitrag zum "Datenschutz im Homeoffice" können Sie nachlesen, welche Punkte hier zu beachten sind.
Das könnte Sie auch interessieren:
IT-Sicherheit: Eine "Human Firewall" bilden
-
Workation und Homeoffice im Ausland: Was Arbeitgeber beachten müssen
2.250
-
Essenszuschuss als steuerfreier Benefit
1.525
-
Vorlage: Leitfaden für das Mitarbeitergespräch
1.454
-
Probezeitgespräche als Feedbackquelle für den Onboarding-Prozess
1.434
-
Ablauf und Struktur des betrieblichen Eingliederungsmanagements
1.411
-
Krankschreibung per Telefon nun dauerhaft möglich
1.346
-
BEM ist Pflicht des Arbeitgebers
991
-
Checkliste: Das sollten Sie bei der Vorbereitung eines Mitarbeitergesprächs beachten
724
-
Das sind die 25 größten Anbieter für HR-Software
497
-
Modelle der Viertagewoche: Was Unternehmen beachten sollten
458
-
Vorlage: Leitfaden für das Mitarbeitergespräch
21.11.2024
-
Mitarbeitergespräche führen
21.11.2024
-
Checkliste: Das sollten Sie bei der Vorbereitung eines Mitarbeitergesprächs beachten
21.11.2024
-
Regeln für eine erfolgreiche Gesprächsführung bei Mitarbeitergesprächen
21.11.2024
-
Fachkräftemangel durch Managementfehler
21.11.2024
-
Diese Stars der HR-Szene sollten Sie kennen
19.11.2024
-
Wo die bAV hinter eigenen Ansprüchen zurückbleibt
19.11.2024
-
Wie KI dem sozialen Miteinander am Arbeitsplatz schaden kann
15.11.2024
-
"Wir sollten uns größere Sprünge zutrauen"
14.11.2024
-
Wie der Führungswechsel im Mittelstand gelingen kann
13.11.2024