Tipps: Das "Sicherheitsrisiko Mitarbeiter" reduzieren

Immer neue IT-Sicherheitsskandale dringen an die Öffentlichkeit. Wie kürzlich bekannt wurde, sollen Hacker sogar Internetseiten von Kanzleramt und Bundestag angegriffen haben.

Doch Gefahren für die IT-Sicherheit von Unternehmen lauern nicht nur von außen. Einer Befragung von Ernst & Young zufolge sind die eigenen Mitarbeiter das Sicherheitsrisiko Nummer eins von Unternehmen. Meist gefährden diese die Cyber-Sicherheit demnach nicht aus bösem Willen, sondern aus Unachtsamkeit und Unwissenheit.

Weiterbildung in IT-Sicherheit

Wo HR bei der Personalentwicklung ansetzen sollte, um Mitarbeiter für Sicherheitsrisiken zu sensibilisieren, erklärt Alexander Krist, IT-Sicherheitsexperte der Circular Informationssysteme GmbH, anhand einiger Tipps. 

Tipp 1: Klären Sie die Belegschaft auf.

Um möglichen Schwachstellen oder Fehlverhalten Ihrer Angestellten vorzubeugen, sollten Sie sie stärker für Sicherheitsthemen sensibilisieren und zudem selbst das Sicherheitsbewusstsein vorleben. Schulen Sie Ihre Mitarbeiter im Hinblick auf einen verantwortungsvollen Umgang mit sensiblen Firmendaten und mobilen Endgeräten – und zwar kontinuierlich. Das betrifft den Umgang mit firmeneigenen Geräten, die Nutzung von privaten Endgeräten in Verbindung mit geschäftlichen Applikationen sowie den Gebrauch externer Speichermedien wie etwa USB-Sticks.

Ebenso von Bedeutung sind unternehmensinterne und gesetzliche Sicherheitsrichtlinien, die das notwendige Bewusstsein für den richtigen Umgang mit vertraulichen Firmendaten schärfen. Eine präzise Organisationsstruktur zeigt Mitarbeitern Compliance-Guidelines auf, die durchgesetzt und eingehalten werden müssen.

Tipp 2: Schützen Sie mobile Endgeräte.

Informieren Sie Mitarbeiter unter anderem hinsichtlich einer fehlerfreien Verwendung ihrer Passwörter und der Trennung von privaten und geschäftlichen Kennwörtern (siehe Infografik zur Erstellung eines sicheren Passworts). Ein starkes Passwort ist zwar ein wichtiger Schritt zu mehr Datensicherheit, bietet jedoch keinen lückenlosen Schutz. Um sich ausreichend abzusichern und einen unerlaubten Zugriff durch Angreifer zu verhindern, sollten neben der Anmeldung mit Benutzername und Passwort zudem Technologien zur Multi-Faktor-Authentifizierung hinzugezogen werden.

Die OTP-Methode etwa gewährleistet eine sichere Authentifizierung. Sie basiert auf dem Token-Geheimnis und generiert ein One-Time-Passwort, das auf dem Authentifizierungs-Device und auf dem Authentifizierungs-Backend gespeichert ist. Ein weiteres Verfahren ist zum Beispiel die kontextbasierte Authentifizierung. Sie verwendet kontextspezifische Informationen, um zu ermitteln, ob die Identität eines Benutzers authentisch ist oder nicht. 

Tipp 3: Stellen Sie sicher, dass Schutzsoftware installiert ist.

Stellen Sie sicher, dass Ihr Betriebssystem, die firmeneigene Hardware und Software sowie mobile Endgeräte regelmäßig mit aktuellen Sicherheits-Updates versorgt werden. So verhindern Sie unbefugten Zugriff von Dritten und schützen sich damit vor möglichen Sicherheitslücken. Zudem legen Sie ein Backup vorhandener Daten an.

Tipp 4: Schulen Sie Mitarbeiter im richtigen Umgang mit Unternehmensdaten.

Wer darf wann und womit auf welche Informationen zugreifen? Sind private mobile Endgeräte für den geschäftlichen Einsatz erlaubt? Dies sind einige von zahlreichen Fragen, die es zu beantworten gilt, um Firmendaten vor unberechtigtem Zugriff zu schützen. Denn häufig ignorieren Unternehmen mögliche Konsequenzen, die sich aus dem unbefugten Einsatz mobiler Geräte für die geschäftliche IT-Infrastruktur beziehungsweise die Datensicherheit ergeben können.

Ein Beispiel ist etwa das unüberlegte und unautorisierte Installieren von Apps auf firmeneigenen Endgeräten. Oftmals ist Nutzern nicht bekannt, auf welche Funktionen das fragliche Programm zugreifen kann. So rufen einige Apps ohne Wissen des Anwenders dessen Kontakte, gespeicherte Dateien oder seinen Standort ab. Auf diese Weise wird unbemerkt Fremdzugriff auf das Firmennetzwerk ermöglicht.

Ähnliche Szenarien ergeben sich für private Endgeräte, auf denen sich meistens schon eine Vielzahl heruntergeladener Apps befindet. Wer diese Geräte für geschäftliche Zwecke nutzt, kann nicht sicher sein, dass seine Daten nicht von Dritten mitgelesen werden.