IT-Risikofaktor Mensch

"Human Firewalls" als Schutz gegen Cyberangriffe auf ihr Unternehmen

Uhr
von Ken Vogel, Head of Management Services, Informationssicherheitsbeauftragter, Swiss Infosec

Die erste Reaktion auf Cyberangriffe betrifft in der Regel die Überprüfung und Optimierung bestehender technischer Sicherheitsmassnahmen. Das ist verständlich und notwendig, lässt allerdings einen entscheidenden Aspekt ausser Acht: den Menschen. Er ist und bleibt ein grosses Sicherheitsrisiko.

Sicherheit beginnt mit dem Bewusstsein für Unsicherheit. Zu wissen, wo Stolpersteine und Fettnäpfchen lauern oder lauern könnten, klingt unspektakulärer als technische Firewalls zu installieren, ist aber mindestens so erfolgreich. Der Sicherheitsteufel steckt oft in kleinen Details, die sich Angreifer schamlos zunutze machen. Mit den folgenden Fragestellungen kommen Sie diesen Details auf den Grund und die ehrlichen(!) Antworten zeigen, wie gut Ihre Mitarbeitenden für Sicherheit sensibilisiert sind.

Wissen Ihre Mitarbeitenden,

  1. dass sie ein Passwort nicht für zwei Logins (z. B. Versandhändler und E-Mail-Account) verwenden und nie an den IT-Support (oder sonst jemanden) weitergeben dürfen?

  2. wie sie eine Phishing-E-Mail als solche identifizieren können und dass Phishing-Angriffe auch per SMS oder Telefon stattfinden können?

  3. wie sie nicht vertrauenswürdige Links, die sich auch hinter QR-Codes oder Bilder verstecken können, erkennen?

  4. weshalb ein herrenloser USB-Stick etwa mit der ­Beschriftung "Fotos Firmenevent", der im Büro gefunden wurde, keinesfalls an einen Computer angeschlossen werden darf (weil er Schadsoftware enthalten könnte)?

  5. weshalb es wichtig ist, Personen erkennen zu können, die sich nicht auf dem Firmenareal aufhalten dürfen und dass sie solche Feststellungen melden sollten (weil z. B. herrenlose USB-Sticks genau von solchen Personen ins Unternehmen gebracht werden können)?

  6. wem sie eine Teamviewer Remote-Verbindung erteilen dürfen?

  7. welche Vorsichtsmassnahmen beim Arbeiten im Homeoffice, im Zug oder an öffentlichen Orten etc. zu ergreifen sind?

  8. wer in Ihrem Unternehmen für die Informations­sicherheit zuständig ist und wie/wo Vorfälle und Beinahe-Vorfälle gemeldet werden können?

Awareness: Sicherheit ins Bewusstsein rücken

Die Sensibilisierung Ihrer Mitarbeitenden hat dann Verbesserungsbedarf, wenn eine oder mehrere Fragen mit "nein" beantwortet werden (müssen). Höchste Zeit für Awareness! Sie kommt in Form von E-Learning-Kursen, Rollenspielen, Plakataktionen, Fachreferaten, Security-Newslettern und schier endlos vielen weiteren Gesichtern daher und kombiniert idealerweise fortlaufend verschiedenste Methoden, damit Mitarbeitende zu wirkungsvollen "Human Firewalls" werden.

Plan-do-check-act gilt auch für Awareness

Weil sich Angriffsmethoden schneller ändern als das Wetter und der Mensch dazu neigt, irgendwann nachlässig zu werden, wirkt Sensibilisierung erst nachhaltig, wenn sie immer und immer wieder überprüft und aufgefrischt wird. Dafür eignen sich beispielsweise simulierte Phishing-Angriffe (worüber die Mitarbeitenden im Nachgang selbstverständlich informiert werden). Das Wissen, das solche Angriffe generiert, sollte dann wiederum dazu verwendet werden, um wichtige Tipps und Key-Learnings an die Mitarbeitenden weiterzugeben. So wird Awareness zum Erfolg.

Webcode
DPF8_226018