Menschgemachte IT-Risiken minimieren

Autor

Barbara Rohrer

Datum

19. Februar 2020

Es gibt viele Möglichkeiten, den Tag des IT-Leiters zu verderben: Sei es beim Einschleppen von Malware via E-Mails, dem eigenmächtigen Herunterladen von vermeintlich sicherer Software oder einem liegen gelassenen Laptop mit mangelndem Passwort-Schutz.

Zudem schleichen sich bei Mitarbeitenden gerne Gewohnheiten ein, die sich als Sicherheitsrisiko entpuppen. Das können geteilte Systemzugänge, weitergereichte Passwörter oder nicht gesperrte Computer sein. Diese Liste ist beliebig erweiterbar und an den ergänzenden «Lieblingsmüsterchen» von IT-Verantwortlichen kann ich mich kaum satthören.

Die genannten Risiken haben in der Regel eines gemeinsam: Sie gehen vom Endbenutzer aus. Es liegt also auf der Hand, dass sich dieses Risiko im besten Fall minimieren aber nicht zu 100 % beseitigen lässt. Bei den E-Mails gibt es Lösungen, indem die meisten Bedrohungen mit einer Antiphishing- und Antivirus-Engine auf dem E-Mail-Server beseitigt werden. Schwieriger gestalten sich die Vorsorgemassnahmen bei Web-Bedrohungen.

Testen Sie sich: Finden sie die 6 Gefahren?

Schauen Sie sich den untenstehenden Clip an. Finden Sie die sechs Stolpersteine, die vielen Mitarbeitenden regelmässig begegnen?

Cyberangriffe steigen

Spezialisten des Sicherheitsanbieters Kaspersky rechnen in ihren «Advanced Threat Predictions» mit einer weiteren Zunahme von Cyberangriffen im Jahr 2020. Und auch die nationale Melde- und Analysestelle Informationssicherung (MELANI) taxiert in ihrem Halbjahresbericht 1/2019 Verschlüsselungstrojaner, sogenannte Ransomware, zu den gefährlichsten Cyberbedrohungen. Die Angreifer bleiben dabei meist unerkannt und bereichern sich an Erpressungsgeldern oder dem Weiterverkauf von Daten. Um ihre Erträge zu steigern, gestalten sie ihre Attacken immer ausgeklügelter – was gleichzeitig wieder IT-Sicherheitsverantwortliche fordert.

Schulen, sensibilisieren, testen

Mitarbeitenden ist oft nicht bewusst, welche Sicherheitsrisiken lauern und wie schnell sie das gesamte Unternehmen in Gefahr bringen können. Darum ist eine wiederkehrende Sensibilisierung wichtig. Dazu eignen sich folgende Möglichkeiten:

Information: Gerne wird die Informatik von Mitarbeitenden aufgrund von sonderbaren Mails kontaktiert. Handelt es sich dabei um ein «Social Data Mining», lohnt sich eine Information an die gesamte Belegschaft. Erklären Sie, dass diese Mails von scheinbar bekannten E-Mail-Adressen versendet werden und den Leser zum Öffnen von gefährlichen Links oder Anhängen verleiten möchten. Zeigen Sie auf, wie solche Mails erkannt und richtig gelöscht werden (In Outlook z.B. mit der Tastenkombination [Umschalt] + [Entf]).
Schulung: Nichts geht über eine sorgfältige Sensibilisierung via Schulung. Als flexible Alternative zur Präsenzschulungen bieten sich e-Learnings oder kurze Wissenstransfers per Lern-App an. Zusammen mit der Swiss Infosec hat easylearn den Online-Kurs Informations- und IT-Sicherheit erstellt und beleuchtet darin in drei Modulen verschiedene Themen wie Malware, Sicherheit am Arbeitsplatz, E-Mail, Internet, Passwörter oder Arbeiten von unterwegs. Einen kostenlosen Einblick erhalten Sie hier: Online-Kurs Informations- und IT-Sicherheit
Fiktive Attacken: Angemeldete und unangemeldete Awareness-Tests zeigen Ihnen auf, wie die Schulungen gewirkt haben und welche Mitarbeitenden nachgeschult werden müssen. Bei Interesse vermitteln wir Ihnen gerne Kontakte für Phishing- und Social Engineering-Attacken.

Weiterführende Links

Blog «Sicheres Passwort»
Blog «Das Ausmass von Cyberkriminalität»
e-Learning «Informations- und IT-Sicherheit»
e-Learning zu Ransomware-Angriffen
Nationale Melde- und Analysestelle Informationssicherung (MELANI)

Mitarbeitende für die Gefahren von Cyberkriminalität sensibilisieren:

e-Learning-Kurs zu IT-Sicherheit

Jetzt mehr erfahren und Demokurs anfordern