Sie sind hier der Alltagsheld

Kein Sicherheitssystem der Welt macht Ihr Unternehmen so sicher, wie Sie es durch Ihr Verhalten tun können.

Wussten Sie, dass über die Hälfte der deutschen Unternehmensdaten nicht ausreichend gegen Naturkatastrophen gerüstet sind? Im Fall einer Überflutung wie im Ahrtal im Juli 2021 fallen Rechenzentren komplett aus. Worst Case für das betroffene Unternehmen: Die verloren gegangenen Daten können nicht wieder hergestellt werden. Abgesehen von derartigen Desastern fordert auch eine Pandemie wie Covid-19 Vorsorgemaßnahmen für die Informationssicherheit, beispielsweise bei einem langfristigen Ausfall von Mitarbeitern durch Quarantäne. Haben Organisationen hierfür keinen Notfallplan, sind verehrende Sicherheitslücken vorprogrammiert.

Und wussten Sie, welches Land nach Spanien und Frankreich weltweit den dritten Platz einnimmt, wenn es um Unternehmen geht, die einer Cyber-Attacke ausgesetzt waren? Richtig! Es ist Deutschland. Ein Grund hierfür ist, wenn die Komponente „Mitarbeiter“ im Informationssicherheitssystem unbeachtet bleibt. Denn auch, wenn beispielsweise alle Krankenhäuser seit Anfang dieses Jahres dazu verpflichtet sind, ihren Betrieb in Notfällen aufrecht zu erhalten, zum Beispiel indem sie den neusten Stand der Technik einhalten: Verhalten Sie sich als Mitarbeiter nicht sicherheitskonform, können auch die besten Techniken und Prozesse nicht vor einem Cyberangriff schützen.

Sind Mitarbeiter ein einziges Risikokapital?

Es ist wenig überraschend: Sie sind keine Maschine. Ihre beruflichen Ziele stehen im Mittelpunkt. Das Einhalten von Sicherheitsvorkehrungen hat dabei nicht immer höchste Priorität und kann nicht in Sie einprogrammiert werden. Einige Faktoren sorgen dafür, den sensiblen Umgang mit Informationssicherheit zu erschweren: Mussten Sie schon mal Aufgaben unter Zeitdruck erledigen und hatten dabei das Gefühl, dass aufwändige Sicherheitsvorkehrungen dabei mehr im Weg stehen als Ihnen nützlich sind? Ist Ihnen oft gar nicht klar, warum bestimmte Maßnahmen oder Leitlinien zur Sicherheit getroffen werden? Hand aufs Herz: Denken Sie, dass im Zweifel eines Angriffs ohnehin die IT-Abteilung zuständig ist und Sie rein gar nichts ausrichten können?

Wenn Sie mindestens einer dieser Fragen zustimmen, dann gehören Sie zunächst einmal zur Mehrheit. Ist der Mitarbeiter damit ein einziges Risikokapital für die Organisation? Die klare Antwort lautet: Nein. Sie sind mit Ihrem Verhalten die relevanteste Komponente im Sicherheitssystem ihres Unternehmens und können jeden Tag dafür sorgen, dass es vor Angriffen sicher ist.

Seien Sie ein Alltagsheld – am besten, ein misstrauischer!

Werden Sie sich zunächst darüber bewusst, dass Ihr Verhalten ausschlaggebend ist, um die Informationssicherheit zu wahren. Der wichtigste Tipp hierbei lautet:
Seien Sie misstrauisch! Wenn Sie eine E-Mail bekommen, in der Sie aufgefordert werden einen Link zu öffnen, sehen Sie sich den Absender genau an und beurteilen Sie, ob es sich um eine vertrauenswürdige E-Mail handelt. Häufig sind deutliche Handlungsaufforderungen wie „Öffnen Sie schnell den Link“ ein erstes Anzeichen für Phishing-Mails. Klicken Sie auf den Link, haben Sie Hackern die Tür zu unternehmensinternen Daten bereits geöffnet. Auch gefälschte E-Mails Ihres Vorgesetzen, in der Sie aufgefordert werden eine finanzielle Transaktion zu tätigen – möglichst schnell und ohne weitere Aufforderung – ist eine gängige Taktik, um Mitarbeiter unter Druck zu setzen und sensible Informationen zu erhalten. Es lohnt sich in diesem Fall, Zeit zu investieren und sich beim Vorgesetzten persönlich rückzuversichern.

Misstrauisch dürfen Sie auch bei Offline-Aktivitäten sein. Social Engineering ist ein beliebtes Mittel, bei dem Angreifer beispielsweise mit gespielter Hilflosigkeit die Gutmütigkeit von Mitarbeitern ausnutzen: Ein vermeintlich verzweifelter Bewerber beispielsweise, der angibt Unterlagen vergessen zu haben, diese aber auf seinem Datenträger gespeichert hat, kann ein Hacker sein, der auf diesem Weg einen Virus auf Ihrem System verbreitet. Auch Ihre eigenen Datenträger sollten nicht offen auf Ihrem Schreibtisch liegen und für jeden zugänglich sein.

Weiterhin ist es immer ratsam, Dokumente am Rechner zu schließen, bevor Sie den Arbeitsplatz verlassen. Es klingt trivial, ist aber eine große Sicherheitslücke, denn auch auf diese Weise können ungewünschte Außenstehende Unternehmensinterna abgreifen. Eine automatische Passwortsperre hilft darüber hinaus, den Zugang zu Ihrem Rechner zu verhindern.

Und wenn die Sicherheit doch in den Brunnen fällt?

Möglicherweise passiert es eines Tages doch: Sie werden Opfer von Malware oder von einem Hacker durch Social Engineering überlistet. Ein Alltagsheld sind Sie in diesem Fall dann, wenn Sie handeln, anstatt zu hoffen, dass es nicht auffällt. Informieren Sie die IT-Abteilung oder den Sicherheitsbeauftragten, damit größerer Schaden im Vorfeld behoben wird. Geben Sie auch Ihren Kollegen Bescheid. Cyberangriffe funktionieren auch, weil sie geschickt getarnt und äußert gut durchdacht sind und nicht ausschließlich, weil Sie als Mitarbeiter zu unachtsam sind. Warum sollten nur Sie auf einen illegalen Link klicken oder dem „netten, aber verzweifelten“ Bewerber vertrauen, der in Wirklichkeit dem Unternehmen schaden will? Angst vor negativen Konsequenzen ist an dieser Stelle ein schlechter Ratgeber. Ein offensiver Umgang hingegen schützt Ihre Kollegen und damit das gesamte Unternehmen vor einem erheblichen Schaden.

Quellen:

• https://www.dqs.de/blog/gesundheit/it-sicherheit-krankenhaus-ab-2022-verpflichtend-fuer-alle/
• https://dl.gi.de/bitstream/handle/20.500.12116/20561/1246.pdf?sequence=1&isAllowed=y
• https://de.statista.com/statistik/daten/studie/1230157/umfrage/unternehmen-die-in-den-letzten-12-monaten-eine-cyber-attacke-erlebt-haben/