Sicherheitslücke Mitarbeiter: acht Punkte, um auf Nummer sicher zu gehen!

Mittlerweile dürfte der überwiegende Teil der deutschen Unternehmen am eigenen Leib gespürt haben, welche Schäden eine Cyber-Attacke anrichten kann. Die besten technischen Vorkehrungen nützen jedoch wenig, wenn die Sicherheitslücke Mitarbeiter nicht geschlossen wird – hier die Fakten für Sie zusammengestellt. 

Auf rund 223 Milliarden Euro beziffert die jüngste Bitkom-Studie die Schäden, die Unternehmen durch Cyber-Angriffe erleiden – und das jährlich! Betroffen sind alle Branchen und Größen, vor allem der Mittelstand wurde zunehmend zum Ziel. Seit 2020 wurden neun von zehn Unternehmen Opfer von Sabotage, Datenklau und Spionage. 

Auf den ersten Blick verwundert diese Bilanz, schließlich ist das Thema IT Sicherheit für Mitarbeiter nichts Neues. Unternehmen investieren in Firewalls, Detection und Response, Endpoint Security oder Access Control, um sich gegen derartige Attacken zu schützen. Wieso gelingen diese Angriffe trotzdem? Und da kommt ein faktisch blinder Fleck ins Spiel: die Sicherheitslücke Mitarbeiter.

Aus unserer langjährigen Erfahrung als IT Systemhaus können wir Ihnen bestätigen: Die professionellste Technik nützt Ihnen wenig, wenn Sie die Sicherheitslücke Mitarbeiter nicht ernstnehmen. In vielen Fällen nutzen kriminelle Kräfte nämlich die Unachtsamkeit, aber eben auch die Gutgläubigkeit von Mitarbeitern, um in die sensiblen Systeme einzudringen. Die Zahlen sprechen für sich: Über 61 Prozent der erfolgreichen Attacken lassen sich auf menschliches Fehlverhalten zurückführen. Die kriminelle Energie nutzt verschiedene Wege, wie zum Beispiel

• Phishing per Malware, Drive-by-Downloads oder E-Mails,
• Social Engineering oder
• Deepfakes.

Das Fatale: Wenn nur ein einziger Mitarbeiter überrumpelt werden kann, ist die IT Infrastruktur und damit das ganze Unternehmen einer enormen Gefahr ausgesetzt!

Es ist also überaus wichtig, die Sensibilität der Belegschaft zu wecken und ihnen die geeigneten Instrumente an die Hand zu geben. So kann die riesige Sicherheitslücke Mitarbeiter effektiv geschlossen werden. Und oft genug sind es schon die kleinen Schritte, die eigentlich selbstverständlich sein sollten, die die größte Wirkung entfalten. Wir haben Ihnen die aus unserer Sicht als Spezialisten für IT Systeme und deren Sicherheit relevanten Schritte zusammengestellt, die sich in vier technische und vier organisatorische Maßnahmen unterteilen:

Anti-Spam-Lösungen können in der Regel sehr viel mehr, wenn sie den konkreten Bedürfnissen angepasst werden. Über die Standard-Variante hinaus lassen sich sinnvolle Features auswählen, doch werden diese Möglichkeiten oft genug nicht voll ausgeschöpft. So kann eine sogenannte Sandbox zum Beispiel dafür sorgen, dass Anhänge noch vor der Zustellung in das Zielpostfach geöffnet und auf Schadcode überprüft werden kann! Dies geschieht in einer isolierten Umgebung, der sogenannten Sandbox.

1. Anti-Spam-Lösung professionell zuschneiden

Anti-Spam-Lösungen können in der Regel sehr viel mehr, wenn sie den konkreten Bedürfnissen angepasst werden. Über die Standard-Variante hinaus lassen sich sinnvolle Features auswählen, doch werden diese Möglichkeiten oft genug nicht voll ausgeschöpft. 

So kann eine sogenannte Sandbox zum Beispiel dafür sorgen, dass Anhänge noch vor der Zustellung in das Zielpostfach geöffnet und auf Schadcode überprüft werden kann! Dies geschieht in einer isolierten Umgebung, der sogenannten Sandbox.

2. Externe Mails kenntlich machen

Um diese Maßnahme zu realisieren, benötigen Sie zwar einen Spezialisten, aber es lohnt sich! Ihre Mitarbeiter sehen sofort, ob eine Mail einen externen Absender hat – und das auch, wenn missbräuchlich eine interne Mail-Adresse genutzt wird. Diese Variante ist als Einfallstor für kriminelle Kräfte nicht zu unterschätzen.

3. Starke Passwörter nutzen

Bequemlichkeit wird schnell zur Sicherheitslücke, wenn Mitarbeiter beispielsweise ein einfaches Passwort für alle Fälle einsetzen. Das Geburtsdatum, der Name des Ehepartners und ähnliche Kombinationen lassen sich viel zu leicht nachvollziehen.

Hier empfehlen sich intelligente Werkzeuge, denn irgendwo müssen die Passwörter, die einzeln für jeden Zugang vergeben werden sollten, ja gespeichert werden.

4. Administrative Berechtigungen beschränken

Auch dies ist eine gängige Sicherheitslücke: Mitarbeiter benötigen in der Regel keine administrativen Berechtigungen, diese sollten einem engen Kreis vorbehalten werden. 

Das Motto lautet also, so wenig wie möglich und so viel wie absolut nötig. Grundsätzlich sollten Sie in der gesamten Infrastruktur nach dem Least-Privilege-Prinzip vorgehen – so viele Rechte wie nötig, so wenig wie möglich!

5. Grundsätzlich skeptisch bleiben

Machen Sie Ihrer Belegschaft klar, dass jeder einzelne Mitarbeiter eine gesunde Skepsis an den Tag legen sollte. Kommt eine Mail an, in der der Absender einen bestimmten Druck aufbaut, sollten die Alarmglocken schrillen. Dabei kann es sich um einen Geschäftsabschluss handeln, wenn der Geschäftsführer zum Beispiel nicht da ist, oder eine Anfrage zu sensiblen Daten. 

Es ist wichtig, dass jeder einzelne Mitarbeiter wachsam bleibt und im Ernstfall auch einmal zu viel hinterfragt – das kann Schäden effektiv vermeiden.

6. Handwerkszeug an die Hand geben

Um die Sicherheitslücke Mitarbeiter wirklich schließen zu können, müssen diese die Brisanz des Themas begreifen. Sinnvoll ist es daher, sie regelmäßig darauf aufmerksam zu machen, zum Beispiel mit Warnhinweisen auf Mousepads oder anderen gängigen Utensilien. 

Darüber hinaus können Notfallkarten, auf denen die wichtigsten Schritte bei einem Zwischenfall klar kommuniziert werden, einen wichtigen Beitrag leisten.

7. Digitale Ersthelfer ausbilden lassen

Vor allem Unternehmen ohne eigene IT-Abteilung können mit einem digitalen Ersthelfer für ein hohes Maß an Sicherheit für den Ernstfall sorgen. Mit einem Tages-Workshop ist es schon getan! 

In Frage kommen Mitarbeiter aus allen Abteilungen, die wir nicht nur für das Thema Sicherheitslücke Mitarbeiter sensibilisieren, sondern auch dazu befähigen, im Fall der Fälle die richtigen Maßnahmen einzuleiten.

8. Awareness-Plattform etablieren

Hier fließen technische und organisatorische Maßnahmen im Prinzip zusammen. Eine Online-Plattform zur Weiterbildung der Mitarbeiter erfasst zunächst den aktuellen Wissensstand und damit das Risk-Level, um auf dieser Grundlage die empfehlenswerten Lerninhalte anzubieten. 

Diese lassen sich individuell anpassen und sind so umgesetzt, dass jeder Beschäftigte davon profitieren kann. Damit können Sie die laufende Weiterbildung und Unterweisung auch sehr gut gegenüber einer Versicherung belegen – und so Vorteile für Ihr Unternehmen generieren.

Besonders wichtig: Achten Sie bei der Wahl einer Plattform auf aktuelle Lerninhalte. Eine Vielzahl der Phishing-Attacken orientiert sich an konkreten, aktuellen Bedürfnissen und Anlässen, etwa vermehrter Home-Office-Arbeit während der Corona-Pandemie. Inhalte müssen deshalb stets an die aktuelle Risikolage angepasst werden.

Die Sicherheitslücke Mitarbeiter ist vielschichtig – und sollte auch so angegangen werden. Selbstverständlich stehen wir Ihnen mit unseren Erfahrungen und unseren speziellen Kompetenzen gerne zur Seite, um die Risiken zu identifizieren, die geeigneten Maßnahmen abzuleiten und konsequent umzusetzen. Rufen Sie uns einfach an, wir nehmen uns gerne Zeit für Sie.