Sicherheitskultur in Unternehmen
Cybersicherheit kann nur funktionieren, wenn sie im Unternehmen gelebt und fest im Alltag verankert ist. Das beginnt damit, die Gefahren aus dem Cyberspace nicht auf die leichte Schulter zu nehmen.
1. Die Gefahr ernst nehmen
Den meisten kleinen und mittelständischen Unternehmen in Deutschland ist bewusst, wie sehr ihre Arbeit mittlerweile von funktionierenden Computersystemen abhängig ist. Sie wissen auch, dass Cyberkriminalität eine Gefahr darstellt. Doch das Risiko, selbst einmal Opfer eines Cyberangriffs zu werden, verdrängen viele – sie meinen, es träfe immer nur die anderen. Die einen denken, dass ihre Daten für Hacker nicht interessant wären. Andere halten ihr Unternehmen für zu klein, um in den Fokus von Cyberkriminellen zu gelangen. Wieder andere halten ihr Unternehmen für umfassend geschützt. Doch leider führen diese ganzen Irrglauben rund um Cyberkriminalität zu nichts anderem, als dass die Angreifer bei vielen Unternehmen immer noch leichtes Spiel haben.
2. Mitarbeiter sensibilisieren und schulen
Das E-Mail-Postfach ist seit Jahren das mit Abstand beliebteste Einfallstor für Cyberkriminelle. Hacker bringen mit immer raffinierteren Methoden ihre Opfer dazu, Spam-Mails zu öffnen, Links zu schädlichen Inhalten zu folgen oder mit Viren verseuchten Anhänge zu öffnen. Daraus folgt: Die alltägliche IT-Sicherheit beginnt in den Köpfen – in Ihrem und denen Ihrer Mitarbeiter/-innen. Die ganze Belegschaft und alle Dienstleister sollten daher regelmäßig für die Gefahren sensibilisiert werden und zu jedem Zeitpunkt wissen, wie sie mit der IT und den Daten des Unternehmens umgehen müssen.
3. Berufliches vom Privaten trennen
Mitarbeiter sollten berufliche Geräte, E-Mail-Adressen und Passwörter nicht für private Zwecke nutzen dürfen. Umgekehrt sollten sie keine privaten Geräte, E-Mail-Adressen und Passwörter für geschäftliche Zwecke verwenden müssen. Doch in vielen Unternehmen verschwimmen Berufliches und Privates:
- In rund der Hälfte der Unternehmen arbeiten Beschäftigte ausschließlich oder zumindest teilweise mit ihren privaten Geräten. Auf solche privaten Geräte und ihre Sicherheit haben die Unternehmen aber keinen direkten Einfluss. Und weil diese Geräte eben nicht nur beruflich, sondern auch für private Zwecke und sogar von der ganzen Familie genutzt werden, stellen sie ein hohes und für das Unternehmen kaum einzuschätzendes Risiko dar.
- Ebenfalls problematisch ist die private Nutzung des beruflichen Mail-Accounts. Untersuchungen des GDV zeigen: Im Darknet finden sich viele E-Mail-/Passwort-Kombinationen von Mitarbeiter/-innen, die ihre beruflich Mail nicht zu dienstlichen, sondern zu privaten Zwecken genutzt hatten – unter anderem zum Einkaufen in Online-Shops, für den Zugang zu sozialen Medien oder für die Anmeldung auf Gaming-Webseiten. Werden die entsprechenden Seiten gehackt, landen die Mail-Adressen und Passwörter der Nutzer schnell im Darknet. Das können Cyberkriminelle nutzen, um sich leichter Zugang zum beruflichen E-Mail-Postfach zu verschaffen.
