IT Security

Cybersicherheit in Zeiten des Home Offices: Wie Sie Ihren Usern verantwortliches Verhalten klar machen

21. September 2021, Avatar of Axel PetersAxel Peters

Die Realität von Remote-Work und Home Office bereitet IT-Administrator:innen vielfach Kopfschmerzen in Bezug auf die IT-Sicherheit. IT-Admins können zwar darauf achten, dass die Software auf den Endgeräten auch gepatcht ist, vorschreiben, dass VPNs genutzt werden etc. Aber: die User werden deswegen auch weiterhin das schwächste Glied im Bereich der IT-Sicherheit sein.

Eine Kurzanleitung zur Steigerung des Sicherheitsbewusstseins der Benutzer

Sicherheitsschulungen sind hier sicherlich hilfreich, aber meist nur für kurze Zeit, bis sich die alten Gewohnheiten wieder einschleichen.
Für die Angestellten ist IT-Security meist zu abstrakt und schwer zu verstehen. Da kann es hilfreich sein, Sicherheitsbewusstsein wie eine neue Sprache zu behandeln, die die Benutzer erlernen müssen.

Wie bei jeder Sprache beginnen sie mit ein paar grundlegenden Wörtern, Sätzen und Konzepten. Ihr Wortschatz und ihr Verständnis wachsen dann mit der Zeit von selber.
Ihre Remote- und HO-User werden vielleicht nie "fließend" mit Cybersicherheit umgehen können. Aber Sie können ihnen helfen, es zu "verstehen", indem Sie ihnen die folgenden IT-Grundlagen vermitteln:

  • EIGENTUM VERPFLICHTET: Lassen Sie Ihre User ihre eigenen Endgeräte, wie z.B. Router, aus einer Liste bevorzugter Marken und Modelle auswählen. Auf diese Weise können Sie Verfahren für die Fernkonfiguration standardisieren. Auch Anweisungen für die Selbstinstallation durch die Benutzer sind so leichter umzusetzen. So können Sie sicher sein, dass grundlegende Dinge wie die Änderung der Werkseinstellungen und Standard Passwörtern die Deaktivierung des öffentlichen WLAN-Zugangs (nicht relevant in DE) zuverlässig erledigt werden. 
     
  • ZUGANG SICHERN: Neben der digitalen ist auch die physische Sicherheit wichtig. User sollten immer wieder dazu angehalten werden, Mobilgeräte verschlossen oder an einem anderweitig sicheren Ort abzulegen. Im Zuge dessen, sollten auch eine Grundeinstellung sein, dass bei jedem Systemstart und bei jedem Aufwachen eine Benutzeranmeldung verlangt wird – biometrische Verfahren auf modernen Geräten machen das sehr einfach und mit geringem Zeitaufwand.
     
  • ANSTECKEN VERMEIDEN: In Bezug auf öffentliche und gemeinsam genutzte WLAN-Verbindungen sollte den Usern klar sein, dass sie ähnlich wie öffentliche Toiletten funktionieren: Wenn es geht, sollte man sie vermeiden oder zumindest grundlegende sanitäre Maßnahmen betreiben. Im konkreten Fall heißt das, ein VPN zu nutzen. 
     
  • WACHSAM BLEIBEN: IT-Admins tun, was sie können, um Spam und Phishing-Nachrichten zu blockieren. Aber auch die User müssen ihren Teil dazu beitragen. Selbst kleine Schritte helfen: Etwa das Klicken oder Tippen auf den Namen des E-Mail-Absenders in der Kopfzeile der Nachricht, um Betrüger zu erkennen, oder das Blockieren bzw. Filtern von Nachrichten von unbekannten Nummern sind einfach zu erlernende Angewohnheiten, die die Sicherheit verbessern. Das Gleiche gilt auch für Fallen in sozialen Medien, wie Umfragen, mit denen persönliche Daten und/oder Antworten auf Sicherheitsfragen abgephisht werden.  Zudem können Sie den Usern einen einfachen Tipp geben: Ob man auf einer sicheren Webseite ist, verrät im Normalfall das kleine Vorhängeschloss-Symbol in der Adresszeile des Browsers. Wenn Sie sich unsicher sind, sollten Sie Ihre IT-Abteilung fragen.
     
  • SAG WAS: Ermutigen Sie Ihre User, die IT-Abteilung immer über verdächtige Systemereignisse, E-Mails oder Nachrichten zu informieren. Ein ungewöhnliches Vorkommnis kann ein Anzeichen dafür sein, dass ein Hacker nach Sicherheitslücken sucht oder ein Cyberangriff bevorsteht. Schaffen Sie eine Vertrauensbasis, damit der User weiß es ist nichts Verwerfliches daran im Zweifel die IT zu involvieren.
     
  • TRENNEN SIE: Machen Sie es zur Vorgabe, dass private und geschäftliche Geräte nach Möglichkeit getrennt und mit unterschiedlichen Netzwerkverbindungen genutzt werden. Das ist nicht nur gut für die Sicherheit, sondern schützt private Daten und Aktivitäten der Anwender:innen und verhindert, dass IT-Mitarbeiter versehentlich private Daten preisgeben.
     
  • RECYCLING VERHINDERN: Erleichtern Sie die Einhaltung der Passwortrichtlinien durch den Einsatz von Passwort Managern. Die größte Gefahr für Unternehmen besteht darin, dass Passwörter mehrfach verwendet werden und eine kompromittiertes Passwort Hackern weitreichenden Zugriff gewährt. Mit Passwort-Managern müssen Sie sich keine starken Passwörter mehr ausdenken. Webformulare können automatisch ausgefüllt und verschlüsselt aufbewahrt werden. So verhindern Sie effektiv die Wiederverwendung von Passwörtern.
     
  • GETUNNELT SEIN: Das VPN ist Ihr Freund. Stellen Sie es so ein, dass es beim Systemstart automatisch gestartet oder verbunden wird. So erhalten Sie eine zuverlässig sichere und verschlüsselte Verbindung. Das verhindert, dass Dienstanbieter Internetaktivitäten protokollieren, und hält Hacker davon ab, Verbindungen anzuzapfen.
     
  • PRIVAT BROWSEN: Verwenden Sie den Inkognito-Modus, um Browser- und Download-Verläufe, Tracking-Cookies und andere sicherheitsrelevante, digitale Artefakte nach dem Ende der Session automatisch zu löschen. Ermutigen Sie Ihre User, privates Surfen und das VPN zu kombinieren, um den Schutz noch zu verbessern. 

Wie das Erlernen einer neuen Sprache erfordert auch die Steigerung des Sicherheitsbewusstseins Zeit und kontinuierliches Training. Die Mühe lohnt sich: Mit den richtigen Werkzeugen und Verständnis, warum bestimmte Sicherheitsmaßnahmen notwendig sind und wie sie funktionieren, wird Ihr Unternehmen sichererer, Ihr IT Team entlaste t und die User produktiver.

Mehr lesen?