In jedem Sicherheitssystem eines Unternehmens sind Mitarbeiter das schwächste Glied. Jeder, der sich um den Schutz von Informationssystemen kümmert, kann bestätigen: Völlig unabhängig davon, wie fortschrittlich eine Sicherheitstechnologie ist, kann ein nachlässiger oder ahnungsloser Mitarbeiter die Infrastruktur eines Unternehmens gefährden. Wenn Sie Ihre Mitarbeiter kürzlich ins Homeoffice geschickt haben, sollten Sie sich dessen bewusst sein, das nun auch mehr Raum für Fehler ist.
Bei der Arbeit im Büro sind Schutzsysteme und IT-Mitarbeiter vor Ort, die einen Teil der Last auf sich nehmen. Dies ist natürlich keine Garantie für perfekte Sicherheit, aber zumindest blockiert die Antivirenlösung des Unternehmens Phishing-Seiten, und das Infosec-Team kann Anomalien im Datenverkehr von einem infizierten Computer erkennen. Darüber hinaus kümmert sich das IT-Team um zeitnahe Updates, die neueste Schwachstellen beheben.
Jetzt, da viele Menschen aus dem Homeoffice arbeiten, sind sie im Hinblick auf all diese Dinge auf sich alleine gestellt. Und genau an dieser Stelle beginnt das Thema Sicherheits-Awareness eine wichtige Rolle zu spielen.
Seien Sie Ihr eigener IT-Administrator
Welche Geräte verwenden Ihre Mitarbeiter bei der Arbeit von zu Hause? Einen firmeneigenen Laptop, der mit den Richtlinien des Unternehmens übereinstimmt? Ein guter Ansatz, aber lange nicht ausreichend. Denn der Laptop ist nun mit einem unbekannten Heimnetzwerk verbunden. Welche anderen Geräte stellen eine Verbindung zu demselben Router her? Und um welche Art von Router handelt es sich hierbei? Wie stark ist das Passwort und wer hat – und vor allem wie wurde – das Gerät eingerichtet? Wenn Ihr Mitarbeiter hingegen einen persönlichen Computer nutzt, haben Sie keinen Überblick darüber, wer Zugang zu diesem Rechner hat, welche Sicherheitslösung installiert ist oder ob das Betriebssystem regelmäßig aktualisiert wird.
Natürlich erwarten wir nicht, dass jeder über Nacht zum Systemadministrator-Guru mutiert, doch die Fähigkeit Bedrohungen und Schwachpunkte zu identifizieren ist ein Pluspunkt für alle Beteiligten. Dies würde verhindern, dass Personen eine direkte Verbindung zu Unternehmensdatenbanken herstellen, obwohl das Unternehmen ein VPN zur Verfügung gestellt hat, gefälschte „Flash Player-Updates“ installiert werden oder externe „Experten“ mit den Einstellungen herumspielen.
Seien Sie Ihr eigener Datenschutzbeauftragter
Welche Daten verwenden oder verarbeiten Ihre Mitarbeiter tagtäglich? Kennen sie überhaupt die Definition von vertraulichen Daten und wissen sie, welche Informationen zum Geschäftsgeheimnis gehören? In einer perfekten Welt, hätten sie all das bereits an ihrem ersten Arbeitstag im Büro gelernt. Die Arbeit mit einer Liste von EU-Kunden in einem isolierten Büro-Subnetz und der Zugriff auf derartige Daten aus dem Homeoffice sind jedoch zwei verschiedene Paar Schuhe.
Darüber hinaus können Mitarbeiter bei der Arbeit von zu Hause deutlich schneller dazu verleitet werden, ein nicht überwachtes, inoffizielles Tool für die Zusammenarbeit zu verwenden. Jeder muss sich darüber im Klaren sein, welche Daten über inoffizielle Kanäle gesendet werden können und was das Netzwerk unter keinen Umständen verlassen darf.
Seien Sie Ihr eigener Cyberspezialist
Sowohl Remote-Mitarbeiter als auch IT-Experten müssen verstehen, dass die aktuelle Pandemie ein Segen für Cyberkriminelle ist. Wir haben bereits Wellen von COVID-19-Phishing gesehen, sowohl breitflächige Massenangriffe als auch solche, die auf bestimmte Branchen abzielen. Einige Kriminelle versuchen, BEC-Angriffe aus dem Ärmel zu schütteln, in der Hoffnung, dass ihre Nachrichten in den wachsenden Strömen der Telearbeitskorrespondenz durchgehen. Unsere Sicherheitstechnologien haben beispielsweise Unternehmensinfrastrukturen erkannt, die von externen Quellen kontinuierlich auf offenen RDP-Ports gescannt wurden. Grund genug, die Wachsamkeit zu verdoppeln.
So schulen Sie Mitarbeiter in dieser Situation
Vermitteln Sie Ihren Mitarbeitern zunächst die Idee, dass sie jetzt weitaus mehr als je zuvor für die Informationssicherheit verantwortlich sind. Das mag Ihnen offensichtlich erscheinen, aber es kommt vielen Menschen einfach nicht in den Sinn. Danach sollten Sie das Sicherheitsbewusstsein Ihrer Mitarbeiter aktiv steigern. Sicher, es gibt derzeit keine persönlichen Schulungen und Trainings, aber unsere Fernlernprogramme stehen diesen in nichts nach.
Der einfachste Weg, ein Cybersicherheitstraining aus der Ferne einzurichten, ist unsere Plattform Kaspersky Automated Security Awareness. Sie informiert die Mitarbeiter nicht nur über die neuesten Bedrohungen, sondern zeigt ihnen auch, wie sie diesen Bedrohungen widerstehen können. Darüber hinaus hat der Manager die Kontrolle über den gesamten Prozess und kann das Schulungsprogramm völlig ferngesteuert einrichten. Das Material wurde von Spezialisten auf dem Gebiet der Erziehung und Psychologie erstellt, und garantiert auf diese Weise, dass Informationen nicht sofort wieder vergessen werden.
Erst vor kurzem haben unsere Experten die Plattform um zwei interessante Schulungsmodule über die Themen „vertrauliche Daten“ und „DSGVO“ erweitert. Das erste Modul gilt Mitarbeitern, die mit vertraulichen Daten, Geschäftsgeheimnissen oder internen Dokumenten arbeiten. Das zweite Modul gilt Unternehmen, dessen Kunden oder Mitarbeiter EU-Bürger beinhalten.
Darüber hinaus haben unsere Trainingsexperten zusammen mit Area9 Lyceum ein kostenloses Modul erstellt, das aus zwei Hauptteilen besteht. Im ersten Teil lernen die Teilnehmer, wie sie eine sichere Arbeitsumgebung von zu Hause aus organisieren können. Bei der zweiten geht es überhaupt nicht um Informationssicherheit, sondern darum, wie das Risiko einer COVID-19-Infektion minimiert werden kann. Das Modul finden Sie hier.