Sobald der Sommer endet, nehmen viele Unternehmen wieder Studenten für Saisonpraktika auf. Das bedeutet, dass junge, unerfahrene Leute, die wahrscheinlich nicht viel über Cybersicherheit wissen, in Ihre Geschäftsprozesse eingebunden werden.
Organisationen verbringen selten viel Zeit damit, über die damit verbundenen Risiken nachzudenken, und ergreifen demnach auch keine besonderen Vorsichtsmaßnahmen. Sie sind der Meinung, dass Praktikanten sowieso nicht lange im Unternehmen verweilen und wahrscheinlich auch keinen Zugang zu vertraulichen Informationen erhalten werden. Das stimmt, bedeutet aber nicht, dass Sie die Tatsache ignorieren sollten, dass unerfahrene Praktikanten ohne entsprechende Kenntnisse Ihr Unternehmen ernsthaft gefährden können, indem sie auf einen harmlos scheinenden Phishing-Link klicken, schwache Passwörter für ihre Arbeitskonten festlegen oder Social Engineering zum Opfer fallen. Um zu verhindern, dass all diese Dinge passieren, haben wir im Anschluss einige Empfehlungen für Sie zusammengefasst.
Orientierung für Praktikanten
Bevor Sie Ihren Praktikanten Zugang zur Infrastruktur und Ausrüstung der Organisation gewähren, sollten Sie die neuen Mitarbeiter zunächst mit dem Wesentlichen vertraut machen. Erklären Sie die akzeptierten Standards der Organisation in Bezug auf Sicherheitsrichtlinien, Zwei-Faktor-Authentifizierung und Passwörtern.
Wenn Sie Praktikanten in Ihren Betrieb einbeziehen, müssen diese früher oder später auch Passwörter für bestimmte Zwecke oder Dienste festlegen. Und obwohl die Passwortsicherheit ein viel diskutiertes Thema zu sein scheint, kommt es einem Neuling vielleicht gar nicht erst in den Sinn, dass jeder Dienst ein eigenes, starkes Passwort verdient hat.
Least-Privilege-Prinzip (PoLP)
Wenn Sie Praktikanten Zugriff auf Unternehmensressourcen gewähren, sollten Sie immer das Least-Privilege-Prinzip (PoLP) befolgen. Hierbei handelt es sich um ein Konzept, bei dem einem Benutzer nur die für seine Tätigkeit mindestens erforderliche Zugriffsebene erteilt wird.
Geheimhaltungsverträge (NDA)
Viele Organisationen lassen ihre Praktikanten keine Geheimhaltungsverträge unterzeichnen, weil sie die Rolle der Praktikanten nur als untergeordnet und vorübergehend ansehen. Auch wenn Praktikanten vermutlich keine streng geheimen Firmengeheimnisse aufdecken werden, ist die Unterzeichnung eines NDA eine gute Möglichkeit, den neuen Mitarbeitern zu vermitteln, dass sie in persönlichen Gesprächen nicht über Geschäftsprozesse reden sollten.
Informationssicherheit auf persönlichen Social-Media-Konten
Praktikanten sind meist junge Menschen, die ihr Leben bekannterweise gerne auf sozialen Netzwerken teilen. Und vermutlich möchten sie die Welt auch an ihrem ersten Job teilhaben lassen.
Einerseits kann die Organisation durchaus davon profitieren, wenn Praktikanten in den sozialen Medien begeistert darüber sprechen, wie interessant ihre Arbeit ist. Auf der anderen Seite könnten sie in ihren Beiträgen versehentlich wichtige Informationen preisgeben – zum Beispiel, wenn sie Selfies vor dem Hintergrund interner Dokumenten von sich machen und öffentlich hochladen.
Aus diesem Grund empfehlen wir Ihnen, Ihren Praktikanten die Unternehmensrichtlinien zur Nutzung sozialer Medien klar zu artikulieren. Versuchen Sie dabei keine langen Anweisungen per E-Mail zu verschicken, da die Wahrscheinlichkeit, dass sie von A bis Z gelesen werden, sehr gering ist. Viel effektiver hingegen können mündliche Einweisungen sein.
Zugriff auf Ressourcen nach dem Praktikum
Auch Praktika gehen irgendwann zu Ende und die große Mehrzahl der Studenten wird Sie vermutlich früher oder später verlassen. Stellen Sie deshalb sicher, dass Praktikanten jeglichen Zugriff auf die internen Ressourcen der Organisation widerrufen, bevor sie das Unternehmen verlassen. Selbst ein Konto mit Zugriff ist eine potenzielle Schwachstelle zu viel.
Schulen Sie Praktikanten
Als Faustregel empfehlen wir, alle Mitarbeiter in den Grundlagen der Cybersicherheit zu schulen. Praktikanten werden jedoch selten in solche Schulungen einbezogen. Das ist ein Fehler. Die Schulung von Praktikanten trägt dazu bei, Risiken für Ihre eigene Cybersicherheit zu mindern, während Sie ihnen gleichzeitig eine wichtige Lektion mit auf den Lebensweg geben.
Dabei ist es nicht einmal notwendig, erhebliche Ressourcen in diese Schulung zu investieren. Es gibt eine ganze Reihe von Open-Source-Onlinematerialien, die sich mit den Grundlagen der Cybersicherheit befassen und die Sie mit Ihren Praktikanten teilen können. Um Organisationen dabei zu helfen, ihre Mitarbeiter widerstandsfähiger gegen Cyberangriffe zu machen, haben wir kürzlich einen kostenlosen Online-Kurs zur Nutzung sozialer Netzwerke und zur Vermeidung von Social Engineering veröffentlicht, der Teil unserer Kaspersky Automated Security Awareness Platform (ASAP) ist.