Ein Leitfaden zu Informationssicherheit ist in der Regel sehr nützlich, um den „Fehlerfaktor Mensch“ zu minimieren. Einen eigenen Leitfaden zu schreiben ist allerdings gar nicht so einfach. Das hat uns dazu motiviert, einen grundlegenden Leitfaden zu erstellen, den Sie als Vorlage verwenden und dann die unternehmensspezifischen Details bezüglich relevanter Regeln und gesetzlichen Bestimmungen hinzufügen können. Wir betrachten diesen Leitfaden als einen Standard – er enthält alle wichtigen Punkte und muss nur noch an die individuellen Anforderungen des Unternehmens oder der Organisation angepasst werden. Sobald Sie den Leitfaden optimal personalisiert haben, archivieren Sie ihn nicht: Bitten Sie stattdessen alle neuen Mitarbeiter ihn durchzulesen und machen Sie auch langjährige Mitarbeiter darauf aufmerksam.
Zugriff auf Unternehmenssysteme und Dienste
- Verwenden Sie für alle Konten starke Passwörter: Das Kennzeichen sollte 12-stellig sein, Sonderzeichen, Zahlen sowie Groß- und Kleinbuchstaben enthalten. Vermeiden Sie außerdem Wörter zu benutzen, die im Wörterbuch stehen. Das Knacken von einfachen Passwörtern ist für Angreifer ein Kinderspiel.
- Erstellen Sie für jedes Konto ein einmaliges Passwort. Wenn Sie Passwörter wiederverwenden, könnten bei einem Datenleck eines bestimmten Onlinedienstes auch alle anderen Konten kompromittiert werden, auf die mit dem geleakten Passwort zugegriffen wird.
- Passwörter müssen ausnahmslos geheim gehalten Kennwörter sollten weder aufgeschrieben, in Dateien gespeichert noch mit Kollegen geteilt werden. Jemand der im Büro vorbeikommt oder ein entlassener Kollege könnte sich Ihr Passwort zunutze machen, um dem Unternehmen Schaden zuzufügen. Und das ist nur ein Beispiel der unzähligen Möglichkeiten.
- Aktivieren Sie die Zwei-Faktor-Authentifizierung (2FA) bei jedem Service, der diese Funktion unterstützt. Sollte ein Passwort geleaked werden, wäre es mit der 2FA trotzdem unmöglich auf das Konto zuzugreifen.
Schutz personenbezogener Daten
- Schreddern Sie alle Dokumente, anstatt sie einfach in den Mülleimer zu werfen. Personenbezogene Daten im Abfall können die Aufmerksamkeit der Aufsichtsbehörden auf sich ziehen und saftige Strafen zur Folge haben.
- Verwenden Sie ausschließlich sichere Kanäle für den Austausch von Informationen, die personenbezogene Daten enthalten: Beispielsweise sollten in Google Doc erstellte Dokumente nur mit Kollegen geteilt werden und nicht über die Option „Link zum Freigeben abrufen“. Google indexiert Dokumente, die für alle freigegeben sind, d. h. diese Dokumente können in Suchanfragen angezeigt werden.
- Teilen Sie personenbezogene Daten mit Ihren Kollegen nur, wenn es auch wirklich notwendig ist. Abgesehen davon, dass Sie sich so einigen Ärger mit den Aufsichtsbehörden sparen können, wird dadurch auch das Risiko von Datenlecks reduziert.
Gängige Cyberbedrohungen
- Überprüfen Sie Links in E-Mails sorgfältig, bevor Sie draufklicken und denken Sie daran, dass selbst ein vertrauenswürdiger Absendername längst kein Garant für die Authentizität der Mail ist. Zu den vielen Tricks, die Cyberverbrecher verwenden, um Personen dazu zu verleiten auf Phishing-Links zu klicken, zählen individuell angepasste Nachrichten und es werden teilweise sogar gehackte Konten von Kollegen verwendet.
- Spezieller Hinweis für Finanzmanager: Überweisen Sie nie Geld auf unbekannte Konten, bzw. auf Kontonummern, die Sie einer E-Mail oder einer Direktnachricht entnehmen. Kontaktieren Sie stattdessen sicherheitshalber die Person, die die Zahlung angeblich autorisiert hat.
- Lassen Sie die Finger von unbekannten Flashspeichern, wie z. B. USB-Sticks oder MicroSD-Karten: Verbinden Sie diese externen Datenspeicher auf keinen Fall mit Ihrem Computer. Angriffe über infizierte Flashspeicher kommen nicht nur in Science-Fiction-Filmen vor – diese schädlichen Speichermedien können absichtlich von Cyberkriminellen in öffentlichen Bereichen oder Büros hinterlassen werden.
- Bevor Sie eine Datei öffnen, versichern Sie sich zuerst, dass es sich nicht um eine ausführbare Datei handelt (Angreifer tarnen schädliche Dateien oft als Office-Dokumente). Ausführbare Dateien von nicht vertrauenswürdigen Quellen sollten nicht geöffnet werden.
Kontaktperson für den Notfall
- Lassen Sie alle Mitarbeiter wissen, wer im Fall eines Cybernotfalls, wie beispielsweise eine verdächtige E-Mail, seltsames Computerverhalten, einer Nachricht zu einem Ransomware-Angriff usw. benachrichtigt werden soll und vergessen Sie nicht die Telefonnummer und andere Kontaktdaten anzugeben. Als Kontaktperson für Cybernotfälle eignet sich beispielsweise ein IT-Sicherheitsbeauftragter, ein System-Administrator und auch der Geschäftsführer.
Das waren die grundlegenden Punkte – die Informationen, die alle im Unternehmen oder in der Organisation kennen und beachten sollten. Für umfassendere Sicherheitsbewusstsein rund um moderne Cyberbedrohungen empfehlen wir spezielle Schulungen durchzuführen.