Thumbnail

Insider Threats: Vorbeugen ist besser als Jammern

Sarina Kraft 12/02/2019, Company News

Wenn Sie eine Zweifaktor- oder Multifaktor-Authentifizierung in Ihrem Unternehmen implementiert haben, ist schon viel gewonnen. Aber Sie wissen, dass die Mitarbeiterinnen und Mitarbeiter das schwächste Glied in der Verteidigungskette nach außen sind. Je besser ein Unternehmen mit der neuesten Technologie geschützt ist, desto sorgloser werden möglicherweise die Anwender, denn sie müssen sich ja nun keine Gedanken mehr über das Thema Sicherheit machen. Und dann könnte das Unternehmen leicht Opfer einer Phishing-Attacke werden. Jede noch so gut gesicherte Organisation kann sich Schadsoftware einfangen. Die Frage ist nur, wann wird es passieren. Hat der Angreifer mittels einer Phishing-Mail Zugriff auf einen Account erhalten, können Daten gestohlen, kompromittiert oder sogar gelöscht werden.

Als Verantwortlicher haben Sie mehrere Möglichkeiten, Ihre Mitarbeiter zu sensibilisieren, beginnend bei Security-Awareness-Schulungen bis hin zu tatsächlichen Sanktionen. Stellen Sie sich Folgendes vor: Jeder Mitarbeiter leitet eine vermeintlich oder tatsächlich verdächtige E-Mails an den IT-Support weiter. „Komische“ E-Mails werden gelöscht.  Jede eingehende E-Mail wird bearbeitet, denn „das System“ lässt ja nur unverdächtigen Content passieren. Keine Frage, dies wird Ihre IT-Abteilung mit sinnlosen Anfragen überlasten und Sicherheitsrisiken erhöhen. Deshalb: Vorbeugen ist besser als Jammern. Geben Sie Ihrem Team Hilfestellungen, um Bedrohungen erkennen zu können. Schulungen zur Informationssicherheit gehören zum absoluten Pflichtprogramm eines jeden Unternehmens.

Was können Sie gegen Phishing tun?

Wie erkennt man üblicherweise Phishing-Mails? Die Hacker werden leider immer einfallsreicher und oftmals sind deren E-Mails nicht auf den ersten Blick erkennbar. Es gibt jedoch immer noch Anzeichen, auf die Ihre Mitarbeiter achten können, beispielsweise

  • Unbekannte E-Mail Domain des Versenders
  • Deutlich erkennbare Rechtschreibfehler
  • Unpassende Sonderzeichen
  • Abweichungen vom Kontext üblicher E-Mails
  • Links zu unbekannten Domains
  • Angehängte Zip-Dateien
  • Aufforderung zur Eingabe eines Passworts

Stellen Sie eine ausführliche Liste zusammen und erklären Sie, warum diese Anzeichen auf einen Phishing-Versuch hinweisen können. Da sich die Bedrohungen ständig ändern, werden Sie nicht umhinkommen, diese Liste regelmäßig zu aktualisieren. Erstellen Sie eine spezielle Seite im Intranet, die auf häufige Fragen eingeht und Handlungsanweisungen gibt.

 

Arbeitnehmerhaftung: Schreiben Sie IT-Sicherheit groß. Auch in die Arbeitsverträge!

Ihr Unternehmen ist durch aktuelle Technologien vor Bedrohungen geschützt und Sie schulen Ihre Mitarbeiter regelmäßig und ausführlich über die möglichen Sicherheitsbedrohungen. Gehen Sie noch einen Schritt weiter und schreiben Sie das Thema Sicherheit auch vertraglich fest, beispielsweise, dass keinerlei Software ohne Rücksprache mit der IT-Abteilung des Unternehmens am Arbeitsplatz installiert werden darf, kein USB-Stick benutzt werden soll und unsichere E-Mail-Attachments niemals zu öffnen sind. Sie können im Arbeitsvertrag auch regeln, dass Passwörter stets geheim zu halten und niemals auf Anfrage per E-Mail oder Telefon mitgeteilt werden dürfen. Ein entsprechender Paragraph im Arbeitsvertrag regelt auch entsprechende Sanktionen bei Nichteinhaltung.

Jeder Arbeitnehmer muss jederzeit im Interesse des Unternehmens handeln und dazu gehören Risikovermeidung und Schadensvorbeugung. Er haftet in der Regel jedoch nur bei grober Fahrlässigkeit ­oder wenn er dem Unternehmen vorsätzlich Schaden zufügt. Ein untergeordneter Mitarbeiter handelt aber nicht fahrlässig, wenn er sich an die Arbeitsanweisungen und betrieblichen Vorschriften hält. Es obliegt also der Geschäftsleitung, den Mitarbeitern ein grundlegendes Verständnis für IT-Sicherheit zu vermitteln. Lassen Sie sich dazu am besten durch einen Fachanwalt beraten.

Und wir von SecurEnvoy beraten Sie gerne über die Zwei- und Multifaktor-Authentifizierungslösungen. Kontaktieren Sie uns jederzeit.

Related Posts