Üben für den Ernstfall

Wer beim Thema Informationssicherheit an Virenscanner und Firewalls denkt, greift zu kurz. Denn ein großer Teil der erfolg­reichen Cyberangriffe nutzt den Faktor Mensch als Einfallstor ins fremde System. Die Schulung der Beschäftigten im Betrieb sollte daher in keinem Sicherheitskonzept fehlen.

Von Dr. Merle Hattenhauer, Referentin „Cyber-Sicherheit für die Wirtschaft“, Bundesamt für Sicherheit in der Informationstechnik 15.01.2019

© Stock Adobe / Adam121

Jeder sechste Arbeitnehmer würde auf eine gefälschte E-Mail von der Unternehmensleitung antworten und vertrauliche Informationen über den Betrieb preisgeben. Das hat eine im Juni 2018 durchgeführte Befragung des Bundesamtes für Sicherheit in der Informationstechnik (BSI) ergeben. Über diese und ähnliche Maschen – das sogenannte „Social Engineering“ – können Cyberkriminelle wichtige Informationen sammeln, um ihre Angriffe vorzubereiten, oder ihre Opfer direkt dazu bringen, Passwörter zu verraten, Überweisungen zu tätigen oder mit einem einzigen falschen Klick schädliche Programme zu installieren, die im schlimmsten Fall das gesamte Unternehmensnetzwerk lahmlegen.


Serie Cybersicherheit
Management von Cyberrisiken
Technische Schutzmaßnahmen
>> Sensibilisierung der Beschäftigten
IT-Grundschutz für KMU
Praxisbericht


Um den Risiken durch Social Engineering und ähnliche Methoden wirksam vorzubeugen, sollten alle im Betrieb darüber im Bilde sein, wo im Arbeitsalltag Cybergefahren lauern, wie man sie erkennt und wie im Ernstfall zu reagieren ist. Dazu empfehlen sich regelmäßige Schulungen, die konkrete Verhaltensregeln für die wichtigsten Gefährdungen vermitteln. Auf der Agenda nicht fehlen dürfen Themen wie das Erkennen betrügerischer E-Mails und schädlicher Links, der sichere Umgang mit Zugangsdaten, aber auch das verantwortungsvolle Verhalten in sozialen Netzwerken, über die beispielsweise betriebliche Informationen niemals geteilt werden sollten.

Ganz wichtig dabei: Bestärken Sie die Beschäftigten darin, beim Umgang mit Informationstechnologie ihren gesunden Menschenverstand einzusetzen. Wenn das Bauchgefühl bei einer fremden E-Mail oder einem unbekannten Anruf Unbehagen signalisiert, sollte dies unbedingt ernst genommen werden.

Notfallplan erarbeiten
Wer darf entscheiden, ob alle Computer heruntergefahren werden oder der Webshop offline geht? Wer ist im Notfall außerhalb der Bürozeiten erreichbar, auch ohne funktionierendes Netzwerk? Und wer ist eigentlich befugt, Entscheidungen zu treffen? Ist der Angriffsfall erst einmal eingetreten, ist es zu spät, diese Fragen zu stellen.

Daher sollte zusätzlich zu bereits genannten Schulungsmaßnahmen regelmäßig der Ernstfall durchgespielt werden. Nur so können Sie sicherstellen, dass die Notfallplanung immer aktuell ist, die Abläufe stimmen und die Beschäftigten so mit der Planung vertraut sind, dass sie diese besonnen und ohne in Panik zu verfallen umsetzen können.


Zur Sensibilisierung von Beschäftigten stellt die Allianz für Cyber-Sicherheit unter anderem eine Reihe von kostenfreien Grafikvorlagen zur Verfügung, die im Betrieb verteilt werden können. Die Unterlagen finden Sie hier zum Download.
Hier können Sie Ihr Unternehmen kostenfrei registrieren.

Schlagworte: Allianz für Cybersicherheit, BSI, Cyberkriminalität, Cybersicherheit, IT, Serie, Cyberrisiken

Kommentare

Ihr Kommentar