• Mitarbeitende in der IT-Sicherheit

Kritische Schutzlinie: Mitarbeitende als Instanz in der IT-Sicherheit

Wenn Unternehmen (unabhängig von Branche oder Größe) IT-intensiv arbeiten, sind die  Mitarbeitenden tragender Teil der informationstechnologischen Sicherheit. Man könnte so weit gehen und sagen, dass die Belegschaft selbst hier als bedeutende Schwachstelle gilt. In diesem Artikel sprechen wir über digitale Sicherheit in Unternehmen sowie den Risikofaktor Mensch und die Möglichkeiten, die Unternehmen zur Minimierung des Sicherheitsrisikos ergreifen können. 

IT-Sicherheit geht jeden Mitarbeiter an

Windows-, Mac- oder Linux VPN, ein hochsicherer NAS, Virenscanner, Firewalls und vieles mehr sorgen für verlässliche technische Sicherheit auf Unternehmensrechnern im Büro und im Home-Office. All diese Maßnahmen sind effektiv, etabliert und leicht zu implementieren. Ihre Verwendung ist Konsens. Trotzdem betrug der Schaden, den Unternehmen in Deutschland durch Cyber-Attacken erlitten, im Jahr 2024 zirka 178,6 Milliarden Euro. Das ist sehr viel Geld. Ein Teil dieser Schäden kann durch eine sorgfältige Informations- und Schulungskultur vermieden werden. Doch was hilft?

ClickFix- und Phishing-Attacken vorbeugen

Einem Artikel der Plattform ITPro zufolge sind insbesondere neue Angestellte ein Sicherheitsrisiko für Unternehmen. In ihren ersten Monaten der Beschäftigung im Unternehmen werden sie mit einer zu 44 % höheren Wahrscheinlichkeit Opfer von arbeitsbezogenen Phishing-Attacken als die Bestands-Belegschaft. 

Darum sind neue Angestellte ein Einfallstor für Phishing

Besonders vulnerabel sind diese vor allem in der Einarbeitungsphase, da sich zu diesem Zeitpunkt noch kein umfassendes Verständnis davon entwickelt hat, wie vertrauenswürdige E-Mails (im Kontext des neuen Arbeitsumfelds) aussehen. Als besondere Herausforderung gelten laut ITPro. Phishing-Mails, die gezielt Nachrichten der Geschäftsführung imitieren. Diese verweisen unter dem Vorwand der Dringlichkeit auf die Eingabe von Zugangsdaten oder verlangen, einem Link zu folgen. Die Mischung aus Unwissenheit und der aufgebaute Druck führen bei den Neueinstellungen zu der verstärkten Anfälligkeit, den Anweisungen Folge zu leisten.

Bei der gesamten Belegschaft: Über ClickFix-Attacken aufklären

Ein Teil der wirklich unschönen Phishing-Familie ist der sogenannte ClickFix-Angriff. Dabei werden Mitarbeitende (ebenfalls per E-Mail) zu einer Website geführt, die beispielsweise einen Captcha enthält. Nach dem Klick auf Ich bin kein Roboter, installiert die Website einen Code in die Zwischenablage des Gerätes. Anschließend wird dem Anwender eine falsche Sicherheitswarnung gezeigt und die Aufforderung zur Ausführung eines Win+R-Befehls gegeben, um diese zu beheben. Mit der Eingabe des Befehls installiert die Schad-Website dann eine Spyware, die Zugangsdaten ausliest und das Gerät für weitere Angriffe durchlässig macht. 

Darum sind alle Mitarbeitenden anfällig für ClickFix

Das oben geschilderte Verfahren mag umständlich klingen, ist jedoch bekannt dafür, erfolgreich Unternehmens-IT zu infiltrieren. Aufgrund der augenscheinlichen Glaubwürdigkeit und der Einfachheit aller dabei angezeigten Oberflächen wird diese Methode nicht nur von rein kriminellen Organisationen angewandt, sondern auch von Staaten, die Institutionen und andere Staaten ausspionieren wollen. 

Gegen Phishing und ClickFix: Nur Sensibilisierung hilft

Eine absolut sichere Anwendung, die Phishing-Mails identifiziert, die durch den Spamfilter eines E-Mail-Providers gerutscht sind, gibt es bislang nicht. Aus diesem Grund ist die effektivste Maßnahme Prävention. Wer seine Angestellten über die Gefahr unterrichtet und dafür sensibilisiert, was als vertrauenswürdig gilt, ist einem gezielten Phishing-Angriff einen Schritt voraus. 

Das Home-Office sicher machen

Während Phishing in seinen Ausformungen vor allem durch Sensibilisierung Einhalt geboten werden kann, muss für die Arbeit im Home-Office zusätzlich eine technische Ausstattung genutzt werden, um die Sicherheit zu wahren. Selbst bei einer nur oberflächlichen Risikobewertung stellt sich schnell heraus, dass mobiles Arbeiten durch mehrere Faktoren Sicherheitslücken bietet.

Darum ist Arbeit im Home-Office ein Sicherheitsrisiko

Wer zu Hause oder von unterwegs aus arbeitet, schafft mit einem ungesicherten Heimnetzwerk, fehlendem Virenschutz und dem Verzicht auf einen VPN-Tunnel viele Zugangsmöglichkeiten für Unberechtigte. Wer zudem noch auf schwache und ungesicherte Passwörter setzt, verschlechtert die Sicherheitsbilanz weiter. Hinzu kommt, dass Mitarbeitende Hardware des Arbeitgebers unter Umständen auch für private Angelegenheiten verwenden.

Maßnahmen und Verhalten: Home-Office schützen

Aufgrund des vielschichtigen Risikos ist für IT-Sicherheit im Home-Office eine Mischung aus technischen Maßnahmen und Verhaltensregeln notwendig. 

Sicherheit im Home-Office: Die technische Umsetzung 

Die Deutsche Bundesregierung empfiehlt für den Einsatz im Home-Office die folgenden Maßnahmen, um Unternehmensdaten zu schützen. Sie gelten als Mindestmaß für sicheres mobiles Arbeiten:

  • VPN (Virtual Private Network): Sichert den Zugang zum Unternehmensnetzwerk
  • Verschlüsselung von Datenträgern: Verwehrt Unberechtigten den Zugang zu sensiblen Daten
  • Mehr-Faktor-Authentifizierung: Fügt Passwörtern eine zusätzliche Sicherheitsebene hinzu
  • Segmentierung und Absicherung von Netzen: Trennt sensible Netzwerkbereiche von anderen ab
  • Mobile Device Management: Bietet zentrale Sicherheits-Konfiguration für alle mobilen Arbeitsgeräte

Sicherheit im Home-Office: Verhaltensregeln

Wer seinen Mitarbeitenden Home-Office gewährt, sollte diese immer auch in Sicherheitsfragen unterrichten. Dabei stehen unter anderem die folgenden Themen im Fokus:

  1. Phishing-Awareness schaffen

Wie oben beschrieben, ist Phishing für neue und bestehende Mitarbeitende ein Risikofaktor. Nur das Bewusstsein darüber hilft, Angriffe zu verhindern. Teil der Aufklärung sollte sein, alle Angestellten darüber zu informieren, woran vertrauenswürdige Mails der Firma erkannt werden können. Hinweise wie, dass eine Eingabe von Zugangsdaten niemals in einer E-Mail gefordert wird, unterstützen die Beschäftigten dabei, eine gute Einschätzung der Situation selbst vorzunehmen. Sie sollten auch dafür sensibilisiert werden, dass sie auch im privaten Bereich Opfer von Phishing werden können.

  1. Netzwerke sichern

Mitarbeitende, die von zu Hause aus arbeiten und ein ungesichertes Netzwerk nutzen, laden Dritte dazu ein, mitzulesen. Aus diesem Grund müssen alle Angestellten darüber informiert werden, dass Netzwerkschlüssel immer und ohne Ausnahme notwendig sind.

  1. Passwort-Kultur etablieren

Die Verwendung schwacher Passwörter öffnet Tür und Tor für die Industriespionage und Cyberkriminelle. Zahlenfolgen wie 123456 und andere unsichere Kombinationen dürfen im Arbeitskontext kein Sicherheitsstandard sein. Aufgrund der Tatsache, dass sich komplexe Kennwörter nicht gut gemerkt werden können, kann es helfen, Mitarbeitende an die Verwendung eines Kennwortmanagers zu gewöhnen. Alternativ bietet sich die Verwaltung von Passwörtern auf einem eigenen Server an, der via VPN-Tunnel auch aus dem Home-Office ausreichenden Datenschutz liefert.

  1. Routinen einführen

Login, Logout, das Trennen von VPN-Verbindungen sowie das Herunterfahren der Endgeräte und regelmäßige Sicherheitsupdates sollten als unerlässlich kommuniziert werden. Dasselbe gilt für die sichere Verwahrung der Endgeräte bei einer Nutzung an öffentlichen Plätzen.

Diese Verhaltensweisen sollten als Sicherheitslücken kommuniziert werden

Neben allen oben aufgeführten Empfehlungen sollten zusätzlich die nachfolgenden Punkte beachtet werden. Darunter sind Verhaltensweisen vertreten, die die Sicherheit des Unternehmens-Netzwerks kompromittieren können. Sie sollten als absolute No-Gos an die Belegschaft herangetragen werden.

  1. Niemals Passwörter mehrfach verwenden

Nutzen wir ein Passwort mehrfach und wird dieses geknackt, lädt das Cyberkriminelle dazu ein, dasselbe Passwort auch für andere Zugänge zu testen. Insbesondere bei Kennwörtern, die verraten, dass eine Person Schwierigkeiten hat, sich komplexe Zeichenfolgen zu merken, legen nahe, dass dasselbe Kennwort auch woanders verwendet wird.

  1. Keine sensiblen Daten über unverschlüsselte Kanäle versenden

Zugangsdaten per privatem Messenger oder ungesicherte E-Mails zu verschicken, ist ein absolutes Tabu. Ohne Verschlüsselung können diese Daten leicht abgefangen werden.

  1. Updates ignorieren

Das klassische später erinnern wird gerne genutzt, um ein nerviges Update zu verschieben. Mitarbeitende sollten wissen, dass die Updates für die Unternehmens-Hardware ebenfalls abgerechnet werden und als Arbeitszeit gelten. Ein unterlassenes Sicherheitsupdate kann schwere Folgen haben. 

  1. Externe (fremde) Datenträger anschließen

USB-Sticks oder Festplatten mit einer unbekannten oder unsicheren Herkunft können Malware direkt ins Firmennetz schleusen. Auch auf Datenträgern von Freunden können sich Viren und andere Schad-Software befinden. 

  1. Viren-Warnungen und Login-Meldungen ignorieren

Antivirus-Popups oder Login-Hinweise dürfen nicht ignoriert werden. Sie existieren als Frühwarnung und sollten in jedem Fall ernst genommen werden. Die Kontrolle einer Login-Meldung dauert nur wenige Sekunden und kann Aufschluss darüber geben, ob Dritte sich unberechtigten Zutritt verschaffen wollen.

  1. Keine Weitergabe eigener Zugangsdaten

Wenn es um personalisierte Zugänge geht, sollte jeder Mitarbeiter ausschließlich seine eigenen verwenden. Unter Umständen kann die Verwendung fremder Login-Daten sogar eine justiziable Handlung darstellen, die arbeitsrechtliche Konsequenzen nach sich zieht. 

About the Author: Redaktion GESCHÄFTSWELT HEUTE

Related Posts

Notfallmanagement: Strategien für schnelle und sichere Entscheidungen
Sicheres Arbeiten und Strategien für mehr Schutz in der Industrie
So erlangt man wirksamen Datenschutz im Homeoffice
Nachhaltigkeit als Fundament erfolgreicher Logistik
Wie moderne Antriebstechnologien Lager und Produktion revolutionieren