Wie können Firmen sich und ihre Mitarbeiter gegen Hacks schützen?

Tipps & Best Practice | 24. JAN 2019

Schutz für Unternehmen gegen HacksNach der Veröffentlichung privater Daten von Politikern und Prominenten im Dezember 2018 ließen zum Jahresanfang die Sicherheitsempfehlungen nicht auf sich warten. Informationen zu sicheren Passwörtern können augenscheinlich nicht häufig genug gestreut werden. Auch der Hinweis darauf, dass vertrauliche E-Mails verschlüsselt werden sollten, fehlt fast nie.

Sie sind gut beraten, diese Hinweise für Ihre private Kommunikation zu beherzigen. Denn die Sicherheitstipps in den Medien sind darauf ausgerichtet, den Einzelanwender am PC oder Smartphone zu schützen. Unternehmen müssen jedoch noch andere Dinge berücksichtigen und manche Lösungen für Privatanwender sind für Unternehmen gänzlich ungeeignet.

Empfehlung für unternehmensweite Sicherheitsvorschriften

Wichtig ist ein hohes Sicherheitsbewusstsein bei allen Mitarbeitern. Dieses entsteht vor allem, wenn es in allen Hierarchieebenen und Abteilungen einer Firma gelebt wird. Bei IT-Sicherheit sollte es keine Privilegien geben.

Zusätzlich empfehlen wir Ihnen, mindestens die folgenden Regeln festzulegen und deren Kenntnisnahme von jedem Mitarbeiter als Ergänzung zum Arbeitsvertrag unterschreiben zu lassen. Die Daten kommen dann in die Personalakte. Je offizieller der Akt, desto nachhaltiger die Wirkung.

Sicherheitspolicies:

  • Passwörter, die privat genutzt werden, dürfen nicht für Firmenaccounts verwendet werden.
  • Private E-Mail-Konten dürfen nicht für die geschäftliche E-Mail-Korrespondenz genutzt werden.
  • Mitarbeiter dürfen keine privaten Cloudservices für geschäftliche Daten nutzen.
  • Außer der IT-Abteilung ist niemand autorisiert, für das Unternehmen Accounts zum Datentransfer zu erstellen.

Was das Unternehmen leisten muss

Nur wenn firmenweit Lösungen für die typischen Kommunikationsszenarien zur Verfügung stehen, lässt sich eine “Schatten-IT” verhindern. Zur Schatten-IT zählen Firmenaccounts für kostenfreie Cloud-Dienste, die von einzelnen Mitarbeitern oder Abteilungen registriert werden, um Daten einfach zu übertragen. Deren Existenz bleibt der eigenen IT-Abteilung verborgen und die Sicherheit der Firma wird kompromittiert.

Die Sicherheitslösungen zum sicheren E-Mail- und Datenaustausch müssen so ausgewählt werden, dass sie einfach nutzbar sind und nur wenig oder keinen Mehraufwand erzeugen. Dazu zählt eine zentrale E-Mail-Verschlüsselungslösung, die automatisiert ohne Nutzersteuerung im Hintergrund arbeitet, genauso wie ein sicherer Transferdienst für große Dateien, den Mitarbeiter ohne Schulung bedienen können.

Verschlüsselung als Standard

IT-Sicherheitsstrategien in Unternehmen sollten nicht darauf abzielen, einzelne sensible E‑Mails zu verschlüsseln. Jede E-Mail ist potenziell sicherheitsrelevant. Es scheint wenig bekannt zu sein, dass der gesamte unverschlüsselte E-Mail-Verkehr eines Unternehmens über Monate ausgeleitet werden kann, ohne dass die Betroffenen etwas davon merken. Auch wenn eine einzelne E-Mail nicht brisant erscheint, ist der gesamte Mailverlauf über wenige Tage oder Wochen eine dankbare Grundlage für Cyberkriminelle, um einen sehr individuellen und überzeugenden Phishing-Angriff zu entwerfen. Verschlüsselung sollte deshalb der Standard sein.