Cyber/D&O

IT-Sicherheitslücken – Eine unterschätzte Gefahr?

Fragen und Antworten rund um die IT-Sicherheit

„Aufmerksames Handeln im Umgang mit IT-Geräten ist wichtig, dadurch können sich Nutzerinnen und Nutzer vor Hackerangriffen schützen“, rät IT-Experte Henning Weibezahl. Besonders Mitarbeitende, die mobil arbeiten, sollten sich mit ihrer digitalen und realen Arbeitsumgebung beschäftigen. Wir haben für Sie die fünf wichtigsten Fragen und Antworten zusammengestellt.

 

Was sollten Mitarbeitende berücksichtigen, wenn sie mit einem Firmenlaptop in den eigenen vier Wänden oder mobil arbeiten?

Grundsätzlich gilt, dass Mitarbeitende alle Regeln, die im Unternehmen gelten, auch zu Hause oder unterwegs anwenden sollten. Meistens sind diese in einer IT-Sicherheitsrichtlinie zusammengefasst. Viele Unternehmen haben in ihren Richtlinien ein eigenes Kapitel oder sogar ein separates Dokument für das Arbeiten im Homeoffice. Hier finden Mitarbeitende die allgemeinen Sicherheitsregeln und die Kommunikationskanäle, die im Homeoffice genutzt werden können. Der unbeabsichtigte Abfluss von Informationen ist eines der wichtigsten Bedrohungsszenarien. Dieser kann nicht nur digital geschehen, sondern auch durch unsachgemäße Entsorgung von Papieren, Einsichtnahme von Dritten oder durch zu laute Telefonate in der Öffentlichkeit.

 

Was ist zu beachten, wenn mit privaten Geräten gearbeitet wird?

Die Nutzung von privaten Geräten schafft ein erhöhtes Risiko. Denn die Mitarbeitenden arbeiten dann außerhalb der firmeneigenen Administration und Sicherheitsarchitektur. Zudem kann die private Eigentümerin oder der private Eigentümer alles, was sie oder er möchte, auf ihren oder seinen Geräten installieren und administrieren. Diese weitgehenden Rechte hat die Nutzerin oder der Nutzer üblicherweise bei den firmeneigenen Geräten nicht. Mit den erweiterten Rechten steigt auch das Risiko, dass die Eigentümerin oder der Eigentümer unerwünschte Programme oder sogar schadhafte Software auf ihren oder seinen Rechner installiert hat. Dies könnte ein Risiko für die Firmen-IT sein. Aber auch für diesen Fall gibt es Sicherheitsmechanismen, wie der Zugriff über gesicherte Kanäle. Eine verschlüsselte Remote-Verbindung ermöglicht einen Fernzugriff vom privaten Endgerät auf den Firmenrechner. Dabei ist allerdings zu beachten, dass die private Hardware eventuell nicht umfangreich geschützt ist und sich dadurch Gefahren auftun.

Generell rät IT-Experte Hennig Weibezahl, dass – wenn möglich – eine klare Trennung von privaten und firmeneigenen Geräten vorzuziehen ist. Bei Smartphones ist dies jedoch nicht immer möglich, da gerade während der COVID-19-Pandemie viele Mitarbeitende ihre privaten Smartphones für dienstliche Anrufe nutzen. Häufig bieten Unternehmen auch Mobiltelefone mit einem getrennten geschäftlichen Bereich an. Dieser wird dann meistens zentral verwaltet.

 

Wie schütze ich meine Geräte?

Das Passwort spielt eine entscheidende Rolle! Es sollte nicht einfach zu erraten sein und natürlich nicht auf dem viel zitierten Post-it unter der Tastatur oder am Bildschirm kleben. Je länger und komplexer das Passwort ist, desto sicherer ist es. Um nicht auf einen Klebezettel angewiesen zu sein, sind Eselsbrücken gut, um sich die Passwörter zu merken. Eine Lösung könnte sein, einen einprägsamen Satz auszuwählen und die Anfangsbuchstaben der einzelnen Wörter zu nutzen. Das „Sperren“ der Geräte, wenn diese nicht genutzt werden, ist eine gute Angewohnheit, die zu mehr Sicherheit führt. Die Geräte und Betriebssysteme bringen oft Mechanismen mit, um die Sicherheit weiter zu erhöhen. Einige Beispiele sind die Zwei-Faktor-Authentifizierung, Festplattenverschlüsselung oder automatische Bildschirmsperre bei Inaktivität. Den wichtigsten Schutz können Nutzerinnen und Nutzer selbst leisten – durch aufmerksames und sensibles Handeln!

Das gilt auch bei der Verwendung von privaten Geräten. Häufig erscheint einem zum Beispiel der schnelle Klick auf einen unbekannten Link kein besonderer Vorgang zu sein, über den man lange nachdenken müsste. Allerdings sollte sich jede oder jeder stets vor Augen führen, welche wichtigen Daten (geschäftliche Informationen, persönliche E-Mails, Bankdaten, Fotos, Unterlagen) auf den Geräten vorhanden sind. Der Verlust, ein Abfließen oder unerlaubtes Veröffentlichen könnte dann für diese Person sehr unangenehme Folgen haben.

 

Welche Einfallstore für Hacker gibt es?

Die hauptsächlichen Einfallstore von Hackern sind E-Mails mit schadhaften Anhang oder Links auf unsichere und manipulierte Internetseiten. Dabei geht es nicht unbedingt immer gleich um die Übernahme oder Verschlüsselung eines IT-Gerätes, sondern vielfach um das Sammeln von Anmeldedaten – also Benutzername und Passwort. Da viele Nutzerinnen und Nutzer für ganz unterschiedliche Zwecke immer die gleiche Benutzername- und Passwort-Kombination verwenden, reichen oft schon die Anmeldedaten für einfache Web-Portale, um an die Daten von sensibleren Diensten (zum Beispiel E-Mail-Adresse) zu kommen und im schlechtesten Fall können so ganze „digitale Identitäten“ übernommen werden.

 

Was kann jeder tun, um die Geräte zu schützen?

Wichtig ist, aufmerksam beim Umgang mit IT-Geräten und IT-Diensten zu sein. Die Nutzerinnen und Nutzer sollten sich stets die Frage stellen, ob zum Beispiel eine E-Mail tatsächlich von der gewohnten Ansprechpartnerin oder dem gewohnten Ansprechpartner kommt und ob der Inhalt auch wirklich logisch und sinnvoll ist. Gerade Krisensituationen werden häufig ausgenutzt, um an sensible Inhalte oder Zugangsdaten zu gelangen. Es sollten also keine unbekannten E-Mails geöffnet und keine Links oder Anhänge angeklickt werden. Ganz wichtig ist, wenn IT-Nutzerinnen und Nutzer etwas Falsches angeklickt haben, dass sie sofort offen und ehrlich agieren. Hier gilt: Sich möglichst schnell und lieber einmal zu viel, als einmal zu wenig, an die IT des eigenen Unternehmens zu wenden!

Diesen Beitrag teilen