Der Schutz dienstlicher Daten vor Verlust, Missbrauch oder Diebstahl ist für jedes Unternehmen und für jede Behörde von elementarer Wichtigkeit. Doch eine Gefährdung kommt nicht nur von Außen. Einer Sensibilisierung der Beschäftigten für die IT-Sicherheit kommt daher große Bedeutung zu und muss in jedem IT Sicherheitskonzept integriert sein.
Das Problembewusstsein für IT-Sicherheit schärfen
Virenscanner, Firewalls und Co. sind wichtige Instrumente zum Schutz firmen- oder behördeneigener Daten. Aber alle technischen Maßnahmen nützen wenig, wenn die Beschäftigten aufgrund fehlender Kenntnisse kein ausreichendes Problembewusstsein im Umgang mit der Informationstechnik entwickeln. Ganz gleich, ob durch das Öffnen unbekannter E-Mail-Anhänge, das unbedachte Herunterladen von Programmen aus dem Internet oder einen sorglosen Umgang mit USB-Sticks, Smarthones und anderen mobilen Geräten: Mitarbeiter müssen wissen, dass sie mit ihrem Verhalten großen Schaden für das gesamte Firmennetzwerk anrichten können. Aus diesem Grunde ist es wichtig, Risiken aufzuzeigen und klare Regeln für den Umgang mit der Informationstechnik festzuschreiben.
Zu förderst sollte gemeinsam mit den Mitarbeitern die Schärfung des Risikoempfindens angegangen und eine Strategie für den Umgang mit IT-relevanten Vorgängen entwickelt werden. Hierzu gehört beispielsweise eine genaue Vorgabe, welche Daten welchen Sicherheitsstufen zuzuordnen sind. So wird der Benutzerkreis von Personaldaten auf wenige Beschäftigte beschränkt bleiben, wohingegen allgemeine Informationen, die auch nach Außen kommuniziert werden, keinen strengen Schutzregeln unterliegen müssen.
Bei externer Kommunikation, beispielsweise per E-Mail, sollte besonderes Augenmerk auf eine ausreichende Verschlüsselung gelegt werden. Zudem sollte sichergestellt sein, dass die Nachricht auch an den richtigen Empfänger versandt wird. Eingehende Mails zweifelhafter Absender sollten nicht gelesen, angehängte Dateien nicht geöffnet werden. Hierbei müssen die Beschäftigten darauf hingewiesen werden, dass sich kriminelle Angreifer durch das Öffnen einer einzigen sogenannten „Phishing-Mail“ unter Umständen Zugriff zum gesamten Firmennetzwerk verschaffen können.
Sicherer Umgang mit Hard- und Software
Ein ganz wichtiger Aspekt ist der Umgang mit Passwörtern. Diese sollten nicht nur eine ausreichende Länge aufweisen, sondern neben Groß- und Kleinbuchstaben auch Ziffern und vorzugsweise Sonderzeichen enthalten. Zudem sollten die Beschäftigten in regelmäßigen Abständen zur Änderung ihrer Passwörter aufgefordert werden. Dies lässt sich gut mit dem Hinweis verbinden, dass Passwörter und Zugangskennungen nicht notiert oder vermerkt werden dürfen. Ferner sollte bei einem Verlassen des Arbeitsplatzes stets das Benutzerkonto gesperrt und mobile Geräte oder Datenträger nicht unbeaufsichtigt zurückgelassen werden. In diesem Zusammenhang ist auch die Zugangskontrolle zu den Geschäftsräumen ein Thema: Unbefugten muss der Zugriff auf Serverräume, Computer und sonstige IT-Geräte verwehrt bleiben. Auch sollte weder der legendäre „falsche Handwerker“ eine Chance zum Zugriff bekommen, noch darf ein als „Fundsache“ präparierter USB-Stick, der auf dem Firmengelände hinterlassen wurde, unbedacht in einen Rechner gesteckt werden. Derartige Risiken sind vielen Mitarbeitern oft nicht bewusst und werden erst nach einer entsprechenden Thematisierung wahrgenommen. Ähnlich verhält es sich hinsichtlich des Umgangs mit privaten mobilen Endgeräten. Hier verwenden nur die wenigsten Nutzer Virenscanner und Schutzprogramme, greifen gleichwohl mit ihren Geräten aber mitunter auf dienstliche E-Mails zu. Ebenso sollte über die Verwendung privater USB-Sticks oder CD-ROMs an dienstlichen Rechnern gesprochen und Sicherheitslösungen gefunden werden.
Schulen und Informieren
Eine wichtige Hilfe den Beschäftigten all diese Themen nahe zu bringen, können Mitarbeiterschulungen durch firmeneigenes IT-Personal oder externe Dienstleister sein. Oft lassen sich in derartigen Veranstaltungen gefahrlose Versuche in einer entsprechenden Testumgebung durchführen. Durch diese anschaulichen Vorführungen lässt sich zumeist ein deutlicher Aha-Effekt erzielen, der nachhaltige Wirkung zeigt.
Zusätzlich zu regelmäßigen Schulungen bietet sich die Versendung von firmeninternen Rundmails oder Newslettern zum Thema IT-Sicherheit an. Möglichst locker geschrieben und in ansprechender Gestaltung können sie entscheidend zu einem dauerhaften Sicherheitsbewusstsein der Beschäftigten führen und zur Aufrechterhaltung einer sicheren IT-Infrastruktur beitragen.
