Sicherheitsbewusstsein: So steigern Ihre Mitarbeiter das Risiko von Cyberangriffen

Unternehmen erfassen und speichern riesige Mengen an Daten. Von Rechnungen über Kreditkartendaten von Kunden – viele Unternehmensbereiche kommen ohne private Kundendaten nicht mehr aus.

Um als Unternehmen erfolgreich zu sein, müssen Sie Ihren Mitarbeitern diese Daten anvertrauen. Aber manchmal machen Mitarbeiter ohne jede böse Absicht Fehler, durch die Ihr Unternehmen anfällig für Cyberangriffe ist.

Wir haben kürzlich eine Studie hierzu durchgeführt, um herauszufinden, wie viele Unternehmen sich um Angriffe sorgen, die durch achtlose Mitarbeiter verursacht werden. Über die Hälfte der befragten Unternehmen glaubt, dass fehlendes Wissen, Unachtsamkeit oder sogar Vorsatz ihrer Mitarbeiter zu Cyberangriffen führen kann. Laut ComputerWeekly.com führen 84 Prozent der Opfer von Cyberangriffen den Angriff – zumindest teilweise – auf menschliche Fehler zurück. Welche Fehler können also Cyberangriffe auf Ihr Unternehmen verursachen? Im Folgenden finden Sie eine Liste der sieben häufigsten Mitarbeiterfehler und erfahren, wie Sie sie verhindern können.

1. E-Mails von unbekannten Personen

E-Mails sind in der heutigen Geschäftswelt die bevorzugte Kommunikationsart. Laut Radicati Group empfangen Mitarbeiter täglich durchschnittlich 235 E-Mails. Bei dieser Menge ist anzunehmen, dass einige davon von Cyberkriminellen stammen. E-Mails von unbekannten Personen – oder sogar den Anhang innerhalb der E-Mail – zu öffnen, kann zu einer Virusinfektion führen, über die sich Hacker Zugang zu Ihrer digitalen Unternehmensumgebung verschaffen können.

Lösungen:

• Weisen Sie Mitarbeiter an, keine E-Mails von Personen zu öffnen, die sie nicht kennen.
• Halten Sie Mitarbeiter an, keine unbekannten Anhänge oder Links zu öffnen.

2. Schwache Passwörter

Mashable gibt an, dass 81 Prozent der Erwachsenen für all ihre Konten dasselbe Passwort verwenden. Solche repetitiven Passwörter, die im schlimmsten Fall persönliche Informationen wie Spitznamen oder Adressen enthalten, sind ein echtes Problem. Cyberkriminelle nutzen Programme, die öffentliche Profile nach potenziellen Passwortkombinationen durchsuchen und alle Möglichkeiten ausprobieren, bis eine funktioniert. Darüber hinaus gibt es sogenannte Wörterbuchangriffe, bei denen automatisch verschiedene Wörter getestet werden, bis eine Übereinstimmung gefunden wird.

Lösungen:

• Erzwingen Sie die Verwendung eindeutiger Passwörter.
• Fügen Sie Passwörtern Ziffern und Sonderzeichen hinzu, um die Sicherheit zu steigern. Ändern Sie beispielsweise „Seattle“ zu „S3att!e“.
• Erstellen Sie Passwortregeln, damit Mitarbeiter eindeutige und komplexe Passwörter mit mindestens 12 Zeichen erstellen, und halten Sie sie an, ihr Passwort sofort zu ändern, wenn sie glauben, infiziert worden zu sein.
• Um all das ohne großen Aufwand umzusetzen, können Sie auf einen Passwort-Manager zurückgreifen, der automatisch starke und eindeutige Passwörter für die verschiedenen Programme, Webseiten und Geräte generiert.

3. Passwörter auf Notizzetteln

Haben Sie auf Ihrem Weg durchs Büro schon einmal einen Notizzettel am Bildschirm bemerkt, auf denen klar und deutlich das Passwort des entsprechenden Mitarbeiters zu lesen war? Das kommt öfter vor, als Sie vielleicht glauben. Zwar herrscht innerhalb des Unternehmens meist ein gewisses Maß an Vertrauen, aber Passwörter auf Notizzetteln gehen hier einen Schritt zu weit.

Lösungen:

• Wenn sich Mitarbeiter ihre Passwörter notieren müssen, sollten sie diese in abgeschlossenen Ablagen aufbewahren.

4. Universeller Zugriff

In manchen Fällen unterteilen Unternehmen ihre Daten nicht. Das bedeutet, dass jeder – vom Praktikanten bis zum Vorstandsmitglied – auf dieselben Unternehmensdateien zugreifen kann. Mit jedem Mitarbeiter, der über ein solches Maß an Zugriff verfügt, steigt das Risiko, dass Daten offengelegt oder falsch gehandhabt werden.

Lösungen:

• Richten Sie verschiedene Zugriffsstufen ein und teilen Sie Mitarbeitern nur die Berechtigungen zu, die sie für ihre jeweilige Stufe benötigen.
• Beschränken Sie die Anzahl der Personen, die Systemkonfigurationen ändern können.
• Weisen Sie Mitarbeitern auf ihren Geräten keine Administratorrolle zu, sofern dies nicht zwingend für die Einrichtung erforderlich ist. Und selbst Mitarbeiter mit Administratorrechten sollten diese nur wenn nötig einsetzen – und nicht standardmäßig.
• Implementieren Sie bei Zahlungen in bestimmter Höhe doppelte Bestätigungen, um CEO-Betrugsmaschen zu verhindern.

5. Fehlende Mitarbeiterschulungen

Studien zeigen, dass der Großteil der Unternehmen mittlerweile Schulungen im Bereich Cybersicherheit anbietet. Jedoch glauben nur 25 Prozent der Führungskräfte, dass diese Schulungen auch effektiv sind.

Lösungen:

• Stellen Sie jährliche Cybersicherheitsschulungen bereit. Diese sollten folgende Themen abdecken:
• Gründe für die Cybersicherheitsschulung
• Phishing und Onlinebetrug
• Crypto-Malware
• Passwortverwaltung
• Verwaltung mobiler Geräte
• Relevante Situationsbeispiele

6. Fehlende Updates der Antiviren-Software

Ihr Unternehmen sollte dringend eine Antiviren-Software implementieren, um sich vor Angriffen zu schützen. Hierbei sollten Sie es jedoch nicht Ihren Mitarbeitern überlassen, die Software regelmäßig zu aktualisieren. In manchen Unternehmen werden Mitarbeiter aufgefordert, Updates durchzuführen, und können selbst entscheiden, ob und wann sie die Installation durchführen. Mitarbeiter lehnen solche Updates jedoch in der Regel ab, wenn sie gerade mitten in einem Projekt stecken, da sie für das Update Programme schließen oder sogar den Computer neu starten müssen.

Updates von Antivirenlösungen sind essenziell und sollten deshalb ohne Zutun der Mitarbeiter sofort nach Veröffentlichung installiert werden.

Lösungen:

• Legen Sie fest, dass Updates automatisch außerhalb der Geschäftszeiten installiert werden.
• Bieten Sie Mitarbeitern – unabhängig von ihrer Position – keine Möglichkeit, diese Richtlinie zu umgehen.

7. Unsichere Mobilgeräte

Verwenden Ihre Mitarbeiter Smartphones, Tablets oder Laptops? Und wenn ja, verfügen Sie über entsprechende Protokolle, um diese Geräte zu schützen? Viele Unternehmen gehen eher sorglos mit Mobilgeräten um, obwohl diese für Cyberkriminelle ein einfaches Ziel darstellen.

Lösungen:

• Jedes Gerät muss passwortgeschützt sein.
• Legen Sie Ansprechpartner fest, bei denen Mitarbeiter den Diebstahl oder Verlust ihrer Geräte melden können, und bieten Sie ihnen die Möglichkeit, Geräte remote zu deaktivieren.
• Setzen Sie Endpoint-Sicherheitslösungen ein, um mobile Geräte remote zu verwalten.
• Führen Sie keine vertraulichen Transaktionen über ungeschützte öffentliche WLANs durch.

Mitarbeiter sind Menschen und digitale Unfälle passieren immer wieder. Durch den Schutz der Geräte Ihrer Mitarbeiter und Schulungen für die Mitarbeiter selbst, können Sie jedoch das Risiko von Cyberbedrohungen minimieren.

Doch natürlich geht die Gewährleistung der Cybersicherheit in Ihrem Unternehmen über bloße Mitarbeiterschulungen hinaus. Für den Schutz Ihrer digitalen Unternehmensumgebung vor Cyberbedrohungen empfiehlt sich die Zusammenarbeit mit einem bewährten Sicherheitspartner.

Verwandte Artikel und Links:

• So vermeiden Sie Sicherheitsrisiken öffentlicher WLANs
• Sicherheit öffentlicher WLANs
• Prävention von Cyberkriminalität
• Auswählen einer Antiviren-Lösung

Produkte und Services:

• Kaspersky Enterprise Security Training
• Kaspersky Enterprise Professional Services
• Kaspersky Enterprise Security Assessment