Basistipps zur IT-Sicherheit
Cyberkriminalität nimmt zu. Das beweisen die Polizeistatistiken. Für Unternehmen können Viren, Datenklau und Verschlüsselungen den Ruin bedeuten. Jedenfalls im Ansatz ist den meisten klar, was man als einzelne Person zum Schutz der Firma tun kann. Der fiktive Arbeitnehmer Herr Sorglos weiß es allerdings nicht.
Es ist kurz nach 7.30 Uhr als der Firmenwagen von Herr Sorglos auf den Parkplatz der Firma Unsicher GmbH rollt. Beim Aussteigen glitzert ein silbernes Etwas am Boden in der Morgensonne. Ein USB-Stick. Herr Sorglos hebt ihn auf und nimmt ihn mit ins Büro. Sicher hat ihn jemand verloren. Er will den Stick gleich mal in seinen Laptop stecken, anhand der Dateien findet er sicher einfach raus, wem er gehören könnte.
Stopp: Thomas Schultheiß, Technical Consultant IT-Security bei Schuster & Walther, kann davon privat und im geschäftlichen Kontext nur tunlichst davon abraten. “Auf unbekannten USB-Geräten und SD-Karten kann Schadsoftware geladen sein, mit welcher Daten aus den lokalen Systemen geklaut werden können!”, warnt der Sicherheitsexperte. Herr Sorglos hätte den USB-Stick sofort zur Prüfung an die IT-Abteilung weitergeben müssen, ohne ihn ins System einzuführen. “Grundsätzlich haben private und fremde Daten auf Firmen-PCs nichts verloren!”, so Schultheiß.
Nach diesem Schock will sich Herr Sorglos erstmal in Ruhe am Betriebssystem anmelden. Leider ist er immer so vergesslich und hat sein Passwort deshalb schön sichtbar neben seinen Desktop auf einPost-It Zettel notiert. “sorglos12345”, tippt er ein.
Stopp: “Aufgeschriebene Passwörter können auf diese Weise intern und extern einfach ausgelesen werden”, erklärt Schultheiß. Man müsse die eigene Identität gezielt schützen, als Arbeitnehmer und als Privatperson. Deshalb sei es wichtig, ein langes und komplexes Passwort zu wählen, welches mehrere Sonderzeichen beinhaltet. „Das Passwort sollte mindestens 10 bis 14 Zeichen lang sein“, erklärt der Sicherheitsexperte. Wann möglich, solle man außerdem auf eine Zwei-Faktor-Authentifizierung setzen. Auch Gesichtserkennung und Fingerabdrücke schützen die eigene Identität.
Das Postfach von Herr Sorglos quillt mal wieder über. Seit gestern sind 57 neue Mails reingekommen. Herr Sorglos weiß gar nicht, wo er zuerst anfangen soll. Er stößt auf eine Mail mit dem Betreff „dringend“ und öffnet sie. Aha. Die Kollegen aus der IT-Abteilung scheinen ein Update gemacht zu haben, er wird via Mail angewiesen, dieses zu überprüfen und soll deshalb auf einen Link klicken.
Stopp: Phising-Mails können sensible Daten aus Firmensystemen abfangen und weit darüber hinaus Schaden anrichten. Die Betrugsmails werden dabei aber immer schwerer zu erkennen. Thomas Schultheiß rät dazu, sich die Mail im Detail anzuschauen und Absender, Tippfehler, Grammatik, Ansprache und den allgemeinen Sprachgebrauch zu überprüfen. „Wenn man zum Beispiel gesieztwird, obwohl in der Firma üblicherweise geduzt wird, kann das ein Erkennungsmerkmal sein.“ Auch würden Mails der eigenen IT-Abteilung sicher nicht von fremden E-Mailadressen abgeschickt. „Ein weiteres Merkmal kann sein, dass man Rechnungen oder Verträge zugeschickt bekommt, obwohl das eigentlich gar nicht das eigene Aufgabengebiet ist.“ Im Fall der Fälle rät Schultheiß dazu, die Mail lieber mit einem Ansprechpartner der IT zu prüfen.“
Zusammenfassung:
- Keine fremden Geräte ins Firmennetzwerk einführen
- Seltsame E-Mails mit Links und Anhängen nicht öffnen, sondern löschen oder Rücksprache mit den IT-Experten halten
- Eigenmächtig keine Software-Downloads durchführen
- Keine fremden Daten ins Firmensystem einschleusen (z.B. Speicherplatte mit Urlaubsbildern)
- Sichere und lange Passwörter wählen und diese nirgends aufschreiben oder einen Passwort-Safe-Programm nutzen.
- Zwei-Faktor-Authentifizierung zur Absicherung der Benutzeranmeldung nutzen
- Sich an Datenschutzvorgaben der Firma halten