Basiswissen für Mitarbeiter

Die wichtigsten Grundregeln für die Informationssicherheit lassen sich in sechs Punkten zusammenfassen:

1. Datenschutz und Verschlüsselung
Durch das Verschlüsseln vertraulicher Daten wird der unbefugte Zugriff auf diese Daten nahezu unmöglich gemacht. Dafür wird eine Nachricht so verändert, dass sie für das unbefugte Auge nicht mehr lesbar ist. Nur mit dem entsprechenden Schlüssel ist es möglich, den Code zu entschlüsseln.

2. Sichere Passwörter und Passwortdiebstahl
Firmen-PCs und E-Mail-Konten der Mitarbeiter sollten durch starke Passwörter gesichert werden. Es gibt eine Vielzahl von Möglichkeiten für einen Angreifer, Passwörter auszuspionieren. Oftmals bietet das Passwort selber eine große Angriffsfläche – so besteht in vielen Fällen eine direkte Verbindung zwischen Passwort und Nutzer (z.B. Name der Kinder, des Partners oder des Haustieres).

3. E-Mail Sicherheit – Signatur und Verschlüsselung
Eine unverschlüsselte E-Mail ist genauso offen und einsehbar wie eine Postkarte. Eine E-Mail kann kopiert, manipuliert und an eine falsche Adresse oder von einem falschen Absender geschickt werden. Um Authentizität und Integrität einer Mail zu gewährleisten, empfehlen sich digitale Signaturen und Verschlüsselungen.

4.  Virenschutz und –prüfung
Weltweit verursachen Schadprogramme wie z.B. Viren, Trojaner und Würmer Schäden in Milliardenhöhe. Davon entfallen alleine auf Deutschland dreistellige Millionensummen – Tendenz steigend. Ein professioneller Virenschutz und regelmäßige, möglichst automatische Prüfungen auf Viren sind unverzichtbar.

5. Social Engineering / soziale Manipulation
Social-Engineering-Angriffe nutzen menschlichen Schwächen der Mitarbeiter aus und zielen meistens auf vertrauliche (Zugangs-)Daten ab. Insbesondere das Telefon ist ein beliebtes Mittel für einen Social-Engineering-Angriff. Schnell können die Angreifer so durch Beeinflussung und Aushorchen an vertrauliche Informationen gelangen. Diese Art von Angriffen sind – sofern es entsprechende Richtlinien, Verhaltensregeln und festgesetzte Zuständigkeiten gibt – relativ einfach zu verhindern.

6. Sicherer Umgang mit Mobilgeräten und Datenträgern
Der Verlust von Notebooks, Tablets, Smartphones und anderen mobilen Geräten und Datenträgern kann erhebliche Gefahren mit sich bringen. Daher müssen Mitarbeiter immer besonders gut auf mobile Geräte und Datenträger achten. Idealerweise sorgen Unternehmen auch für technische Vorkehrungen, etwa die Möglichkeit, Geräte aus der Ferne zu sperren und Konten zu deaktivieren.
 

Für eine optimale Informationssicherheit im Unternehmen müssen Mitarbeiterschulungen Teil einer umfassenden Sicherheitskultur sein. Dabei gelten zwei wichtige Grundprinzipien: Die Unternehmensleitung lebt Sicherheit vor ("Sicherheit ist Chefsache") und alle Sicherheitsmaßnahmen, insbesondere die Weiterbildungen, sind organisatorisch strukturiert. Nach Möglichkeit ist ein interner Sicherheitsbeauftragter oder ein externer Dienstleister mit der Umsetzung von Sicherheits- und Schulungsmaßnahmen betraut.

Kampagnen erhöhen die Sicherheit

„Security Awareness-Kampagnen“ sind ein wichtiges Hilfsmittel. Neben der Vorbildfunktion der Chefetage steht dabei die Identifikation der Mitarbeiter mit der Kampagne und deren Zielen ("Sicherheit ist emotional") im Mittelpunkt. Ein Sicherheitsbeauftragter oder ein entsprechender Dienstleister ist integriert. Die Kampagne darf jedoch nicht überfordern. Technische Details sollten auf ein Minimum beschränkt sein.

Für eine optimale Wirkung sollte die Kampagne in einem bestimmten Zeitraum mehrmals wiederholt werden, beispielsweise sechs Mal in zwei Jahren, und jeweils wechselnde Schwerpunkte aufgreifen.

 
Drucken

Ansprechpartner

Referat Mittelstand
Sascha Wilms

Albrechtstraße 10 b
10117 Berlin

Tel.         030 - 27576330
Fax.        030 - 2757651310
s.wilms@sicher-im-netz.de

Ratgeber und Tools

DsiN-Sicherheitscheck:
Den Stand der Informationssicherheit ermitteln

Expertenartikel im DsiN-Blog:
Mitarbeiter und Datenschutz

DsiN-Muster-Passwortkarte:
Für eine regelkonforme Passwortbildung

Weiterführende Links

DsiN-Leitfäden:
Sicherer Umgang mit IT (PDF)
Verhaltensregeln zur Informationssicherheit (PDF)
Sicheres Arbeiten von unterwegs (PDF)

Bundesamt für Sicherheit in der Informationstechnik (BSI):
BSI für Bürger
BürgerCERT