Nachrichten, Gerüchte, Meldungen und Berichte aus der IT-Szene

Redaktion: Heinz Schmitz


Mitarbeiter können zur IT-Sicherheit beitragen

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) unterstützt im Oktober den European Cyber Security Month (ECSM) in Deutschland. Erstes von vier Themen des ECSM ist "Cyber-Sicherheit für Arbeitnehmer – wie verhalte ich mich am Arbeitsplatz". Das BSI ruft Unternehmen und ihre Mitarbeiter dazu auf, die eigene IT-Sicherheit zu hinterfragen und bei Bedarf zu verbessern. Digitale Sorglosigkeit im Umgang mit Smartphones oder Unternehmens-IT, das unachtsame Handeln eines Mitarbeiters oder die teils unbewusste Preisgabe von Unternehmensinformationen, beispielsweise in Sozialen Netzwerken, können für Kriminelle Ansatzpunkte für Datendiebstahl oder Industriespionage sein. Unternehmensverantwortliche, aber auch der einzelne Mitarbeiter können dazu beitragen, diese Risiken zu minimieren.

 

Kriminelle nutzen häufig persönliche Informationen, die sie in Sozialen Netzwerken über bestimmte Personen finden, um sich über diese Personen Zugang zu deren Unternehmensnetz zu verschaffen. Arbeitnehmer werden dabei beispielsweise über eine E-Mail mit persönlicher Ansprache und glaubwürdigen Inhalten dazu verleitet, einen infizierten Anhang oder präparierten Link anzuklicken.

 

So wird schnell unabsichtlich eine Schadsoftware installiert, die möglicherweise Externen einen Zugriff auf das Unternehmensnetz gestattet. Dieses Vorgehen nennt sich Social Engineering und wird durch frei zugängliche Informationen über den jeweiligen Mitarbeiter in Sozialen Netzwerken erleichtert. Zudem birgt die gemeinsame Nutzung von Rechnern oder Netzwerken Risiken für Unternehmen, wenn die Nutzungsregelungen für kritische Daten nicht genau festgelegt sind. Auch Mobilgeräte, die sowohl privat als auch dienstlich genutzt werden (Bring Your Own Device), führen zu großen Herausforderungen für die Informationssicherheit und den Datenschutz in Unternehmen, da sich die Grenze zwischen beruflicher und privater Nutzung von IT immer mehr auflöst.

 

Nicht immer gelangen Informationen aufgrund von Unwissenheit oder unbedachtem Verhalten in die falschen Hände. Mitarbeiter können internes Wissen über Abläufe und Schwachstellen auch vorsätzlich an Dritte weitergeben. Diese Informationen sind dann die Grundlage für einen Cyber-Angriff. Motive für solches Verhalten können Ärger und Frust oder Vergeltung für eine vermeintlich schlechte Behandlung sein. Zudem können finanzielle Interessen zu einem Verkauf von Betriebsinterna führen.

 

Neben den Verantwortlichen wie CIO, CISO oder dem IT-Sicherheitsbeauftragten kann auch der einzelne Mitarbeiter zu mehr IT-Sicherheit im Unternehmen beitragen. Das BSI gibt dazu folgende

Empfehlungen:

 

- Keine Betriebsinterna in ungesicherten Umgebungen besprechen.

 

- Keine Veröffentlichungen von Informationen über den Arbeitgeber in öffentlichen Foren oder in privaten Profilen in Sozialen Netzwerken.

 

- Nur sichere Passwörter verwenden und diese regelmäßig wechseln.

 

- Keine unbedachte Nutzung von Werbegeschenken wie USB-Sticks oder CD-ROMs von Messen, Kongressen oder anderen Veranstaltungen. Diese könnten Schadsoftware enthalten.

 

- Vorsicht bei E-Mails von unbekannten Absendern: Nicht unbedacht auf Links oder Dateianhänge klicken.

 

- Bei geschäftlicher Nutzung privater Mobilgeräte sollten die Vorgaben des Arbeitgebers eingehalten werden.

 

- Schulungsangebote des Arbeitgebers zur IT-Sicherheit nutzen oder bei Bedarf beim Arbeitgeber anregen.

 

Der European Cyber Security Month (ECSM) rückt vom 1. bis 31. Oktober 2015 das Thema Cyber- Sicherheit in den Blickpunkt. Ziel ist es, Nutzer für mögliche Risiken des Internets zu sensibilisieren sowie ihnen Informationen, Hilfestellungen und Praxisbeispiele an die Hand zu geben, mit denen sie sich sicherer durch das Web bewegen können. Unter dem Motto "Ins Internet – mit Sicherheit" dokumentiert das Bundesamt für Sicherheit in der Informationstechnik (BSI) für die europäische IT-Sicherheitsbehörde European Union Agency for Network and Information Security (ENISA) Aktionen diverser Partner. Zudem führt das BSI eigene Aktivitäten durch. Zur Fokussierung einzelner Inhalte hat das BSI vier Themen definiert, die während es ECSM sukzessive verbreitet werden:

 

Siehe auch:

https://www.allianz-fuer-cybersicherheit.de/ACS/DE/_downloads/anwender/mobilesec/BSI-CS_052.html

https://www.bsi.bund.de/DE/Themen/ITGrundschutz/Ueberblickspapiere/Ueberblickspapiere_node.html

https://www.bsi-fuer-buerger.de/

https://cybersecuritymonth.eu/

Zurück