IT-Sicherheit muss bis zum Strand gewährt sein (Symbolbild: Thinstock)

Die langen Sommerferien werden von den meisten Mitarbeitenden ungeduldig erwartet. Für die IT-Sicherheitsverantwortliche allerdings sind sie eine anstrengende Zeit, müssen sie sich doch ständig in Bereitschaft halten. Und kommt es zu einer Cyberattacke oder zu einem Betrugsfall, so sind die Ferien ruiniert.

Gastbeitrag von Roman Stefanov, Cyber Security Sales Leader bei Cisco Schweiz.

Für viele Arbeitnehmerinnen und Arbeitnehmer ist es heute ganz normal, auch unterwegs zu arbeiten und ihre Geräte mit ins Ausland zu nehmen. Viele spielen sich sogar mit dem Gedanken, ein paar Tage länger im Hotel oder Ferienhaus zu bleiben und von dort aus zu arbeiten. Nicht alle Mitarbeitenden kennen jedoch die aktuellsten Sicherheitsrichtlinien. Das wissen auch Kriminelle: Sie versuchen in der Ferienzeit die durch Abwesenheiten reduzierten Arbeitskräfte anzugreifen oder hacken sich in die Computer der Ferienreisenden ein. Häufig monieren IT-Verantwortliche auch, dass es in ihrer Organisation an klaren Regeln und Strategien für die Cybersicherheit mangelt. Der Aufbau einer völlig neuen Strategie erfordert viel Zeit. Um trotzdem möglichst schnell eine ruhige Auszeit zu haben, gibt es eine Reihe von Dingen, die man tun kann, um das Bewusstsein für Sicherheitsrisiken auch kurzfristig zu erhöhen. Nachfolgend die fünf wichtigsten.

1. Mitarbeitende sensibilisieren:
Die überwiegende Mehrheit der heutigen digitalen Betrugs- und Cyberangriffe zielt nicht direkt auf die physische Infrastruktur ab, sondern auf Menschen, durch verschiedene Formen von Social-Engineering-Angriffen.
Eine beliebte Masche ist, Mitarbeitende dazu zu verleiten, Links zu öffnen, die auf Webseiten mit schädlichem Code verweisen. Die Angriffe zielen oft auf eine bestimmte Person ab, wobei der Angreifer gründliche Nachforschungen anstellt, zum Beispiel in sozialen Medien, um das "richtige" Ziel zu finden. Deshalb müssen alle Mitarbeitenden auf das Unerwartete vorbereitet sein und wissen, wie man reagiert – zum Beispiel, wenn an einem heissen Sommernachmittag kurz vor Ende des Arbeitstages eine unerwartete, aber dringende Zahlungsangelegenheit auftaucht.

2. Positive Botschaften:
Die Bereitstellung von Informationen über Sicherheitsrichtlinien ist eine Sache - die Umsetzung ist eine andere. Zwei Dinge sind hier wichtig: Positive Motivation funktioniert besser als negative. Die Mitarbeitenden sind nicht potenzielle Opfer und Ziele, sondern die erste und wichtigste Verteidigungslinie gegen Angriffe. Zweitens sollte es für sie einfach sein, das Richtige zu tun, denn es ist weit verbreitet, dass Mitarbeiter Sicherheitsanweisungen umgehen, weil sie zu umständlich sind. Relativ einfache Lösungen, wie die Passwortverwaltung über Single Sign-On (SSO) können die Komplexität reduzieren und Schwachstellen verhindern. Diese Philosophie erleichtert es den Mitarbeitenden auch, rückzumelden was für sie funktioniert und was nicht. Das wiederum trägt dazu bei, das Sicherheitsbewusstsein zu verbessern.

3. Sicherheitsmassnahmen überprüfen:
Wir leben in einer unsicheren Welt und die meisten Experten erwarten, dass es zu immer mehr organisierten Cyberangriffen kommen wird - sowohl gegen Unternehmen als auch gegen öffentliche Institutionen. Deshalb ist jetzt vor den Sommerferien ein guter Zeitpunkt, um eine Bestandsaufnahme zu machen und die bestehende Sicherheitsrichtlinen zu überprüfen. Funktionieren Backup- und Recovery-Lösungen? Wann wurden sie zuletzt getestet? Ist die Software auf dem neuesten Stand? Sind E-Mails und Kundendaten genügend geschützt, um Identitätsdiebstahl zu vermeiden?

4. Sicherer Wifi-Zugang:
Die Pandemie hat die anhaltende Verlagerung hin zu hybridem Arbeiten beschleunigt, und immer mehr Menschen werden die Möglichkeiten nutzen, in der Ferienzeit aus der Ferne zu arbeiten. Die grösste Herausforderung für die Cybersicherheit besteht darin, robuste Abwehrmassnahmen zu haben, die sich vom Büro nicht nur bis zum Zuhause, sondern auch bis ins Hotelzimmer oder an den Strand verlängern. Eine wirksame Verteidigung erfordert aber auch, dass die Mitarbeitenden gut ausgerüstet sind. Eine gängige Art von Angriff ist die Einrichtung eines gefälschten Wifi-Zugangspunkts, um Zugriff auf den Inhalt eines Geräts zu erhalten. Ein sicherer VPN-Zugriff bietet hier bereits guten Schutz.

5. Passwörter sicher aufbewahren:
Es geschieht öfters als man denkt: Das Passwort wird auf einer Notiz in der Nähe des Computers aufbewahrt, nicht nur im Hotelzimmer, sondern auch auf der Liege am Strand. Deshalb ist der Umgang mit Passwörtern einer der wichtigsten Punkte, der thematisiert werden muss. Hier helfen Tools wie etwa Passwort-Manager, die sensible Informationen sicher speichern. Multi-Faktor Authentifizierung bietet zusätzlichen Schutz.