ECSM – Woche 3: Tipps für mehr Cybersicherheit in Unternehmen

Woman at desktop computer

Das dieswöchige Thema des europäischen Monats der Cybersicherheit (ECSM) ist „Recognise Cyber Scams“ (Erkennen von Internet-Scams). Viele Mitarbeiter überlassen die Verantwortung für die Online-Sicherheit am Arbeitsplatz gerne anderen – etwa dem Cybersicherheits- oder IT-Team. Um sich im Internet zu schützen, müssen jedoch alle Personen im Unternehmen ihren Teil tun.

Wie können Sie als Führungskraft sicherstellen, dass Ihre Mitarbeiter verantwortungsvoll an die Cybersicherheit herangehen? Was können Sie als Mitarbeiter jetzt tun, um sich selbst und Ihr Unternehmen zu schützen? Hier einige Vorschläge, um die Online-Sicherheit in Ihrem Unternehmen zu verbessern:

1.       Nicht dasselbe Passwort für mehrere Konten verwenden

Aus unserem Bericht Psychologie der Passwörter geht hervor, dass 59 Prozent der Benutzer dasselbe oder ein ähnliches Passwort gleich für mehrere Konten verwenden, um es nicht zu vergessen. Das Problem dabei ist, dass einem Hacker nur ein Passwort bekannt sein muss, damit er sich Zugriff auf dutzende Anwendungen im Firmennetzwerk oder eine ganze Reihe von Online-Konten verschaffen kann.

Wenn Sie Ihre Mitarbeiter zur Verwendung eines anderen, sicheren Passworts für jedes Konto auffordern, ist es viel schwieriger für Internetkriminelle, erfolgreich in Ihr Netzwerk oder Ihre Konten einzudringen. Und selbst wenn ein Hacker eines Ihrer Passwörter in Erfahrung bringt, kann er auf viel weniger Daten zugreifen als mit einem universellen Passwort, das für viele Konten gilt.

Dies betrifft nicht nur Logins für Business-Anwendungen wie OneDrive, Dropbox, Google Analytics und andere beruflich genutzte Tools, sondern auch private Konten, auf die Mitarbeiter am Arbeitsplatz zugreifen. Wenn Sie sich auf Ihrem Arbeitscomputer bei Ihrem privaten E-Mail-Konto anmelden, müssen Sie dafür sorgen, dass dieses Konto sicher ist. Andernfalls könnte es Ihr Unternehmen ebenfalls gefährden, obwohl es sich um ein privates Konto handelt.

LastPass kann starke und individuelle Passwörter für Sie generieren und im Vault speichern, damit Sie sich nicht unzählige verschiedene Passwörter merken müssen.

2.       Sichere Methoden für die Passwortweitergabe einführen

Wenn Mitarbeiter nicht über empfohlene Verfahrensweisen für die Online-Sicherheit Bescheid wissen, können sie Ihr Unternehmen gefährden. Im Gegenzug verbessern gut informierte Mitarbeiter die Sicherheit. Aus einem von Accenture veröffentlichten Bericht geht hervor, dass, wenn Unternehmen nicht von ihren IT-Experten auf Sicherheitsverletzungen aufmerksam gemacht werden, andere Mitarbeiter in 43 Prozent der Fälle Alarm schlagen.

Oft tun Mitarbeiter etwas, das harmlos zu sein scheint, aber zu Datenlecks und anderen Sicherheitsverletzungen beitragen kann. Das Weitergeben von Passwörtern über E-Mail- oder Messaging-Tools wie Slack ist ein gutes Beispiel dafür. Diese Kommunikationswege sind nicht sicher und könnten von unbefugten Dritten eingesehen werden. Damit jeder effizient arbeiten kann, teilen Mitarbeiter oft Teamkollegen, Zulieferern oder Auftragnehmern ihre Passwörter mit. Viele von ihnen wissen allerdings nicht, dass sie durch diese Verhaltensweise ihr Unternehmen gefährden.

Glücklicherweise ermöglicht ein  Passwort-Manager wie LastPass eine sichere Freigabe von Passwörtern. Wenn das Tool von allen Mitarbeitern verwendet wird, können sie Zugangsdaten über ihren sicheren Vault für Kollegen verfügbar machen. Passwörter lassen sich sogar freigeben, ohne dass die andere Person weiß, wie das Passwort tatsächlich lautet.

Sollte ein internes oder externes Sicherheitsproblem auftreten, können Benutzer mit Administratorrechten den Zugriff auf freigegebene Passwörter sofort aufheben und die Zugangsdaten bei Bedarf aktualisieren. Wenn es darum geht, eine gut funktionierende Sicherheitskultur am Arbeitsplatz zu schaffen, ist eine schnelle Reaktion entscheidend.

3.       Einen Sicherheitstest machen

Manchmal ist es notwendig, das Verhalten der Mitarbeiter zu beeinflussen und ihnen schlechte Gewohnheiten abzugewöhnen, die eine Gefahr für die Sicherheit darstellen könnten. Dazu müssen Sie in der Regel aber zuerst Schwachstellen oder Problembereiche identifizieren. Zu diesem Zweck können Unternehmen einen Sicherheitstest für ihre Mitarbeiter zusammenstellen. Sie könnten etwa eine Nachricht mit einem eigenartigen Anhang versenden, um zu sehen, wie viele Benutzer den Anhang herunterladen.

In Bezug auf die Passwortsicherheit können Sie Ihre Mitarbeiter bitten, den LastPass-Sicherheitstest zu machen. Dieser Test teilt Ihnen mit, ob es schwache oder mehrmals verwendete Passwörter gibt, woraufhin Sie mit Hilfe des Passwortgenerators sichere neue Passwörter erstellen können. Vielleicht möchten Sie sogar einen „Wettbewerb“ veranstalten, um herauszufinden, welcher Mitarbeiter beim Sicherheitstest am besten abschneidet?

4.       Sich mit anderen Unternehmen vergleichen

Diesen Monat haben wir unseren globalen Passwort-Sicherheitsreport 2018 veröffentlicht, der anhand anonymisierter Nutzungsdaten von LastPass-Kunden interessante Einblicke in die Passwortsicherheit gewährt. Passwortstatistiken einzelner Benutzer, die von ihnen besuchten Websites, die Anzahl der freigegebenen Passwörter und andere Kennzahlen werden berechnet und als numerischer Sicherheitswert ausgedrückt. Anhand der Ergebnisse dieses Reports können Sie sich mit anderen Unternehmen Ihrer Branche oder Ihrer Größe vergleichen und Verbesserungsmöglichkeiten identifizieren.

In der Studie galt ein Ergebnis von 65 bis 89 als gut und eine Bewertung von 90 bis 100 als außergewöhnlich. Unsere Analyse der von mehr als 43.000 LastPass-Firmenkunden gesammelten und anonymisierten Daten ergab, dass der durchschnittliche Sicherheitswert aller Unternehmen nur 52 beträgt; eine mittelmäßige Bewertung.

Technologieunternehmen schnitten relativ gut ab und erhielten sowohl für die Sicherheit im Allgemeinen als auch die Passwortqualität eine außergewöhnliche Bewertung. Im Hinblick auf die Passwortqualität verzeichneten kleinere Unternehmen oft bessere Ergebnisse als größere.

5.       Neue Passwortrichtlinien für Mitarbeiter einführen

Wenn Sie Richtlinien für die Passwortsicherheit festlegen, müssen Ihre Mitarbeiter den von Ihnen vorgegebenen Best Practices folgen. Richtlinien sollten so verwendet werden, dass sie dem Unternehmen Schutz bieten, ohne die Produktivität der Mitarbeiter einzuschränken.

LastPass-Administratoren haben eine Vielzahl von Richtlinien zur Auswahl – sie können etwa Mindestanforderungen an die Passwortqualität festlegen oder die Zwei-Faktor-Authentifizierung verpflichtend machen. Mit dem oben empfohlenen Sicherheitstest lassen sich Bereiche mit Verbesserungspotential identifizieren, auf die Sie mit neuen Passwortrichtlinien abzielen können. In diesem vor kurzem veröffentlichten Blogbeitrag schlagen wir Ihnen drei Richtlinien für den Anfang vor.

Sie sollten außerdem dem Prinzip der „offenen Tür“ folgen, damit sich Ihre Mitarbeiter ohne zu zögern mit Fragen an Sie wenden, wenn sie beispielsweise nicht wissen, wie sie eine neue Regel einhalten können oder warum sie erforderlich ist.

6.       Wohlmeinende Mitarbeiter ebenfalls ermutigen

Das Durchsetzen hoher Sicherheitsstandards ist eindeutig eine Notwendigkeit, die sich auf alle Mitarbeiter erstreckt. Selbst wenn Beschäftigte „voll dabei“ sind, wenn es um ihre Rolle zur Verbesserung der unternehmensweiten Cybersicherheit geht, benötigen sie vielleicht trotzdem einen kleinen Schubs in die richtige Richtung. Die oben genannten Tipps können Ihnen helfen, positive Veränderungen einzuführen.

Es ist nahezu unmöglich, eine hundertprozentige Sicherheit zu gewährleisten, und Benutzer fallen immer wieder Internet-Scams zum Opfer. Wir hoffen, dass es Ihnen mit diesen sechs Tipps gelingt, das Bewusstsein für die Cybersicherheit zu schärfen und Internet-Scams leichter zu erkennen, was wiederum Sie und Ihr Unternehmen besser vor Hackerangriffen schützt.