Wie schütze ich mich effektiv vor Man-in-the-Middle-Attacken
Die Veränderungen der Covid-19 Pandemie äussern sich branchenübergreifend und machen auch vor der Arbeitswelt keinen Halt: Während 2019 lediglich 7,7 Millionen Berufstätigte im Homeoffice arbeiteten, lag die Zahl der Mitarbeiter während der Pandemie in 2020 bereits bei 18,8 Millionen Personen. Was für Mitarbeiter mehr Flexibilität bedeutet, wirkt sich auf Unternehmensseite auf die Höhe von Schäden aus. Laut einer aktuellen IW-Studie entfällt mit rund 31 Milliarden Euro alleine ein Viertel der Schadenszunahme im Jahr 2020 auf die Arbeit im Homeoffice. Grund dafür sind mangelnde Schulungen von Mitarbeitern sowie fehlende Firmen-Computer: Mit der Folge, dass Mitarbeiter in den Fokus von Hackern geraten. Um das zu vermeiden, braucht es eine konsequente IT-Sicherheitsstrategie. Angefangen bei den Mitarbeitern, denn ihr Sicherheitsbewusstsein und Wissen ist ausschlaggebend für die Cybersicherheit im Unternehmen. Der Security-Experte Nevis gibt 10 Tipps, wie Sie das Bewusstsein Ihrer Mitarbeiter für die IT-Sicherheit optimieren können. Multi-Faktor-Authentifizierung (MFA) und Identity and Access Management (IAM) sind nur einige Massnahmen, die Hackerangriffe effizient verhindern.
Mit Beginn des ersten Lockdowns durch die Covid-19-Pandemie verschob sich die Arbeitswelt ganzer Branchen vielerorts in die privaten vier Wände: Homeoffice stand auf der Agenda und damit ein Kontrastprogramm für Unternehmen wie auch die Mitarbeiter. Der Küchentisch wurde kurzerhand zum Schreibtisch umgebaut und der private Computer für berufliche Zwecke verwendet. Denn nur in den wenigsten Fällen konnte der Arbeitgeber spontan die notwendige Infrastruktur zur Verfügung stellen.
Hacker profitierten vom Homeoffice-Boom
Genau das war ein Problem: Indem viele Unternehmen in der Pandemie ihre Mitarbeiter verstärkt ins Homeoffice geschickt haben, ist die Anzahl der Hackerangriffe gestiegen. Ausschlaggebend war die höhere Anzahl der Angriffspunkte für die unternehmenseigene IT-Sicherheit. Das zeigt eine aktuelle IW-Studie: Ein Viertel der gesamten Schadenzunahme durch Cyberangriffe im Jahr 2020 lässt sich im Vergleich zum Vorjahr auf die Arbeit im Homeoffice zurückführen, was schätzungsweise rund 31 Milliarden Euro ausmacht. Besonders die mangelnden Firmen-Laptops, Schulungen und veralteten Sicherheitskonzepte haben die Situation nicht begünstigt. Mit der Folge, dass unternehmensinterne Daten vielfach gestohlen wurden und es zu Erpressungen durch Hacker kam. Was es deshalb braucht, ist eine stärkere Sensibilität aller Mitarbeiter für die Cybersicherheit im Homeoffice kombiniert mit einer flächendeckenden IT-Sicherheit im privaten Raum.
Mit IAM und MFA zum optimalen Sicherheitsbewusstsein
Tausche Reaktion gegen Prävention – so das Ziel der optimalen Sicherheitsstrategie von Unternehmen, um das Bewusstsein Ihrer Mitarbeiter im Handumdrehen zu schärfen und die Angriffsmöglichkeiten von Hackern zu minimieren. Denn je besser Mitarbeiter umfassend über Risiken der IT-Sicherheit aufgeklärt sind und Gefahren im Arbeitsalltag selbstständig erkennen, desto eher können Sie Massnahmen zur Bewältigung ergreifen und damit zum langfristigen Unternehmensfolg beitragen. Dabei gilt: Je persönlicher sich die Aufklärung auf das private Umfeld der Mitarbeiter bezieht, desto eher lassen sich diese auf die Thematik ein und wenden sicherheitsorientierte Praktiken selbstverständlich an. Mit diesen 10 Tipps, werden Ihre Mitarbeiter in kürzester Zeit zu IT-Sicherheitsexperten.
- Mit klarer Kommunikation Vertrauen schaffen
Eine offene und klare Kommunikation trägt dazu bei, dass Mitarbeiter genau wissen, an wen sie sich im Unternehmen richten können, wenn etwas Ungewöhnliches passiert oder wie sie geschäftsbezogene Aktivitäten überprüfen können. Dadurch bauen Sie Verunsicherungen ab, stärken Vertrauen und verhindern zeitgleich, dass mögliche Bedrohungen verschwiegen werden. - Awareness-Trainings ab Tag 1
Gleich zu Beginn eines neuen Mitarbeiters sollte das Awareness-Training ganz oben auf der Prioritäten-Liste des Onboarding-Prozesses stehen. Dadurch integrieren Sie die Cybersicherheit elementar in die noch neuen Routinen und geben den Mitarbeitern ab dem ersten Tag das notwendige Wissen für den Umgang mit Passwörtern und Co. an die Hand. Gewohnheiten lassen sich auf diese Weise effektiv verinnerlichen und tragen dazu bei, dass IT-Schulungen, die im weiteren Verlauf des Arbeitsverhältnisses folgen werden, selbstverständlich und dankend wahrgenommen werden. - Individuell und zufällig: Das optimale Passwort
Die Cybersicherheit fängt bereits beim Passwort an. Zahlenkombinationen oder der Name des Hundes lassen sich zwar leicht merken, doch sie sind vor allem eins – unsicher und von Hackern in Sekundenschnelle gelöst. Mitarbeiter sollten deshalb angehalten werden, für jedes Konto ein individuelles und zufälliges Passwort auszuwählen. Die goldene Regel lautet: 12 bis 16 Stellen mit Sonderzeichen sind optimal. - Durch IAM Zugriffsfreigabe nach dem „Need to know“-Prinzip erhalten
Mithilfe eines konsequenten Identity and Access Mangement (IAM) lässt sich das Identitätsmanagement interner Nutzer flexibel organisieren und jederzeit an neue Gegebenheiten anpassen. Dadurch erhält jeder Mitarbeiter einen individuellen Zugang zu den benötigten Ressourcen, die er für seine Arbeit auch nur tatsächlich benötigt. Die Zugriffsfreigabe erfolgt somit nach dem „Need to know“-Prinzip. - Tagesaktuell informiert sein
Die Sicherheitsverantwortlichen in Unternehmen sollten Neuigkeiten aus dem Bereich der Cybersicherheit konsequent verfolgen und sie in der Rolle der Experten verständlich der Belegschaft erläutern. Denn nur wenn die Kenntnisse der Mitarbeiter auf dem gleichen Level sind wie die der IT-Sicherheit, können neueste Hacking-Methoden, Betrugsmaschen und Viren identifiziert und abgewehrt werden. - Wenn E-Mails aus der Führungsetage verdächtig wirken
Verdächtige E-Mails mit Sonderangeboten oder vermeintlich vertraute Betreffzeilen zählen zu eine der Maschen von Hacker. Mitarbeiter sollten daher in Schulungen sensibilisiert werden, E-Mails bereits vor dem Öffnen zu prüfen und Anhänge erst im nächsten Schritt zu öffnen. Das gilt auch dann, wenn die E-Mail aus der Führungsetage stammt. - Wenn der Fingerabdruck die Autorisierung absichert
Nutzen Sie die Muti-Faktor-Authentifizierung (MFA). Denn sie stellt eine weitere Sicherheitsebene dar, indem sie die 2FA mit der Biometrie Ihrer Mitarbeiter kombiniert. Dafür ist eine der der vier Faktoren Besitz, Wissen, Standort oder biometrische Merkmale notwendig, die den Mitarbeiter zweifelsfrei identifizieren. - Gamification – auf spielerische Weise zum Ziel
Das Stichwort lautet Gamification und beschreibt die Weiterbildung von Mitarbeitern auf spielerische Weise durch Trainings. Dabei werden Gaming-Bestandteile wie etwa Wettbewerbe und Animationen und theoretische Aspekte der Sicherheitsstrategie eines Unternehmens verknüpft. Sie zielen darauf ab, die trockenen Themen praxisnah zu gestaltet und den Trainingsprozess aufzulockern. Das erhöht das Engagement der Mitarbeiter und fördert ihr Bewusstsein für die Sicherheitspraktiken. - Der simulierte Hacker
Um das Sicherheitskonzept abschliessend zu prüfen, eignet sich eine Notfallsimulation. Externe Sicherheitsspezialisten simulieren dabei einen Hacker-Angriff, der auf die unternehmensspezifischen Arbeitsabläufe zugeschnitten ist und den Mitarbeitern gelöst werden muss. Dadurch werden die Abläufe hierarchieübergreifend geprüft, der Lernprozess verbessert und den Mitarbeitern in der Praxis konkrete Verbesserungsmöglichkeiten an die Hand gegeben. - Verantwortungsbewusstsein darf belohnt werden
Vorbildliches Verhalten und sicherheitsbewusster Umgang mit firmeninternen Daten kann in Unternehmen mit einer Belohnung verknüpft werden. Die Durchführung variiert und geht von einem Abzeichen, zu Punkten auf einer Tafel bis hin zu einem spielerischen Security-Wettbewerb, an dem Mitarbeiter aus dem ganzen Unternehmen teilnehmen können. Indem vorher festgelegte Meilensteine erreicht werden, steigt die Chance auf eine Belohnung wie etwa Geschenkgutscheinen. Durch die Anerkennung werden die Mitarbeiter motiviert, sich an die IT-Security Richtlinien zu halten und damit zu einer sicheren Arbeitsumgebung zu sorgen.
