ECSM: Mitarbeiter können zur IT-Sicherheit im Unternehmen beitragen

Das BSI unterstützt den European Cyber Security Month

[datensicherheit.de, 01.10.2015] Das Bundesamt für Sicherheit in der Informationstechnik (BSI) unterstützt im Oktober den European Cyber Security Month (ECSM) in Deutschland. Erstes von vier Themen des ECSM ist „Cyber-Sicherheit für Arbeitnehmer – wie verhalte ich mich am Arbeitsplatz“. Das BSI ruft Unternehmen und ihre Mitarbeiter dazu auf, die eigene IT-Sicherheit zu hinterfragen und bei Bedarf zu verbessern. Digitale Sorglosigkeit im Umgang mit Smartphones oder Unternehmens-IT, das unachtsame Handeln eines Mitarbeiters oder die teils unbewusste Preisgabe von Unternehmensinformationen, beispielsweise in Sozialen Netzwerken, können für Kriminelle Ansatzpunkte für Datendiebstahl oder Industriespionage sein. Unternehmensverantwortliche, aber auch der einzelne Mitarbeiter können dazu beitragen, diese Risiken zu minimieren.

Unerlaubter Zugang zum Unternehmensnetz

Kriminelle nutzen häufig persönliche Informationen, die sie in Sozialen Netzwerken über bestimmte Personen finden, um sich über diese Personen Zugang zu deren Unternehmensnetz zu verschaffen.
Arbeitnehmer werden dabei beispielsweise über eine E-Mail mit persönlicher Ansprache und glaubwürdigen Inhalten dazu verleitet, einen infizierten Anhang oder präparierten Link anzuklicken. So wird schnell unabsichtlich eine Schadsoftware installiert, die möglicherweise Externen einen Zugriff auf das Unternehmensnetz gestattet. Dieses Vorgehen nennt sich Social Engineering und wird durch frei zugängliche Informationen über den jeweiligen Mitarbeiter in Sozialen Netzwerken erleichtert. Zudem birgt die gemeinsame Nutzung von Rechnern oder Netzwerken Risiken für Unternehmen, wenn die Nutzungsregelungen für kritische Daten nicht genau festgelegt sind. Auch Mobilgeräte, die sowohl privat als auch dienstlich genutzt werden (Bring Your Own Device), führen zu großen Herausforderungen für die Informationssicherheit und den Datenschutz in Unternehmen, da sich die Grenze zwischen beruflicher und privater Nutzung von IT immer mehr auflöst. Eine BSI-Empfehlung, wie Unternehmen den Einsatz von Mobilgeräten handhaben können, ist auf der Webseite der Allianz für Cyber-Sicherheit verfügbar: https://www.allianz-fuer-cybersicherheit.de/ACS/DE/_downloads/anwender/mobilesec/BSI-CS_052.html

Vorsätzliche Weitergabe von Informationen

Nicht immer gelangen Informationen aufgrund von Unwissenheit oder unbedachtem Verhalten in die falschen Hände. Mitarbeiter können internes Wissen über Abläufe und Schwachstellen auch vorsätzlich an Dritte weitergeben. Diese Informationen sind dann die Grundlage für einen Cyber-Angriff. Motive für solches Verhalten können Ärger und Frust oder Vergeltung für eine vermeintlich schlechte Behandlung sein. Zudem können finanzielle Interessen zu einem Verkauf von Betriebsinterna führen.

Wie Arbeitnehmer zu einen sicheren Arbeitsplatz beitragen können

Neben den Verantwortlichen wie CIO, CISO oder dem IT-Sicherheitsbeauftragten kann auch der einzelne Mitarbeiter zu mehr IT-Sicherheit im Unternehmen beitragen. Das BSI gibt dazu folgende Empfehlungen:

• Keine Betriebsinterna in ungesicherten Umgebungen besprechen.
• Keine Veröffentlichungen von Informationen über den Arbeitgeber in öffentlichen Foren oder in
  privaten Profilen in Sozialen Netzwerken.
• Nur sichere Passwörter verwenden und diese regelmäßig wechseln. Hinweise hierzu sind unter https://www.bsi-fuer-buerger.de/Passwoerter abrufbar.
• Keine unbedachte Nutzung von Werbegeschenken wie USB-Sticks oder CD-ROMs von Messen, Kongressen
  oder anderen Veranstaltungen. Diese könnten Schadsoftware enthalten.
• Vorsicht bei E-Mails von unbekannten Absendern: Nicht unbedacht auf Links oder Dateianhänge klicken.
• Bei geschäftlicher Nutzung privater Mobilgeräte sollten die Vorgaben des Arbeitgebers eingehalten werden. Mehr Informationen hierzu hat das BSI in einem „Überblickspapier IT-Consumerisation und BYOD“ unter https://www.bsi.bund.de/DE/Themen/ITGrundschutz/Ueberblickspapiere/Ueberblickspapiere_node.html zusammengestellt.
• Schulungsangebote des Arbeitgebers zur IT-Sicherheit nutzen oder bei Bedarf beim Arbeitgeber
  anregen.

ECSM: Cyber-Sicherheit im Fokus

Der European Cyber Security Month (ECSM) rückt vom 1. bis 31. Oktober 2015 das Thema Cyber- Sicherheit in den Blickpunkt. Ziel ist es, Nutzer für mögliche Risiken des Internets zu sensibilisieren sowie ihnen Informationen, Hilfestellungen und Praxisbeispiele an die Hand zu geben, mit denen sie sich sicherer durch das Web bewegen können. Unter dem Motto „Ins Internet – mit Sicherheit“ dokumentiert das Bundesamt für Sicherheit in der Informationstechnik (BSI) für die europäische IT-Sicherheitsbehörde European Union Agency for Network and Information Security (ENISA) Aktionen diverser Partner. Zudem führt das BSI eigene Aktivitäten durch. Zur Fokussierung einzelner Inhalte hat das BSI vier Themen definiert, die während es ECSM sukzessive verbreitet
werden:

• 1. – 7. Oktober 2015: Cyber-Sicherheit für Arbeitnehmer – wie verhalte ich mich am Arbeitsplatz
• 8. – 15. Oktober 2015: Cyber-Sicherheit als Managementaufgabe – wie schafft man ein Umfeld für IT-Sicherheit
• 16. – 23. Oktober 2015: Sicherer Umgang mit Social Media am Arbeitsplatz
• 24. – 31. Oktober 2015: Cloud Computing mit Sicherheit

Weitere Informationen zum Thema:

ECSM
Informationen zum European Cyber Security Month