Nach 2 Jahren Home-Office: Das muss sich in der Cybersicherheit ändern

Lange Zeit galten Experten für Cybersicherheit als die einzigen Garanten für Netzintegrität in Unternehmen. Dabei sollte der Aufbau einer Sicherheitskultur eine unternehmensweite Initiative sein und nicht nur in der Verantwortung einiger Mitarbeiter liegen.

In einer Welt, die sich auf mobile Geräte konzentriert und in der jeder Mitarbeiter Zugang zum IT-Netzwerk des Unternehmens hat, müssen IT-Manager einen Teil der Verantwortung für die Cybersicherheit in die Hände derjenigen legen, die am meisten gefährdet sind – ihre Mitarbeiter. Regelmäßig machen großangelegte Cyberangriffe Schlagzeilen und erinnern uns daran, dass alle Unternehmen – unabhängig von ihrer Größe – betroffen sind; sei es Facebook oder kleine und mittelständische Unternehmen.

Anzeige

Um eine Sicherheitskultur in Unternehmen einzuführen, müssen wir die Art und Weise ändern, wie wir über Sicherheit denken und wie Mitarbeiter Sicherheitsrichtlinien anwenden. Damit Unternehmens- und IT-Führungskräfte dies erfolgreich umsetzen können, gibt es vier zentrale Ratschläge für eine neue Sicherheitskultur in Unternehmen.

1. Cybersicherheit muss zum Anliegen aller werden

Einer von drei Mitarbeitern, die im Home-Office arbeiten, gibt zu, dass er sich damit überfordert ist, den Überblick über seine Aufgaben zu behalten. Vereinfacht gesagt, sind Apathie, Unaufmerksamkeit und schlechte IT-Nutzergewohnheiten die wahren Gegner eines gut gesicherten Netzwerks. Deshalb müssen Unternehmen in die Änderung des Sicherheitsverhaltens, der Denkweise und der Gewohnheiten ihrer Mitarbeiter investieren.

Kommunikation spielt dabei eine zentrale Rolle. Das Bewusstsein für Fragen der Cybersicherheit sollte bereits mit dem Eintritt der Mitarbeiter in das Unternehmen etabliert werden. IT-Manager müssen proaktiv mit den Personal- und/oder Schulungsabteilungen zusammenarbeiten, um gute Sicherheitspraktiken zu vermitteln.

Denn viele Unternehmen schulen ihre Mitarbeiter in Sachen Sicherheit eher nebenbei. Sie belohnen diejenigen, die sich besonders vorsichtig verhalten und versuchen dadurch auch diejenigen zu ermutigen, die nachlässiger sind. Sinnvoller wäre es, sich auf regelmäßige Aktualisierungen zu konzentrieren, um so die Fortschritte bei der Umsetzung individueller und unternehmensinterner Sicherheitsziele besser messen zu können. Wenn Mitarbeiter sehen, dass Sicherheit Priorität hat, fällt es ihnen leichter, einfache Sicherheitsstandards in ihren Berufsalltag zu integrieren.

2. Sicherheitstraining für Mitarbeiter auch im Home-Office

Arbeiten im Home-Office ist inzwischen sehr etabliert. Dies wirkt sich auf einige der Fähigkeiten und Einstellungen der Arbeitnehmer aus.

Die Mehrheit der Mitarbeiter vernachlässigt das Thema Cybersicherheit – nicht, weil sie inkompetent wären, sondern weil sie es sich zu bequem gemacht haben. Wenn sie mit Sicherheitsproblemen konfrontiert werden – wie z. B. dem Erinnern an Anmeldedaten – wählen sie den einfachen Weg und verwenden unsichere Passwörter oder alte Login-Daten erneut. Um diese Nutzer zu erreichen und sie entsprechend zu schulen, müssen Unternehmen ihnen zeigen, dass sie auf ihre Frustration eingehen und ihnen den Alltag erleichtern. Dafür reicht nicht nur ein Passwort-Manager und ein Benutzer-handbuch. Unternehmen müssen sich die Zeit nehmen, Mitarbeiter zu schulen, ihnen zeigen, wie diese Tools die Anmeldeprozesse rationalisieren und ihnen die Effizienzvorteile zu verdeutlichen. Den Mitarbeitern zu verdeutlichen, was für eine wichtige Rolle sie für die digitale Sicherheit des Unternehmens spielen, ist der erste wichtige Schritt.

Darüber hinaus gibt es in jedem Unternehmen Benutzer, die relativ wenig Wissen über neue Technologien haben und die ohne die Pandemie wahrscheinlich nicht im Home-Office arbeiten würden. Diese Nutzer lassen ihre Geräte oft ungesichert und neigen dazu, Passwörter einfach in ein Notizbuch zu schreiben. Um sie zur Veränderung zu motivieren, müssen Unternehmen bei ihnen ein Gefühl der Verantwortung entwickeln. Es gibt zahllose Beispiele großer Organisationen, die durch den achtlosen Umgang ihrer Mitarbeiter bei der eigenen Datensicherheit Schaden erlitten. Solche Mitarbeiter werden am besten durch leicht verständliche Sicherheitstools und regelmäßige Schulungen an das Thema Cybersicherheit herangeführt.

Im Gegensatz dazu stehen die erfahrenen Benutzer, die diverse Tools im Arbeitsalltag nutzen. Leider achten viele Mitarbeiter dabei eher auf Effizienz als auf Sicherheit. Das Gute ist: diese Mitarbeiter brauchen keine langwierigen Schulungen zur Datensicherheit im Unternehmen. Ihnen müssen lediglich die richtigen Programme zur Verfügung gestellt werden, die die eine reibungslose Benutzererfahrung ermöglichen und sie nicht bei der Nutzung der benötigten Plattformen und Dienste behindern. Diese Mitarbeiter müssen lernen, die IT-Abteilung, die Richtlinien und die vorhandenen Tools als Abkürzungen und nicht als Hindernisse betrachten.

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

3. Hybride Arbeitsbereiche erfordern mehr Flexibilität

Seit Beginn der Pandemie arbeitet weltweit ein Großteil der Beschäftigten von Zuhause aus und dies wird sich in absehbarer Zeit wohl nicht ändern. Der beunruhigendste Aspekt dieses Phänomens ist aus der Sicht der IT-Sicherheit die Vermischung von privaten und geschäftlichen Geräten. Viele Unternehmen begannen vor der Pandemie mit der Umsetzung ihrer BYOD-Richtlinien (Bring-Your-Own-Device), die es Mitarbeitern erlaubte, ihre eigenen Geräte im Büro zu nutzen. Jetzt befinden sich die Unternehmen in der noch komplexeren Lage, dass Remote-Mitarbeiter unge-sicherte Geräte und ihre Heimnetzwerke nutzen.

Während bei der Umstellung auf BYOD eine strenge Richtlinie sinnvoll war, erfordert der neue hybride Arbeitsbereich einen flexibleren und kollaborativen Ansatz. Daher sollten Unternehmen bei der Arbeit im Home-Office genau festlegen, welches Gerät, welcher Browser, welches Betriebssystem oder welches Netzwerk am Heimarbeitsplatz verwendet werden kann und soll. Dafür benötigt es Sicherheitstools, die auf jedem Gerät funktionieren. Ein hybrider Arbeitsbereich erfordert mehr Investitionen in Identitäts- und Zugriffsmanagement-Tools (IAM), Schulungen zu Passwörtern und Zugriffsmanagement-Tools sowie Sicherheitsprotokolle, die die Prozesse für die Mitarbeiter vereinfachen, ohne ihre Privatsphäre zu verletzen.

4. Geeignete Tools bereitstellen, die alle Erfahrungsstufen berücksichtigen

Aber nicht nur die Nachlässigkeit oder Unwissenheit der Mitarbeiter ist eine Gefahr für die Cybersicherheit eines Unternehmens. Auch der Einsatz von veralteter Software kann zu Datenlecks führen. Das ist grob fahrlässig und Unternehmen verstoßen damit sogar gegen die Datenschutz-Grundverordnung (DSGVO) der EU. Diese besagt, dass bei Verarbeitung und Nutzung personenbezogener Daten der “Stand der Technik“ eingehalten werden muss.

Genauso muss die Einführung neuer Software und Tools gut geplant sein, um Datenpannen vorbeugen zu können. IT-Abteilungen sollten bei der Evaluierung eines Sicherheitstools mehrere spezifische Faktoren berücksichtigen. Um die Sicherheit aller Mitarbeiter zu gewährleisten, müssen zwangsläufig alle im Unternehmen vorhandenen Erfahrungsstufen und Technologiekenntnisse berücksichtigt werden. So werden beispielsweise Tools mit einer intuitiven und eleganten Benutzeroberfläche von Mitarbeitern mit wenig Erfahrung als leicht erlernbar und für erfahrenere Benutzer als reibungslos integrierbar empfunden. Das Tool sollte sich problemlos in eine Vielzahl von Geräten integrieren lassen. Wenn die angebotene Technologie reibungslos auf allen Geräten und in allen Netzen funktioniert, wird sie mit größerer Wahrscheinlichkeit angenommen als ein Tool, das sich nicht leicht integrieren lässt.

Unternehmen, die das Verhältnis zwischen geschäftlichen Interessen und der Arbeitsbelastung ihrer Mitarbeiter genau ausloten, kommen mit hybriden Arbeitsumgebungen besser zurecht, weil sie Cybersicherheit neu denken. Auf diese Art ermöglichen Unternehmen ihren Mitarbeitern, dort zu arbeiten, wo sie am produktivsten sind; ohne befürchten zu müssen, dass sensible Unternehmensdaten durch fehlende Sicherheitsstandards im Home-Office preisgegeben werden.

www.dashlane.com/de
 

Anzeige

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.