Kritische Abläufe gut kommunizieren

Dauer:

Sind sicherheitskritische Abläufe unklar, profitieren Kriminelle. Definieren Sie solche Prozesse daher klar und kommunizieren Sie sie der Belegschaft.

Spielerisch Trainieren

Die Idee

Viele Cyberangriffe basieren auf Social Engineering: Dabei sammeln Cyberkriminelle Informationen über ein Unternehmen, seine Prozesse und Systeme – aber auch über seine Mitarbeiter:innen. Mit jedem Informationshäppchen wird es für die Kriminellen einfacher, einen erfolgreichen Angriff durchzuführen: Einzelne Mitarbeiter:innen können leicht überredet werden, eine schädliche Datei zu öffnen, Geld zu überweisen oder sensible Daten herzugeben. Gibt es aber klare, interne Richtlinien, wird es für Kriminelle schwieriger. Definieren Sie daher sicherheitskritische Unternehmensabläufe und erstellen Sie darauf aufbauend ein Dokument, das die Prozesse leicht verständlich abbildet.

Links und Downloads

Maßnahme teilen

Definieren Sie sicherheitskritische Abläufe.

Je nach Unternehmen gelten andere Abläufe und Themen als sicherheitskritisch. Identifizieren Sie diese gemeinsam mit der Geschäftsführung. Werfen Sie dabei einen Blick auf folgende Bereiche:

Daten- und Informationssicherheit: Was sind sensible Daten? Welche Informationen sind nur für den internen Gebrauch definiert? Welche Informationen gilt es vertraulich zu behandeln?

Social Media und Website-Auftritt: Welche unternehmensrelevanten Informationen darf die Belegschaft über Social Media teilen? Wie lassen sich Social-Media-Konten schützen - vor allem bei jenen, die Zugang zu Unternehmens-Accounts haben?

Surfen im Internet: Gibt es Websites, die mit dem Arbeitsgerät nicht aufgerufen werden dürfen? Welcher Browser soll verwendet werden? Welche Sicherheitseinstellungen werden empfohlen oder vorgeschrieben?

Passwortsicherheit: Gibt es einen Passwort-Safe, den das gesamte Personal verwenden muss - oder können sich die Kolleg:innen aussuchen, ob und welchen Passwort-Safe sie nutzen? Wie sieht das bei der Zwei-Faktor-Authentifizierung aus?

Technischer Schutz: Wie viele Updates und Backups sollen durchgeführt werden? Wie sollten Antivirus-Programme und Firewalls eingestellt sein? Wurden alle Schutzvorkehrungen auch auf Smartphones getroffen?

Zahlungen: Wie werden Zahlungen abgewickelt und freigegeben? Auf welchem Weg werden größere Überweisungen angefragt? Sind Ihre Konten mit Sicherheitsvorkehrungen optimal geschützt? Kontaktieren Sie Ihre Bank oder Ihren Zahlungsdienstleister, um den besten Schutz zu finden.

Clear-Desk-Policy und Facility Security: Wie muss der Arbeitsplatz verlassen werden, und wie das Büro? Sind Whiteboards und Flipcharts frei von sensiblen Informationen? Machen andere Arbeitsgeräte Informationen für Dritte zugänglich?

Incident Response: Wissen auch Personen, die nicht zu ihrem Incident-Response-Team gehören, wie sie auf Schadsoftware reagieren und ein infiziertes Gerät erkennen können?

Beachten Sie, dass für Kolleg:innen unterschiedliche Aspekte wichtig sein können: Wer sich oft auf Dienstreisen befindet, benötigt andere Sicherheitsvorkehrungen als Kolleg:innen, die im Büro oder im Homeoffice arbeiten.

Erstellen Sie ein Dokument.

Kommunizieren Sie die Guidelines.

I-Tüpfelchen

Verwenden Sie das Dokument beim On-Boarding neuer Kolleg:innen, um sie mit den Unternehmensabläufen von Beginn an vertraut zu machen. Klären Sie mit der Personalabteilung ab, welche Möglichkeiten es dafür gibt.