Am 8. Februar ist internationaler Safer Internet Day: Ein guter Anlass, die eigenen Sicherheitsvorkehrungen zu re-evaluieren - und Mitarbeiter*innen auf den Ernstfall vorzubereiten.

2022 ist noch jung – und doch sind bereits einige große Ransomware-Attacken bekannt geworden. Arbeitsmodelle wie Hybrid Work erfordern aufgrund der aktuell hohen Bedrohungslage ein neues Sicherheitsdenken. Umso wichtiger ist es, dass jeder Mitarbeitende dazu beiträgt, das Bedrohungsrisiko zu senken und eine bewusste Kultur der Cyber-Sicherheit im gesamten Unternehmen fördert. 

„Trotz fortgeschrittener Sicherheitstechnologien bleibt der Mensch der wichtigste Faktor, um das Risiko von Cyber-Attacken zu senken – in der täglichen Arbeit, aber auch in den IT-Teams, die ihre Erfahrung nutzen, um vorausschauend Risiken und Gefahren zu erkennen und Präventionsarbeit zu leisten", erklärt Markus Sageder, Cybersecurity-Experte bei Cisco Österreich. 



Markus Sageder, Spezialist für Cybersecurity bei Cisco Österreich. (Bild: Cisco) 

1. Wachsam und bedächtig bleiben

Pop-ups machen keine Freude - ihre Links können auf gefälschte Seiten führen. Mailanhänge können sich als falsches Versprechen erweisen und Cyber-Kriminellen Eintritt ins Firmennetzwerk verschaffen. Am PC oder Smartphone gilt deshalb: keine Hektik. Denn es gibt zahlreiche Methoden, die genau darauf setzen: Zum Beispiel mit dem Versprechen auf einen Rabatt, mit einer Rückzahlung oder einer Postsendung, die angeblich auf uns wartet.

Inzwischen sind solche Fälschungen auch nicht mehr nur auf E-Mails beschränkt. Auch SMS-Nachrichten sollte man prinzipiell nicht trauen. Umkehrt sollte man achtsam mit Informationen des Unternehmens umgehen. Seriöse Kolleg*innen und Unternehmen fragen nie nach sensiblen Informationen wie Passwörtern. 

2. Einzigartige Passwörter und ein zweites Gerät zur Authentifizierung nutzen

Ein langes Passwort ist besser als ein kurzes - und ein unverständliches mit vielen Sonderzeichen und Ziffern ist besser als ein Wort. Außerdem sollten die Passwörter für jede App und jeden Webservice variieren, um die Angriffsfläche zu verringern. Optimal: Die meisten Webservices bieten heutzutage auch Multifaktor-Authentifizierung an. Das bedeutet, es braucht ein zweites Gerät, um den User zu authentifizieren und die Berechtigung zu bestätigen. Meist erfolgt dies mit dem Smartphone. 

3. Nur Apps aus sicheren Quellen installieren

Ein wichtiger Grundsatz: Auf Geräten mit geschäftlicher Nutzung ist es nicht ratsam, Games, Themes, Wallpaper oder angeblich leistungssteigernde Apps zu installieren. Schon gar keine App, die von irgendwelchen namenlosen Entwickler*innen aus den hintersten Ecken des Internets stammt. Mitarbeiter*innen sollten ausschließlich die offiziellen App Stores von Apple, Google oder dem Smartphone-Hersteller nutzen. Dort kann es zwar auch eine Schadsoftware geben, doch das Risiko ist weitaus geringer als bei Installationsdateien aus anderen Quellen. Wird eine bestimmte App unbedingt benötigt, ist die Absprache mit der IT-Abteilung ratsam.

4. Aktualisieren, aktualisieren, aktualisieren

Software enthält immer Schwachstellen –  problematisch sind diejenigen, die bekannt sind und ausgenutzt werden. Sicherheitsbewusste und verantwortungsvolle Hersteller legen Schwachstellen offen und schließen sie in kürzester Zeit. Sicherheitsprozesse sind essenziell für die Produktqualität, und sollten daher schon beim Produktdesign mit integriert werden. Für Anwender*innen bedeutet das: Die Software immer aktualisieren, sobald ein Update erscheint.

5. Keine Sicherheitsmaßnahmen umgehen

Sicherheit kann unbequem sein. Darum umgehen viele Mitarbeitende auch in Österreich immer wieder bestehende Sicherheitsmaßnahmen und gehen beispielsweise mit dem Firmennotebook unterwegs ohne VPN über einen öffentlichen Wi-Fi-Hotspot ins Internet. „Das ist ein schwerer Fehler", meint Markus Sageder. „Versuchen Sie niemals, bestehende Sicherheitsvorkehrungen der IT zu umgehen. Denn Bequemlichkeit spielt Cyberkriminellen in die Hände."