Skip links

Cybersicherheit im Homeoffice: Wie klare Regeln, Training und Kommunikation zwischen Arbeitgebenden und Arbeitnehmenden helfen

Hans-Wilhelm Dünn, Präsident des Cyber-Sicherheitsrat Deutschland e.V.

 

Durch die COVID-19-Pandemie hat sich die Cyberbedrohungslage verschärft: Hacker und Cyberkriminelle nutzen die hektische Situation aus, um Mitarbeitende mit schädlichen Cyber-Kampagnen, wie z.B. Phishingmails, die das Thema „Corona“ als Köder benutzen, zu bombardieren. Google allein verzeichnet täglich mehr als 18 Millionen Malware- und Phishing-E-Mails und mehr als 240 Millionen Spam-E-Mails im Zusammenhang mit der Korona-Pandemie. [1]  Besonders angesichts der hohen Zahl von Mitarbeitenden, die momentan zu Hause arbeiten, stehen Arbeitgebende und Arbeitnehmende daher vor einer Cybersicherheitsherausforderung, die es vorher so noch nie gegeben hat. Um diese Herausforderung erfolgreich meistern zu können braucht es: Eine effiziente Kommunikation, klare Regeln und Training.

Warum ist Kommunikation so wichtig?

Laut dem IBM X-Force Threat Intelligence Index Report 2019 ist menschliches Versagen nach wie vor eine der Hauptursachen für Cybersicherheitsvorfälle. Menschliches Versagen oder “human error” – die unbeabsichtigte, unaufmerksame oder sogar fehlende Handlung des Mitarbeitenden – kann durch verschiedene Aspekte wie z. B. Stress, Ablenkung, oder Arbeitsbelastung verursacht werden. Eine stete und umfassende Kommunikation zwischen Arbeitgebenden und Arbeitnehmenden hilft diesen human error zu minimieren und trägt in Kombination mit klaren Regeln und Training von Mitarbeitenden maßgeblich dazu bei, das Risiko von Cybersicherheitsschäden zu verringern. Doch was heißt das für die Praxis?

Klare Regeln festlegen

Ein zentraler Ansatz ist die Aufstellung von klaren Regeln. Während Arbeitgebende momentan damit kämpfen, die IT-Sicherheitsstandards für ihre Arbeitnehmenden zu Hause zu gewährleisten, kämpfen Arbeitnehmende oft damit nicht die richtige IT-Ausstattung zu haben. Klare Regeln können dabei helfen, Cybersicherheitsmaßnahmen trotzdem einzuhalten. Beispielsweise sollte festgelegt sein:

  • Wie verhalte ich mich bei Phishing oder Spam-Emails?
  • An wen muss ich mich im Falle eines Cyber-Angriffes wenden?
  • Wann müssen Geräte und Software aktualisiert werden?
  • Wie kann eine Verbindung zu einem sicheren Internet-Netzwerk herstellt werden?
  • Wie können Datensicherung und die Datenauthentifizierung aufrechterhalten werden?

Ein Praxisbeispiel hierfür: Wenn ein Mitarbeitender eine E-Mail von einem Kollegen erhält, sollte es eine klare Regel sein, die Echtheit der E-Mail zu überprüfen. Bevor angehangene Inhalte heruntergeladen, auf die enthaltenen Links geklickt oder angeforderte Dokumente zurückschickt werden, muss immer überprüft werden, ob die E-Mail auch wirklich von dem sogenannten Kollegen stammt. Bei Zweifeln an der Echtheit kann ein direkter Anruf beim Absender oder die Kontaktaufnahme mit der IT-Abteilung helfen.

Ausbildung & Bewusstsein

Cybersicherheitstrainings für Arbeitnehmende und Arbeitgebende in Form von Online-Kursen, Videos oder zusätzlichen Workshops tragen dazu bei, dass Arbeitnehmende Sicherheitsbedrohungen leichter erkennen können. Cyberkriminelle sind bei der Erstellung von Spam- und Phishing-E-Mails immer raffinierter geworden und erstellen immer professionellere und originellere E-Mails, die weit entfernt sind von früheren Spam Emails in schlechtem Deutsch und mit vielen Rechtschreibfehlern. Die Anleitung von Arbeitnehmenden und Arbeitgebenden in der Erkennung solcher Betrügereien – z.B. durch Überprüfung der E-Mail-Adresse des Absenders, dem Vergleich der Formatierung oder die doppelte Überprüfung der E-Mail-Anrede – kann dazu beitragen, Cybersicherheitsbedrohungen frühzeitig zu erkennen und einzudämmen.

Schaffung der richtigen Atmosphäre

Mitarbeitende müssen das Gefühl haben sich zu Wort melden zu können, falls ihnen ein Fehler unterlaufen ist. Bei einer Arbeitsatmosphäre, die es erlaubt Fehler einzugestehen, kann eine Bedrohung der Cybersicherheit schneller erkannt und dementsprechend gehandelt werden. Eine gewisse Feedback-Kultur muss daher aufrechterhalten werden. Dies trägt dazu bei, dass Mitarbeitende sich als Teil des Unternehmens sehen, dadurch verantwortlicher handeln und zweimal überlegen, ob sie eine verdächtige E-Mail öffnen.

Tägliche Meetings

Schließlich helfen auch tägliche Meetings zu Beginn des Tages. Solche oder Check-ins können zur Förderung einer kommunikativen Atmosphäre zwischen Arbeitnehmenden und Arbeitgebenden beitragen. Dies kann bei der Gewährleistung von IT- und Cybersicherheitsstandards einen großen Unterschied machen! Beim täglichen Check-in können Arbeitgebenden außerdem ihre Arbeitnehmenden daran erinnern, dass eine Gefahr immer um die nächste Ecke lauern kann. Beide Seiten sollten sich jedoch bewusst sein, dass Videokonferenz-Tools zwar hervorragend für solch ein Meeting geeignet sind, dass aber auch hier die Gefahr lauert, Opfer eines Cyber-Angriffes zu werden.

 

Zum Autor:

Hans-Wilhelm Dünn ist Mitgründer und seit 2018 Präsident des Cyber-Sicherheitsrat Deutschland e.V. Der 2013 gegründete Verein berät Unternehmen, Behörden und politische Entscheidungsträger im Bereich Cybersicherheit und stärkt sie im Kampf gegen Cyber-Kriminalität. Zu den Mitgliedern des Vereins zählen große und mittelständische Unternehmen, Betreiber kritischer Infrastrukturen, Bundesländer, Kommunen sowie Experten und politische Entscheider mit Bezug zum Thema Cybersicherheit.

[1] https://www.theverge.com/2020/4/16/21223800/google-malware-phishing-covid-19-coronavirus-scams

Auf Englisch (in English)

Translate »