10 Tipps & Best Practices zur Cybersicherheits-Bewusstseinsbildung für Mitarbeiter

Über 73 % der CISOs in Europa sind sich einig, dass menschliches Fehlverhalten die größte Cyber-Schwachstelle ist. Eine Studie von Stanford-Professor Jeff Hancock und der Sicherheitsfirma Tessian zeigt, dass 88 % aller Datenpannen auf Fehler von Mitarbeitenden zurückzuführen sind. Laut einem ähnlichen Bericht von IBM tragen menschliche Fehler zu 95 % aller Datenverstöße bei. Menschen sind die einfachsten Ziele für Cyberkriminelle.

Wir sind oft nicht ausreichend über gute Sicherheitspraktiken informiert, machen leicht Fehler und handeln vorhersehbar. Unser vorhersehbares soziales Verhalten macht es Hackern viel leichter, mit Social-Engineering-Taktiken unsere Aufmerksamkeit zu unterlaufen und sensible Informationen zu erschleichen – ganz ohne verschlüsselte Dateien knacken zu müssen. Daher ist Cybersicherheitsbewusstsein unter Mitarbeitenden entscheidend für das Überleben eines Unternehmens.

Dieser Beitrag behandelt die wichtigsten Sicherheitsrisiken sowie die zentralen Cybersecurity-Best-Practices, die Mitarbeitende befolgen können, um solche Risiken zu vermeiden.

Die Bedeutung guter Cybersicherheitsgewohnheiten

Wenn Hacker ein bestimmtes Unternehmen ins Visier nehmen, durchlaufen sie sorgfältige Schritte wie Auskundschaften, Informationsbeschaffung, das Anpassen eines Schadprogramms sowie gezielte Maßnahmen, um die Cyberabwehr dieses Unternehmens zu durchbrechen. In anderen Fällen setzen Hacker ihre automatisierten Schwachstellenscanner ein, um Massenangriffe zu starten. Diese Bots durchsuchen Tausende von Netzwerken nach bekannten Sicherheitslücken – ähnlich wie ein Netz, das ausgeworfen wird, um möglichst viele Fische zu fangen.

In beiden Situationen erhöhen gute Sicherheitsgewohnheiten der Mitarbeitenden die Chancen eines Unternehmens, unbeschadet aus solchen Angriffen hervorzugehen. Wenn zum Beispiel jede Mitarbeiterin und jeder Mitarbeiter darin geschult ist, Phishing-E-Mails zu erkennen, wird es für Hacker deutlich schwieriger, eine Malware erfolgreich einzuschleusen – sie müssten sehr viel kreativer vorgehen, statt darauf zu hoffen, dass eine unaufmerksame Person den Schadcode durch einen Klick auf einen beliebigen Link herunterlädt.

Wenn Mitarbeitende ein konstantes Maß an Cybersicherheitsbewusstsein aufrechterhalten:

1. Sie laden seltener Malware herunter, indem sie auf fremde oder verdächtige Links klicken.
2. Es herrscht eine bessere Passwort-Hygiene im gesamten Unternehmen.
3. Mitarbeitende sind weniger geneigt, Zugangsdaten oder sensible Informationen über Phishing-E-Mails oder Anrufe preiszugeben.
4. Beschäftigte können Social-Engineering-Angriffe erkennen.
5. Niemand trifft überstürzte oder panische Entscheidungen, wenn ein potenzieller Cybervorfall auftritt.
6. Das Unternehmen ist wahrscheinlicher konform mit geltenden Sicherheitsrichtlinien und gesetzlichen Vorgaben.

Cyber-Security-Tipps für Mitarbeiter und alle Nutzer

Der häufigste Irrglaube in Bezug auf Informationssicherheit ist, dass sie nur vom IT-Team verstanden werden muss. In Wahrheit ist jede Person, die sich in ein Onlinekonto mit wertvollen Informationen einloggt, dem Risiko eines Cyberangriffs ausgesetzt. Daher ist es nur logisch, dass alle sicherheitsbewusst handeln und Verantwortung für ihre eigene Cybersicherheit übernehmen.

Die gute Nachricht: Gute Sicherheitsgewohnheiten aufzubauen, ist gar nicht so schwer.

1. Stellen Sie sicher, das Passwörter immer verschlüsselt sind

Das klingt nach etwas, das für nicht-technische Mitarbeitende schwierig ist, oder? In Wahrheit ist es das nicht. Wenn man darüber nachdenkt, ist ein Passwort, das im Verzeichnis einer Anwendung gespeichert wird, standardmäßig verschlüsselt (falls nicht, solltesn Sie diese Anwendung besser nicht weiter benutzen). In gewisser Weise sind Sie für die Klartext-Version eines Passworts verantwortlich – und durch eine Reihe guter Entscheidungen können Sie sicherstellen, dass sie niemals offengelegt wird, zumindest nicht von Ihrer Seite.

So gelingt sichere Passwortverwaltung:

• Verwenden Sie einen Passwortmanager, um Zugangsdaten zu speichern und automatisch auszufüllen.
• Erstellen und aktualisieren Sie eindeutige Passwörter mithilfe eines Passwortmanagers (ideal ist, wenn Sie die Passwörter gar nicht selbst kennen).
• Nutzen Sie einen Ende-zu-Ende-verschlüsselten E-Mail-Dienst oder die Passwortfreigabe-Funktion Ihres Passwortmanagers, um Passwörter zu teilen – niemals im Klartext senden.

Natürlich können Sie auch selbst starke Passwörter oder lange Passphrasen erstellen. Aber warum das Gehirn belasten, wenn ein Tool es besser kann? Außerdem sorgt sorgfältiges Passwortmanagement dafür, dass Sie niemals dasselbe Passwort zweimal verwenden.

2. Verwenden Sie Multi-Faktor-Authentifizierung für alle Accounts

Wie der Name schon sagt, bedeutet Zwei- oder Multi-Faktor-Authentifizierung (MFA), dass Ihre Identität nicht nur über ein Passwort überprüft wird. Stattdessen wird eine Kombination mehrerer Faktoren genutzt – etwa Passwort, Gerät, biometrisches Merkmal oder andere Sicherheitsnachweise.

Dadurch wird Ihre Identität deutlich zuverlässiger bestätigt. Und das Beste daran: Selbst wenn Ihr Passwort kompromittiert wird, ist Ihr Konto dadurch noch nicht unmittelbar gefährdet.

Über 73 % der CISOs in Europa sind sich einig, dass menschliches Fehlverhalten die größte Cyber-Schwachstelle ist, während wir uns dem Ende des Jahres 2023 nähern. Eine Studie von Stanford-Professor Jeff Hancock und der Sicherheitsfirma Tessian zeigt, dass 88 % aller Datenpannen auf Fehler von Mitarbeitenden zurückzuführen sind. Laut einem ähnlichen Bericht von IBM tragen menschliche Fehler zu 95 % aller Datenverstöße bei. Menschen sind die einfachsten Ziele für Cyberkriminelle.

Mitarbeitende sollten überall dort MFA aktivieren, wo sie verfügbar ist, und bevorzugt Anwendungen nutzen, die diese Sicherheitsfunktion anbieten.

Ein Beispiel: Alle Google-Konten sind standardmäßig durch eine Zwei-Faktor-Authentifizierung geschützt.

3. Verwenden Sie Antivirus- & Antimalware-Software auf Ihren persönlichen Geräten

Es ist heute üblicher denn je, dass Mitarbeitende sich mit privaten Geräten in geschäftliche Konten einloggen. Das steigert zwar Effizienz und Flexibilität, bringt aber gleichzeitig ein erhebliches Cyberrisiko mit sich.

Daher ist es essenziell, persönliche Geräte konsequent vor Viren und Malware zu schützen. Ebenso sollten Mitarbeitende eine zuverlässige Firewall installieren, um verdächtigen eingehenden Datenverkehr zu blockieren.

4. Halten Sie alle Software stets auf dem neuesten Stand

Softwareupdates enthalten oft wichtige Sicherheitskorrekturen. Wenn Sie Updates nicht umgehend installieren, sobald sie verfügbar sind, setzen Sie sich unnötigen Risiken und bekannten Schwachstellen aus.

Achten Sie daher auf Folgendes:

• Halten Sie Ihr Desktop- und Mobil-Betriebssystem aktuell.
• Stellen Sie sicher, dass alle Anwendungen regelmäßig aktualisiert werden.
• Aktualisieren Sie Ihre Browser und Browser-Erweiterungen konsequent.

5. Verwenden Sie keine unsicheren oder unzuverlässigen Netzwerkverbindungen

Es ist grundsätzlich eine schlechte Idee, sich mit öffentlichem WLAN zu verbinden. Über eine unsichere Verbindung können Ihre Datenpakete abgefangen, ausgespäht oder gestohlen werden. Sicherheitsexperten empfehlen daher den Einsatz eines Virtual Private Network (VPN), um Ihre Daten zusätzlich zu schützen.

Auch bei der Nutzung des privaten WLANs zu Hause sollten Sie auf Sicherheit achten. Ändern Sie unbedingt das Standardpasswort Ihres WLAN-Routers – verwenden Sie nicht das vom Internetanbieter voreingestellte Passwort.

6. Geben Sie Ihre Zugangsdaten niemals an andere weiter

Wenn Sie eine E-Mail von einer angeblich ranghöheren Person aus Ihrem Unternehmen erhalten, in der Sie aufgefordert werden, Ihre Zugangsdaten für eine bestimmte Anwendung weiterzugeben, weil diese Person angeblich ihre eigenen verloren hat, ist die Wahrscheinlichkeit groß, dass es sich um eine Falle handelt. Geben Sie solche Informationen niemals heraus.

Rufen Sie die betreffende Person stattdessen direkt an und verifizieren Sie, ob die Anfrage tatsächlich von ihr stammt. Selbst wenn die E-Mail echt sein sollte, gilt: Sie dürfen sensible Informationen niemals per E-Mail weitergeben – auch nicht, wenn Sie jemandem helfen möchten.

Nutzen Sie stattdessen ausschließlich sichere Passwortfreigabe-Funktionen (z. B. in Ihrem Passwortmanager), um Anmeldedaten zu teilen.

7.  Lernen Sie, Social Engineering zu erkennen

Social Engineering zielt darauf ab, menschliches Verhalten zu manipulieren, um Sie dazu zu bringen, vertrauliche Informationen preiszugeben – etwa Kreditkartendaten – oder eine Handlung auszuführen, die einem Angreifer nutzt.

Daher ist es wichtig, dass Mitarbeitende die verschiedenen Formen von Social Engineering kennen und wissen, wie sie diese rechtzeitig erkennen und vermeiden können.

8. Sichern Sie Ihre Daten regelmäßig

Ein regelmäßiges Backup Ihrer arbeitsrelevanten Daten ist eine äußerst wirksame Maßnahme, um im Falle eines Ransomware-Angriffs unbeschadet davonzukommen.

Ransomware verschlüsselt Systeme oder Dateien und verlangt anschließend Geld für den Entschlüsselungsschlüssel. Wenn Sie jedoch alle wichtigen Daten – einschließlich Systemdaten – in der Cloud oder auf einer externen Festplatte gesichert haben, können Sie den Forderungen der Angreifer gelassen entgegensehen. Sie sind nicht erpressbar, weil Sie auf eine saubere, unveränderte Kopie Ihrer Daten zurückgreifen können.

9. Nutzen Sie einen Passwort-Manager

Ein Passwort-Management-Tool wie Uniqkey ermöglicht es Mitarbeitenden, sich in ihre Konten einzuloggen, ohne Passwörter auswendig lernen oder eingeben zu müssen.

Zudem hilft es dabei, private und berufliche Passwörter strikt voneinander zu trennen, was das Sicherheitsniveau erheblich erhöht und Risiken durch Vermischung vermeidet.

Der Access-Management-Bereich des Tools ermöglicht es Sicherheitsverantwortlichen, die vollständige Kontrolle über die von Mitarbeitenden genutzten Zugriffsrechte zu behalten. Mitarbeitende können zeitlich begrenzte Zugriffsfreigaben mit Kolleginnen und Kollegen teilen – ohne die Passwörter selbst weitergeben zu müssen.

Das nimmt den gesamten Aufwand aus dem Authentifizierungsprozess und gleichzeitig die Sorge um die Passwortsicherheit.

Der beste Teil: Alle Passwörter werden in einem Tresor mit militärischer Verschlüsselung gesichert, und der Schlüssel ist für den Dienstanbieter nicht zugänglich – nicht einmal in gehashter Form.

10. Bleiben Sie wachsam. Zuhause und am Arbeitsplatz

Achten Sie daher auf Folgendes:

• Verwenden Sie niemals USB-Sticks, Datenkabel oder andere Hardware, die Sie an öffentlichen Orten finden.
• Sichern und sperren Sie Ihr System, wenn Sie es nicht nutzen – selbst wenn Sie nur kurz den Arbeitsplatz verlassen.
• Achten Sie genau darauf, worauf Sie klicken. Wenn Sie mit der Maus über einen Link fahren, schauen Sie auf die Leiste unten links, die die tatsächliche Zieladresse anzeigt.
  
  • Stellen Sie sicher, dass die URL mit „https“ beginnt, nicht mit „http“.
  • Prüfen Sie, ob die URL mit der erwarteten Zielseite übereinstimmt, bevor Sie etwas anklicken oder Daten eingeben.

Cybersicherheits-Tipps für Remote-Mitarbeiter

Die zunehmende hybride Arbeitskultur erfordert es, dem Schutz des Homeoffice besondere Aufmerksamkeit zu schenken. Hier sind einige Tipps, wie Sie die Cybersicherheit im Remote-Arbeitsumfeld priorisieren können – ohne dabei an Effizienz zu verlieren.

1. Trennen Sie Arbeits- und Privatgeräte strikt; falls das nicht möglich ist, nutzen Sie zumindest getrennte Benutzerprofile und halten Sie berufliche und private Browserkonten auseinander.
2. Segmentierung schützt Sie, da ein privater Sicherheitsvorfall so keine beruflichen Daten beeinträchtigt – und umgekehrt.
3. Ändern Sie regelmäßig das WLAN-Router-Passwort und wählen Sie ein starkes, nicht leicht zu erratendes Passwort.
4. Aktivieren Sie die automatische Gerätesperre und verwenden Sie ein VPN, wenn Sie auf sensible Unternehmensdaten zugreifen.

Die meisten Cyberangriffe erfolgen, indem Angreifer ein breites, ungezieltes Netz auswerfen. Mitarbeitende entgehen solchen Angriffen in den meisten Fällen, wenn sie sich der häufigsten menschlichen Sicherheitslücken bewusst sind.

Statt das leichteste Ziel für Cyberkriminelle zu sein, können Menschen durch Sicherheitsbewusstsein und das Befolgen grundlegender Cybersicherheitstipps eine zusätzliche Schutzschicht bilden.

So tragen sie aktiv dazu bei, die Datensicherheit zu stärken, anstatt die Hauptursache für Sicherheitsvorfälle zu sein.