Cybersecurity: Gefahren durch Admins, Dienstreisen und Home Office?!
Die UIMC geht in einer fünfteiligen Reihe auf verschiedene Themen der Informationssicherheit ein. Im heutigen dritten Teil geht es um das mobile Arbeiten und die besonderen Anforderungen bei Admin-Usern.
In der Regel ist das Unternehmensnetz besser geschützt als der Mitarbeitende zu Hause. Vorsicht sollten Unternehmen auch rund um das Homeoffice walten lassen. „Das mobile Arbeiten, ob von zu Hause oder von unterwegs, wird geschätzt. Es birgt aber auch Risiken“, so Dr. Jörn Voßbein. Risikobehaftet ist grundsätzlich die Verbindung von IT-Anwendungen mit dem Internet. Die Risiken in Stichworten: Datenexfiltration, Identitätsdiebstahl, Missbrauch des Unternehmensinformationssystems oder Ransomware dringt ein und verschlüsselt ganze Systeme.
Einige Handlungsempfehlungen sind hierbei leicht umgesetzt:
- Daten sollten immer verschlüsselt gespeichert werden,
- Geräte sollten auf Geschäftsreisen mit Blickschutzfiltern ausgerüstet sein,
- Passwörter sollten nicht gespeichert werden,
- der Zugriff auf das Unternehmensnetzwerk sollte ausschließlich über VPN (Virtual Private Network) erfolgen.
- Eine lokale Firewall sollte ebenfalls auf jedem Rechner aktiviert sein.
Aber: Das Vorhandensein einer lokalen Firewall reicht bei weitem nicht aus. Vielmehr empfiehlt die UIMC hier, in eine „menschliche“ Firewall zu investieren und Security Awareness-Schulungen zur Mitarbeitersensibilisierung zu etablieren (mehr dazu in Teil 4 der UIMC-Serie). Auch Administratoren sollten entsprechend geschult und sensibilisiert werden, auch oder weil sie viel stärker in der digitalen Welt leben.
Ferner gibt es auch im Kontext von IT Administratoren klare und konkrete Hinweise für einen besseren Schutz vor den Gefahren:
- Jede Mitarbeiterin und jeder Mitarbeiter besitzt ein eigenes Nutzerkonto.
- Administratorenkonten bleiben nur den Verantwortlichen vorbehalten und sind ansonsten für niemanden zugänglich.
- Auch Administrationsrechte sind soweit wie möglich zu beschränken und zu differenzieren.
- Besonders zu beherzigen ist der folgende Tipp: Kein Surfen im Internet von einem Administratorenkonto!
- Unverzüglicher Entzug von Administrationsrechten bei Verlassen des Unternehmens.
Eigentlich eine Selbstverständlichkeit, aber immer noch nicht überall praktiziert, ist eine effiziente Benutzerkonto-Verwaltung. Zugriffsrechte müssen bei Beschäftigten zeitnah widerrufen werden, wenn sie das Unternehmen verlassen. Gerade in Zeiten von Home Office wird dies manchmal komplizierter, da weniger auffällt, wenn ein Mitarbeiter im Home Office oder krank, im Urlaub oder ausgeschieden ist.
„Im eigenen Unternehmen sollte ein Grundmaß an IT-Sicherheit gewährleistet und gepflegt werden. Das erhöht die Resilienz gegenüber Cyberattacken, sichert Jobs und Vermögenswerte“, bringt Dr. Jörn Voßbein die Notwendigkeit von einem hohen Niveau von IT-Sicherheit auf den Punkt.
Die UIMC ist eine gesellschaftergeführte mittelständische Unternehmensberatung mit den Kerngebieten Datenschutz und Informationssicherheit; im Datenschutz gehören wir zu den marktführenden Beraterhäusern. Wir bieten als Vollsortimenter sämtliche Unterstützungsmöglichkeiten der Analyse, Beratung, Umsetzung und Schulung/Sensibilisierung bis hin zum Komplett-Outsourcing des Beauftragten an.
Das Schwesterunternehmen UIMCert ist als sachverständige Prüfstelle für die Norm ISO/IEC 27001 von der DAkkS akkreditiert.
UIMC Dr. Vossbein GmbH & Co. KG
Otto-Hausmann-Ring 113
42115 Wuppertal
Telefon: +49 (202) 946 7726 200
Telefax: +49 (202) 946 7726 9200
http://www.uimc.de
Geschäftsführer
Telefon: +49 (202) 9467726-200
Fax: +49 (202) 9467726-9200
E-Mail: consultants@uimc.de