Tierney - stock.adobe.com
Checkliste für die Cyberhygiene in Unternehmen für 2024
Cyberhygiene im Bereich Security ist eine gemeinsame Aufgabe für Unternehmen und Belegschaft. Damit beide der Verantwortung gerecht werden können, sind wichtige Schritte nötig.
Cyberhygiene oder auch IT-Hygiene ist eine wichtige Komponente jeder Security-Strategie. Maßnahmen zur Cyberhygiene sind entscheidend für die Vermeidung von Datenverlusten, Sicherheitsverletzungen oder Identitätsdiebstahl.
Dabei ist es von Bedeutung, zu verinnerlichen, dass die Cybersicherheitshygiene eine gemeinsame Verantwortung ist – und keine Aktivität, die nur auf die Mitarbeiter entfällt. Unternehmen, Security-Teams und alle anderen Abteilungen müssen alle ihren Beitrag leisten, um die Verbreitung von möglichen Bedrohungen zu verhindern.
Checkliste für Cyberhygiene
Eine Checkliste für die Cyberhygiene in Sachen IT-Sicherheit sollte folgende Punkte beinhalten:
- Patchen, patchen, patchen. Halten Sie firmeneigene Geräte immer auf dem neuesten Stand in Sachen Updates.
- Ein solides Identitäts- und Zugriffsmanagement (IAM). Sichere, starke Passwörter und wo immer möglich eine mehrstufige Authentifizierung sollten Standard sein.
- Das Prinzip der minimalen Rechtevergabe umsetzen (POLP, Principle of least Privilege)
- Anmeldedaten nicht weitergeben oder mehrfach nutzen.
- Netzwerke segmentieren.
- Antimalware-Lösungen und Firewalls einsetzen.
- Daten, Laufwerke und Geräte soweit wie möglich verschlüsseln.
- Führen Sie regelmäßig Backups durch.
- Regelmäßige Schulungen zum Sicherheitsbewusstsein durchführen.
- Das Bewusstsein für Social-Engineering-Betrug schärfen.
- Es ist wichtig, alle verwendeten Geräte und Anwendungen ordentlich zu ermitteln, zu inventarisieren und zu verwalten.
- Sicherheitsrichtlinien für das Unternehmen erstellen, umsetzen und pflegen.
Die Pandemie hat vielerorts dafür gesorgt, dass sich die Arbeitssituation und -umgebungen nachhaltig verändert und flexibilisiert haben – Stichwort Home-Office. Diese Veränderung in Hinblick auf die Unternehmensressourcen, die sich nun bis ins Home-Office jedes Mitarbeiters erstrecken können, hat sich für Sicherheitsteams durchaus als Herausforderung erwiesen, um es vorsichtig zu formulieren.
Unternehmen müssen sich mit der Frage auseinandersetzen, wie sieh ihre Ressourcen schützen können - unabhängig davon, ob die Mitarbeiter im Büro oder von zu Hause aus arbeiten.
Für Home-Office-Arbeitsplätze können sich folgende Vorgehensweisen anbieten:
- Das Segmentieren von Heimnetzwerken beziehungsweise das Einrichten von Subnetzen mit Sicherheitsregeln kann durchaus eine sinnvolle Maßnahme. Soll derlei umgesetzt werden, kann dies für IT-Teams eine große Herausforderung sein.
- Viele Unternehmen setzen auf ein VPN (Virtual Private Network) um den sicheren Zugang aus der Ferne zum Unternehmensnetzwerk umzusetzen. Wenn dies nicht der Fall ist, empfiehlt sich der Einsatz einer solchen oder vergleichbaren sicheren Lösung. Dabei gilt es auch zu regeln, wie Mitarbeiter auf direkt übers Internet zugängliche Anwendungen zugreifen. Zudem sollten Unternehmen, zumindest schrittweise das Zero-Trust-Prinzip umsetzen.
- Was in Sachen Sicherheits-Updates und Patches für firmeneigene Geräte gilt, trifft selbstredend auf alle privaten Geräte zu, die Anwender im Home-Office nutzen. Mitarbeiter müssen verstehen, wie wichtig es ist, ihre Geräte aktuell zu halten, wenn sie diese auch für die Arbeit verwenden.
Cyberhygiene in der Cloud
Die Cloud-Nutzung in Unternehmen nimmt stetig zu und die Pandemie hat diese Entwicklung eher noch beschleunigt. Nun kann die Cloud zwar zur Verbesserung der Produktivität und Skalierbarkeit beitragen, birgt zwangsläufig aber auch Risiken in Bezug auf die Sicherheit.
Um die Sicherheit von Arbeitnehmern wie Arbeitgeber in der Cloud bestmöglich zu gewährleisten empfehlen sich einige bewährte Vorgehensweisen:
- Es empfiehlt sich eine Cloud-Nutzungs- und Sicherheitsrichtlinie zu erstellen. Legen Sie fest, was bei der Cloud-Nutzung erlaubt ist und was nicht. Verwendet ein Unternehmen beispielsweise offiziell OneDrive für die Ablage von Dokumenten, dann ist es angesichts der weit verbreiteten Umsetzung von BYOD (Bring Your Own Device) und der umfassenden Unterstützung anderer Dienste durchaus üblich, dass Mitarbeiter dennoch auch Google Drive verwenden. Administratoren sollten erkennen, dass die Präferenzen der Anwender eine wichtige Rolle spielen. Daher sollten Informationen zur sicheren Cloud-Nutzung und Schulungen für den sicheren Datenaustausch eine wichtige Rolle spielen.
- Wenn Zugriffsrechte auf Dokumente und Ordner gewährt werden, sei es für Mitarbeiter oder externe Partner, gilt jedes Mal ein sehr umsichtiges Vorgehen anzuwenden.
- Berechtigungen müssen entzogen und gelöscht werden, wenn dies erforderlich ist. Beispielsweise bei Abschluss eines Projektes oder beim Austritt eines Mitarbeiters.
- Es ist wichtig die Wechselwirkungen von Konten zu beachten. Viele Mitarbeiter verfügen vermutlich neben den beruflichen auch über private Microsoft- und Google- oder auch Dropbox-Konten. Es ist entscheidend, dass die Mitarbeiter dies zu unterscheiden wissen.
- Der Datenschutz und die Wahrung der Rechte spielen bei der Nutzung der Cloud eine wichtige Rolle, da Unternehmen hier schnell in schwieriges Fahrwasser gelangen. So müssen Vorgaben wie die EU-Datenschutz-Verordnung (DSGVO) oder je nach Unternehmen auch vielfältige Compliance-Vorschriften beachtet werden. So muss auch beispielsweise sichergestellt werden, dass wenn SaaS-Anwendungen nicht mehr genutzt werden, auch die digitalen Spuren diesbezüglich gelöscht werden müssen. Darüber hinaus sollten regelmäßig die genutzten Cloud-Dienste im Hinblick auf ihre Datenschutzeinstellungen geprüft werden. Geht es um personenbezogene Daten, muss beispielsweise ein Data Transfer Impact Assessment (DTIA) durchgeführt werden.
- Beziehen Sie die Cloud-Sicherheit in Sicherheitsschulungen für Unternehmen ein. Nutzen Sie öffentlich bekannt gewordene Sicherheitsvorfälle als Beispiel, um zu zeigen, wie diese hätten vermieden werden können