Angelehnt an das IT-Sicherheitshandbuch der WKO Österreich

Schwachstellen in der Informationssicherheit sind nicht immer in der Technik begründet, sondern sehr häufig auch beim Faktor Mensch.

  • Wie gehe ich mit Attachements in verdächtigen Emails um?
  • Wem darf ich mein Kennwort verraten?
  • Wozu soll ich meine Rechner sperren?

Unwissenheit, mangelndes Verständnis und ungenügendes Verantwortungsbewusstsein
können zu teils erheblichen Problemen für Unternehmen und Behörden führen, die von Datenabfluss bis zu technischen Ausfällen reichen. Einer aktuellen PwC Studie zufolge geht ein Drittel aller Cyber-Vorfälle auf fehlerhafte oder nachlässige Arbeit der Belegschaft zurück.

Hier setzt die IT Security Awareness an. Sie schult und unterstützt Mitarbeiter und Vorgesetzte, damit sie ihre Verantwortung erkennen und dieser Herausforderung gerecht werden können.

Sensibilisierung im Umgang mit Computer und Informationen

Jede Gemeinde verfügt über technische Sicherheitsmechanismen, die den Zugriff
auf sensible Daten regeln wie beispielsweise Kennwörter zur Authentizierung oder auch Berechtigungsgruppen für verschiedene Personenkreise. Allerdings gibt es in vielen Fällen keine klaren Regelungen, wie Daten korrekt weitergegeben,
vervielfältigt oder verarbeitet werden sollen.

Umgang mit personenbezogenen Daten

Der Umgang mit personenbezogenen Daten wird derzeit noch durch das österreichische Datenschutzgesetz geregelt. Ab Mai 2018 gilt die Europäische Datenschutzgrundverordnung,
die ungleich strenger mit der Verwendung dieser sensiblen Daten umgeht. Grundsätzlich gilt, dass alle personenbezogenen Daten nur zu festgelegten Zwecken und aufgrund einer ausdrücklichen Anordnung des Dienstgebers verwendet und weitergegeben werden dürfen.

Clear Desk Policy

Mit dieser Richtlinie wird in Großraumbüros und insbesondere in Servicestellen mit Parteienverkehr sichergestellt, dass die Mitarbeiter alle vertraulichen Unterlagen
bei Abwesenheit verschließen, damit unberechtigte Personen (Besucher,
Reinigungspersonal, aber auch unbefugte Kollegen) keinen Zugriff darauf haben.
Dies gilt für Computerausdrucke und Datenträger, aber auch für den eigenen
Computer, der beim Verlassen des Arbeitsplatzes gesperrt werden bzw. einen Bildschirmschoner mit Kennwortschutz aktiviert haben sollte.

Richtige Entsorgung von Papierdokumenten

Computer, Datenträger und Papierdokumente mit vertraulichen Inhalten, die defekt geworden sind oder nicht mehr benötigt werden, müssen auf sichere Art entsorgt werden: Dies gilt auch für sensible Informationen auf Flipcharts in Besprechungszimmern.

Verwendung von Wechselmedien

Externe Datenträger wie zB. USB-Sticks, externe Festplatten, Speicherkarten
aus Kameras, CDs oder DVDs stellen für die meisten Unternehmen und Behörden
ein Sicherheitsrisiko dar: Bei Verlust droht ein möglicher Missbrauch der sensiblen Daten samt Reputationsverlust. Des weiteren bieten externe Datenträger durch aufgespielte Programme mit Schadfunktionen ein enormes Angriffspotential, wenn sie in das Gemeindenetzwerk eingeschleust werden.

  • Hinweise für Umgang mit Wechselmedien

Social Engineering

Darunter versteht man das Manipulieren von Personen, um Zugang zu vertraulichen
Informationen oder IT-Systemen zu erlangen. Typischer Angriffsvektor ist das Telefon: Social Engineers geben sich als Vertreter einer Behörde oder eines wichtigen Unternehmens aus und spionieren das persönliche Umfeld ihres
Opfers aus, täuschen Identitäten vor um geheime Informationen oder unbezahlte
Dienstleistungen zu erlangen. Oft wir ein solcher Angriff nicht einmal bemerkt
und der Social Engineer bleibt unerkannt und kann die anfällige Zielperson bei anderer Gelegenheit wieder nach vertraulichen Informationen aushorchen.
Speziell hier ist es essentiell, wenn Mitarbeiter diesbezüglich sensibilisiert werden!

  • Maßnahmen gegen Social Engineering

Passwörter – richtig auswählen und verwalten

Passwörter dienen dem Schutz von Geräten, Daten und Services und verhindern unbefugte Zugriffe. Daher ist ein gut gewähltes Passwort im Umgang mit
diesen Ressourcen von wesentlicher Bedeutung! Ein gutes Passwort hat zwei
Eigenschaften: Es soll für Angreifer schwer zu erraten und für den Benutzer
leicht zu merken sein.

  • Wie sollte ein ”sicheres” Passwort demnach ausschauen?
  • Verwendung eines Passwort-Managers

Datensicherung

Sicherung sollte nach dem Prinzip KISS funktionieren (Keep it short (and)
simple): Je komplizierter eine Datensicherung aufgebaut ist, desto weniger verlässlich wird diese erledigt. Daher sollte am besten eine Backupstrategie gewählt werden, die möglichst wenig Disziplin benötigt.

  • Wiederherstellung testen
  • Backup fürs Backup
  • Sicherung auslagern

Umgang mit Emails

Daten und Informationen werden immer öfter per Mail ausgetauscht. Leider
landen nicht nur gewünschte Mails im Posteingang sondern auch etliche Spam und Phishing-Mails sowie mit Schadprogrammen verseuchte Nachrichten. Letztere Gruppe macht ca. zwei Drittel des weltweiten E-Mail-Aufkommens aus.

  • Wie erkenne ich Spam/Phishing-Mails (deutscher Absender, englischer
    Text, Rechtschreibung!)
  • Gefährliche Mail-Anhänge
  • Beispiele aus unserer Erfahrung (Screenshots)

Schadprogramme

Schadprogramme wie Computerviren oder Trojaner enthalten verdeckte Funktionen,
die unerwünschte und gegebenenfalls schädliche Funktionen ausführen.

  • Unterschiede Viren – Trojaner – Malware
  • Wie kann man sich dagegen schützen?

Ransomware

Damit ist eine Erpressungssoftware gemeint, mit deren Hilfe ein Eindringling den Zugriff auf die eigene Daten, deren Nutzung oder auch auf das ganze Computersystem verhindern kann. Dabei werden private Daten auf dem fremden Computer verschlüsselt und für die Entschlüsselung ein Lösegeld gefordert.


Beitragsbild: Photo by Rishabh Varshney on Unsplash