Security Awareness im Homeoffice: #PPAKMAS!

Aufklärungsbedarf im Homeoffice

Noch ist nicht abzusehen, wann wir wieder ins Büro zurückkehren können. Das Homeoffice wird weiterhin das New normal bleiben. Aber wie steht es dabei um das Thema Cybersicherheit? Jüngere Studien sprechen eine klare Sprache: 81% aller Mitarbeiter beklagen sich, dass sie bisher keine spezifischen Richtlinien oder Schulungen zum Thema Cybersicherheit für das Arbeiten von Zuhause aus erhalten haben.

Und das bei steigender Gefahr im Homeoffice: Laut einer Umfrage von OTRS unter 500 IT-Verantwortlichen sind bei 80 % die Sorgen um die IT-Sicherheit klar gestiegen. Nicht nur auf technischer Seite wie IT-Konfiguration und Support, fehlende Incident-Response-Prozesse, sondern auch beim Faktor Mensch.

Wenn es vor Corona kein Konzept zur Sensibilisierung der Mitarbeiter gegeben hat, kann es während Corona nicht besser werden, bzw. braucht Zeit, um nachjustiert zu werden.

IT-Sicherheit muss raus aus der Ecke

Grundsätzlich ist es unerlässlich, IT-Sicherheit auf unterschiedliche Entscheider-Ebenen im Unternehmen zu platzieren und diese als elementare Standardprozesse im Unternehmen zu etablieren. IT-Sicherheit ist nicht ausschließlich in der IT-Abteilung einer Organisation angesiedelt, sofern es um den Faktor Mensch im IT-Sicherheitsprozess geht.

Wir brauchen Kampagnen in Organisationen. Nicht nur punktuell, sondern als etablierter Standardprozess, der Cybersicherheit transparent macht und das Handeln der Menschen und die Unterstützung der Mitarbeiter immer wieder thematisiert und wertschätzt.

In der Corona-Zeit haben wir alle gesehen: In Krisenzeiten fließt alle Kraft in die Bewältigung dieser Sondersituation und es bleibt wenig bis gar keine Zeit, sich besonnen über die Notwendigkeit der Mitarbeitersensibilisierung Gedanken zu machen.

Wenn IT-Sicherheit bei Personen nicht unterbewusst „mitläuft“ kann in Extremsituationen von niemandem verlangt werden, achtsam zu handeln. Nur wenn Awareness unterbewusst präsent ist, können die Personen auf diese Kompetenzen in Ausnahmesituationen – aber auch im Alltag – jederzeit zurückgreifen.

Wissen – Verstehen – Handeln

Diesen Zustand erreichen wir jedoch nicht durch vereinzelte Mitarbeitertrainings, sondern durch spezifische, zielgerichtete Kampagnen, die den Arbeitsalltag der Mitarbeiter prägen und Teil davon werden. Folgende Punkte spielen eine Schlüsselrolle für den Erfolg und sollten Gegenstand eines Awareness Workshops sein:

• Kampagnen oder Programme identifizieren die Themen, die den größten Einfluss auf die Rahmenbedingungen und Anforderungen der Organisation haben.

• Das Programm geht über eine jährliche Maßnahme hinaus und berücksichtigt wiederkehrende Awareness-Maßnahmen über das Jahr verteilt.

• Der Inhalt der Maßnahmen wird zielgruppenspezifisch und nach didaktischen Standards vermittelt, sodass eine Verhaltensänderung am Arbeitsplatz, zu Hause und auf Reisen gefördert wird.

Dabei muss im Fokus stehen, die Selbstwirksamkeit der Menschen in Unternehmen zu stärken und deutlich zu machen, dass alle ihren Beitrag zur IT-Sicherheit leisten können. Für Social Engineering gibt es keine Software-Updates und Firewalls und deshalb spielt das Thema auch eine Sonderrolle in der IT.

Security Awareness im Homeoffice mit PPAKMAS!

Und hier kann eine „Mitternachtsformel“ der IT-Security Awareness greifen. Mittlerweile kennen wir alle die „AHA+A-L-Formel“ gegen Infektionen: Abstand, Hygiene, Alltagsmaske, sowie Warn-App und regelmäßiges Lüften. Zusammen entfalten diese simpel umzusetzenden Maßnahmen eine große Wirkung.

Mit der PPAKMAS-Formel (PDF herunterladen) stellen wir Ihnen das Gegenstück für die Digitalwelt zur Verfügung. Damit sind Sie im Homeoffice auf der sicheren Seite!

P(1) wie Passwortmanager

Verwenden Sie sichere und für jeden Account unterschiedliche Passwörter. Ein Passwortmanager unterstützt Sie und verhindert eine gefährliche „Zettelwirtschaft“.

P(2) wie Patch me If You Can

Mit regelmäßigen Sicherheitsupdates schließen Sie mögliche Einfallstore für Angreifer. Das Aufspielen von Patches stärkt Ihr digitales Schutzschild und sollte daher zeitnah erfolgen.

A wie Auflegen

Verdächtige Anrufer fordern Auskunft zu sensiblen Daten, üben Druck aus oder drängen Sie gar zu Überweisungen? Unser Kollege erlebte kürzlich selbst einen Betrugsversuch und reagierte souverän. Atmen Sie tief durch und lassen Sie sich nicht überrumpeln. Legen Sie auf, wenn Sie ein ungutes Gefühl haben.

K wie Kontakte kennen

Kennen Sie überhaupt ihre Sicherheitsbeauftragten? Wissen Sie, an welche Stelle Sie verdächtige Mails oder Anrufe melden können? Warten Sie nicht, bis sie in eine Notfallsituation kommen, sondern informieren Sie sich im Vorfeld über Ihre Ansprechpartner.

M wie Mails mustern!

Bei Warnsignalen wie einer falschen Absenderadresse und anderen Ungereimtheiten sollten bei Ihnen die Alarmglocken schlagen. Derzeit zirkulieren gehäuft Angst machende Corona-Mailings. Ab in den Müll damit und falls möglich: Meldung.

A wie Abstand oder Ausschalten!

Zwischen Fremdgeräten und Firmenrechner sollte ein striktes Abstandsgebot herrschen. Unbekannte USB-Geräte wie Sticks oder Gadget sind altbekannte Gefahrenquellen. Vergessen Sie aber auch nicht, Ihre neuen Mitbewohner und smarte Mithörer Alexa & Co. auszuschalten.

S wie Sperren

So trivial es klingen mag: sperren Sie ihren Bildschirm, wenn Sie sich entfernen. Kindern sollte klar sein, dass Ihr Firmenrechner weder Spielzeug noch Ladestation ist. Generell gilt: Wer Privates und Berufliches trennt, ist auf der sicheren Seite.