8 häufigste IT-Sicherheitsrisiken – Erfahrungsbericht

Der folgende Blogbeitrag beschäftigt sich mit den acht häufigsten IT-Sicherheitsrisiken, die in unserem IT-Partnernetzwerk festgestellt wurden und mit unseren Erfahrungen der letzten 30 Jahre nahezu deckungsgleich sind.

1. IT-Sicherheitsrisiken durch Entsorgen von Dokumenten und Datenträgern

Einiges gilt zu beachten, wenn Dokumente richtig entsorgt werden sollen, vor allem um die IT-Sicherheitsrisiken zu minimieren. Nicht zuletzt müssen seit Inkrafttreten der neuen EU-Datenschutz-Grundverordnung im Jahr 2018 personenbezogene Unterlagen nach bestimmten Vorgaben vernichtet werden. Dies kostet generell wertvolle Zeit. Die DSGVO regelt unter anderem, wie gelöschte Daten zu verarbeiten sind. Daher gibt es nach DIN 66399 bestimmte Sicherheitsstufen. Diese Sicherheitsstufen beinhalten, wie kleine Dateien vernichtet werden müssen, bevor sie legal und sicher entsorgt werden können. Wenn Sie in Ihrem Unternehmen selbst Akten vernichten, müssen Sie darauf achten, dass Ihr Aktenvernichter im Büro die Maximalpartikelgröße hat. Elektro-Aktenvernichter sind in den meisten Fällen nur für die Sicherheitsstufen 1 und 2 ausgelegt, beim Zusammendrücken entstehen nur große Schlieren und Partikel. Zudem sind die folgenden geltenden Aufbewahrungsfristen einzuhalten:

• 6 Jahre: Verträge, Mahnungen, Auftragsbestätigungen und Buchführungsprogramme etc.
• 10 Jahre: Jahresabschlüsse, Lohnsteuerunterlagen, Buchungsbelege, Lagerberichte etc.
• 30 Jahre: gerichtliche und anwaltliche Unterlagen

2. Das Verlassen des Arbeitsplatzes ohne den PC zu sperren als IT-Sicherheitsrisiko

Wer in einem Büro arbeitet, sollte grundsätzlich den Zugriff auf seinen Arbeitsrechner sichern. Während Ihrer Abwesenheit könnten sonst unberechtigte Personen Zugriff auf Ihre und die Daten Ihrer Firma erhalten. Die Verwendung der Tastenkombination Windows + L ist dabei die einfachste Lösung. Allerdings gerät das oft bei Verlassen des Arbeitsplatzes in Vergessenheit. Des Weiteren besteht die Möglichkeit, die Sperrung des PCs sowohl für Windows 10 als auch für Windows 11 zu automatisieren. Dafür wird eine aktive Verbindung eines Bluetooth fähigen Gerätes und dem zu sperrenden PC benötigt. Eine ausführliche Anleitung für die Konfiguration dieser Funktion finden Sie auf der Windows Supportwebseite. Unter gewissen Voraussetzungen bedeutet dies aber auch eine trügerische Sicherheit.

3. IT-Sicherheitsrisiken durch unbekümmerten Umgang mit Fremden in Firmen-Gebäuden

Jedes Unternehmen kennt die Situation, in der sich „Fremde“ auf dem Firmengelände und in Gebäuden aufhalten und damit die IT-Sicherheitsrisiken steigen. Einige dieser Fremden sind Besucher. Die weitaus meisten sind jedoch in der Regel Mitarbeiter von Fremdfirmen, die Arbeiten im Auftrag eines Unternehmens auf dessen Gelände ausführen z. B. Wartungs-, Reparatur-, Bau- oder Reinigungsarbeiten, Anlagensicherheit, innerbetriebliche Transporte oder Unterstützung im Zusammenhang mit der Tätigkeit betrieblicher Abläufe. Gerade bei der Kombination von externen und eigenen Mitarbeitern ist es wichtig, Regelungen im Bereich Arbeitssicherheit und Gesundheitsschutz zu erlassen, damit sich beide Personengruppen nicht gegenseitig gefährden.

4. Sorglose Gespräche in der Öffentlichkeit oder Fremden ungewollt Einblicke in vertrauliche Informationen gewähren

Oft ist es üblich, dass sich Mitarbeiter in der Mittagspause oder nach der Arbeit bei einem privaten Treffen unter Angestellten in der Öffentlichkeit über ihre Tätigkeiten und dem Arbeitsumfeld ausgelassen unterhalten. Dabei wird oft nicht bedacht, dass in diesem Moment unberechtigte Personen vertrauliche Informationen erhalten. Deshalb ist es wichtig, die Mitarbeitenden z. B. in Schulungen zu sensibilisieren, um mit den Unternehmensdaten sicher und sorgfältig in der Öffentlichkeit umzugehen.

Zudem gibt es zur “Beschattung” in der Öffentlichkeit eine weitere Möglichkeit. Hiermit ist gemeint, wenn ein Mitarbeiter seine Arbeitstätigkeiten in einem öffentlichen Raum z. B. in einem Café nachgeht, so kann es passieren, dass fremde Personen seitlich Einblick in dessen Endgeräte wie Smartphone oder Laptop erhalten. Vor allem gewinnt dies besonders an Wichtigkeit in der sich aktuell wandelnden Arbeitskultur hinsichtlich der Irrelevanz des Arbeitsortes (Stichworte: Pandemie, Home-Office). Hierfür gibt es eine einfache und kostengünstige Lösung. Nämlich die Verwendung einer Blickschutzfolie, welche die Möglichkeit des seitlichen Einblickes durch die lamellenförmige Struktur verhindert und so der Mitarbeiter von ungewünschten Einblicken geschützt ist. Ein vollumfänglicher Schutz ist das aber nicht!

5. Verwendung eines kurzen, zu einfachen Passworts und/oder deren öffentlich erkennbare Verschriftlichung

Das ewige Dilemma zwischen Mensch und Sicherheit. Der Mensch versucht es sich so leicht wie möglich zu machen und nutzt entweder leichte Passwörter bzw. falls Sie komplex genug sind, werden diese nach Festlegung schriftlich auf irgendeinem Zettel nieder geschrieben. Im schlimmsten Fall ist dieser am Arbeitsplatz öffentlich einsehbar. Lange Rede, kurzer Sinn: Für die richtige Handhabung Ihrer Passwortkultur beachten sie den Passwortleitfaden des Bundesministeriums für Sicherheit in der Informationstechnik (BSI).

6. Social Engineering: Manipulation und Betrug – persönlich und am Telefon

Als Social Engineering bezeichnet man zwischenmenschliche Beeinflussungen mit dem Ziel, bestimmte Verhaltensweisen bei Menschen hervorzurufen. Beispielsweise werden sie dazu gebracht, vertrauliche Informationen preiszugeben, ein Produkt zu kaufen oder Gelder freizugeben. Social Engineers spionieren das persönliche Umfeld ihrer Opfer aus. Fälschen anschließend Identitäten oder nutzen Verhaltensweisen wie Autoritätsgehorsam aus, um an geheime Informationen oder unbezahlte Dienste zu gelangen. Social Engineering wird oft verwendet, um in das Computersystem einer anderen Person einzudringen und vertrauliche Daten einzusehen. Dabei ist auch die Rede von Social Hacking. Lassen Sie sich auf keinen Fall unter Druck setzen und seien Sie auch nicht leichtgläubig im Internet unterwegs. Sind Sie sich nicht sicher, ob sie gerade auf einen Betrug hereinfallen, dann verständigen Sie entweder Ihren IT-Berater oder die Polizei – oder tauschen sich mit Kollegen in ihrem Unternehmen aus. Das Motto hierbei ist, lieber einmal zu viel nachgefragt, als einmal zu wenig.

7. Phishing-Mails: Öffnen verseuchter Anhänge von täuschend echten E-Mails

Bei Phishing-Angriffen versuchen Angreifer, über gefälschte Webseiten an Ihre Daten wie Benutzernamen und Passwörter zu gelangen und anschließend Kreditinformationen oder Transaktionsnummern zu „fischen“. Cyberkriminelle sind hier besonders einfallsreich und nutzen oft aktuelle brisante Themen, um an Ihre Daten zu kommen. Weitere Informationen zu IT-Sicherheitsrisiken und wie Sie dem ganzen entgegenwirken können, finden Sie in unserem Blogbeitrag “Energiekosten-Explosion als neue Grundlage für Phishing-Attacken”.

8. Neugier: Verbinden eines fremden/unbekannten USB-Sticks mit Fremdgeräten

Stellen Sie sich vor, in dem Café/Restaurant, indem Sie gerade ihre Mittagpause verbracht haben liegt ein fremder USB-Stick. Jedoch ist weit und breit kein Besitzer in Sicht. Der beste Rat, den wir zu gefundenen USB-Sticks geben können: Geben Sie ihn beim Fundbüro ab und verwenden Sie sie nicht! So ist die Frage relativ schnell und guten Gewissens geklärt. Die gutgläubigen Menschen unter uns sind jedoch noch nicht ausgestorben. Der Mensch ist von Natur aus ein neugieriges Wesen. Deshalb verbinden viele aus Neugier oder aus Hilfsbereitschaft einen so „gefundenen“ USB-Stick mit einem ihrer Geräte und tappen anschließend in die Falle.

---

Genau deshalb ist es wichtig, Ihre IT-Sicherheit mit unserer Expertise auf ein nächstes Level zu heben. Unsere Kunden erhalten im Rahmen unserer Managed Services genau diese Unterstützung von uns und können sich sicher sein, dass Probleme nicht erst gelöst werden, wenn sie entstanden sind. Wir kümmern uns präventiv um Ihre IT, damit die Entstehung solcher Probleme vermieden werden kann.