16.05.25 - Das Verhalten der Mitarbeiter ist oft ein sogenanntes «Eintrittstor» für Cyberattacken. Sensibilisierung und Schulung im Unternehmen gehören zu den ersten wichtigen Massnahmen.
In der Hektik des Arbeitsalltags kann es schnell passieren, dass unvorsichtig gehandelt wird – dass zum Beispiel Logindaten verraten oder entwendet werden. Eine diesbezügliche Sensibilisierung und Schulung umfasst im Idealfall mindestens die vier Punkte: Passwörter, «Phishing», «Social Engineering» und die Sensibilisierung der Buchhaltung.
Passwörter und Logindaten
Dass Passwörter «stark» sein müssen, ist zwar hinlänglich bekannt, und doch werden die Regeln oft missachtet: genügend unterschiedliche Buchstaben, Zahlen und Sonderzeichen, nicht einfach zu erraten, für jede Anwendung unterschiedlich. Passwortmanager können dabei helfen.
«Phishing» und «Social Engineering»
Verdächtige E-Mails erkennen («Phishing») und wie man darauf reagiert, ist ein ebenso wichtiger Teil der Sensibilisierung. Bei «Social Engineering» werden Personen dahingehend manipuliert, vertrauliche oder heikle persönliche Informationen herauszugeben oder Zahlungen zu veranlassen. Hier ist im Betrieb durchdacht zu regeln, wer welche persönlichen Daten sehen darf und wer nicht. Die Buchhaltung muss besonders darauf sensibilisiert werden, dass keine falschen Zahlungen vorgenommen oder freigegeben werden, entsprechend sind die Prozesse festzulegen.
Zurückhaltung mit persönlichen Daten
Mitarbeitende und Führungskräfte sollten generell mit der Veröffentlichung von persönlichen Informationen im Internet vorsichtig sein. Identitäten im Internet können heute einfach gefälscht werden. Cyberkriminelle finden zum Beispiel den aktuellen Aufenthaltsort der zuständigen Buchhalterin heraus und nehmen bei einem Betrugsversuch darauf Bezug. Hier können sich Warnhinweise im E-Mail-Programm wie: «Vorsicht, es handelt sich um eine externe E-Mail» als sehr nützlich erweisen.
Tests und Versicherungen gegen Cyber-Risiken
Gelegentliche Phishing-Tests im Unternehmen helfen bei der Sensibilisierung. Die Auswertung der Tests und (anonyme) Beispiele für richtige oder falsche Reaktionen sollten unter den Mitarbeitenden anschliessend kommuniziert werden.
Anbieter von Cyberversicherungen veranstalten übrigens im Rahmen ihres Angebots oft gratis Schulungen und Tests in Ihrem Unternehmen. Wichtig: Eine Cyberversicherung bedingt, dass die vorgesehenen Massnahmen auch umgesetzt werden müssen – sonst riskieren Sie, dass die Versicherung im Schadenfall die Zahlung verweigert.
Weitere Informationen
Umfassende und weiterführende Informationen zum Thema Cybersicherheit finden Sie auf der Website des AM Suisse im Menü: Aktuell, Themen-Dossiers, Cybersecurity.