Schritt 3: IT-Sicherheits-Strategie implementieren
Gemäß der zuvor festgelegten Roadmap, welche sich aus der initialen Bestandsaufnahme ergibt, sind üblicherweise folgende hochpriorisierten Einzelmaßnahmen umzusetzen:
Top-1-Maßnahme: Moderne Authentifizierung
Beim Zugriff aus einem potenziell unsicheren Privatnetzwerk auf das Firmennetz ist die Authentifizierung ein Schwachpunkt. Unternehmen müssen sich mit diversen Szenarien (schlechte Passwörter, Sicherheitslücken im Anmeldeverfahren, gefälschte Anmeldeseiten etc.) auseinandersetzen und entsprechende Schutzmaßnahmen treffen. Die wichtigsten Maßnahmen: das Überprüfen der Passwortrichtline und das Einführen einer Multi-Faktor-Authentifizierung als zusätzliche Hürde für potenzielle Angreifer.
Top-2-Maßnahme: IT-Hygiene auf das Radar bringen
Mitarbeitern müssen dafür sensibilisiert werden, nur unter Benutzung firmeneigener Hard- und Software auf Unternehmensdaten zuzugreifen. Doch was passiert, wenn das private Endgerät und das firmeneigene Endgerät im Homeoffice die gleiche Internetverbindung nutzen? Auch wenn die Firmenhardware gut gewartet wird, sollten Mitarbeiter lernen, dass auch durch den Einsatz privater Geräte Sicherheitslücken entstehen können. Ein konkretes Beispiel wäre ein Angriff auf das private WLAN durch Schadsoftware auf dem privaten Rechner, welcher dazu führt, dass Kommunikationen abgefangen werden könnten.
Top-3-Maßnahme: Modernes E-Learning
Informationsvermittlung sollte immer ansprechend für die Zielgruppe gestaltet sein. Dazu gehört auch das passende Medium. Moderne E-Learning-Tools tragen dazu bei, Inhalte verständlich und anschaulich zu vermitteln, z. B. durch interaktive Aufgaben, lösbare Tests und reelle Fallbeispiele. Neben dem Erwerb von Basiswissen zu IT-Sicherheit ist es für die Mitarbeiter wesentlich, auch die Auswirkungen der neuen Vorgaben auf ihre eigenen Arbeitsbereiche zu erkennen. So lässt sich schon allein durch den Aufbau des entsprechenden Know-hows der Grundstein für die gewünschten Verhaltensänderungen legen.
Top-4-Maßnahme: Netzwerksegmentierung
Im Gegensatz zu einem eigenen, privaten Anschluss werden bei einigen Netzanbietern ganze Straßenzüge mit nur einem einzigen Kabel versorgt. Lediglich der eigene Router trägt dafür Sorge, dass der Internetverkehr dem richtigen Anschlussinhaber zugeteilt wird. Sicherheitsschwachstellen des Routers können dann durch einen anderen Teilnehmer am Netz ausgenutzt werden. Empfehlenswert wäre die Segmentierung, also unterschiedliche Netze für jeweils private Geräte und firmeneigene Geräte zu nutzen. Akzeptanz findet diese Sicherheitsvorkehrung sicherlich, wenn entsprechende Mehraufwände finanziell unterstützt würden. Darüber hinaus muss der Zugriff vom Homeoffice auf die Unternehmensstrukturen in den allermeisten gut aufgestellten Unternehmen mittels einem VPN-Tunnel erfolgen.
Fazit
Cyber Security ist wichtiger als je zuvor. Schon mit einfachen Mitteln können sich Unternehmen vor einer Vielzahl von Attacken schützen, indem sie ihre Mitarbeiter für das Thema sensibilisieren. Dabei gilt es aber zu beachten, dass sich die Methoden der Angreifer stetig weiterentwickeln. Heute getroffene Maßnahmen können schon morgen ihre Schutzwirkung verlieren. Folglich darf es auch beiden Verteidigungsmaßnahmen der Unternehmen keinen Stillstand geben.