Hacker nutzen nicht selten die Verunsicherung der Bevölkerung aus, gerade im Zusammenhang mit COVID-19, um sich Zugang zu fremden Daten zu verschaffen – in Form von Phishing-Angriffen. Schnell ist eine E-Mail (gedankenlos) geöffnet, die auf den ersten Blick ein aktuelles Anliegen adressiert – und genauso schnell wird darüber leider auch Malware auf Ihren Rechner gespielt. Das ist zunächst einmal nichts Neues. Bewiesenermaßen steigen solche Angriffe jedes Jahr, wenn etwa die Abgabe der Steuererklärung naht. Was hinsichtlich Corona neu ist: Wir sind wissensdurstig, was Neuigkeiten diesbezüglich anbelangt, und suchen häufig gezielt nach entsprechenden Infos. Hacker machen sich dies zunutze und werden deshalb in diesem Fall ganz besonders aktiv, um an Ihre Daten zu gelangen.
Was ist Phishing?
Unter Phishing versteht man einen Cyberangriff, der als eine auf den ersten Blick seriöse E-Mail oder Textnachricht bei Ihnen eintrifft und Sie auffordert, auf einen Link zu klicken, einen Anhang zu öffnen oder direkt Ihre persönlichen Daten zu teilen. Die Mail sieht in der Regel täuschend echt aus – mit einem Freund als Absender zum Beispiel oder auch von einer (angeblich) offiziellen Stelle wie etwa der WHO. Themen dieser Mails sind meistens aktuelle Anlässe. So tauchen Corona-bezogene Phishing-Mails derzeit besonders häufig auf – mit Infos zu angeblichen Corona-Fällen in der Nachbarschaft, potenziellen Impfstoffen, Spendenaufforderungen oder Investment-Angeboten. Wer sich davon in die Irre führen lässt und tatsächlich Daten preisgibt oder einen Link bzw. ein Attachment anklickt, wird schnell zum Phishing-Opfer, indem etwa sein E-Mail- oder Bank-Account mit Malware infiziert und manipuliert wird.
Sicherheitsmaßnahmen im Büro wie auch im Home Office
Wie können Sie es vermeiden, Opfer solcher Attacken zu werden? Um sich und die Mitarbeiter*innen vor Cyberbedrohungen zu schützen, gilt es für Unternehmen, umfassende Sicherheitsmaßnahmen zu ergreifen. Dies kann eine besondere Herausforderung für die IT-Abteilung darstellen, gerade wenn ein großer Teil des Teams im Home Office arbeitet. Umso wichtiger ist es, auch die mobile „Workforce“ in Sicherheit zu wissen. Hierfür ist ein zielgerichtetes IT-Sicherheitskonzept des Unternehmens notwendig. Aber auch der Mensch selbst stellt einen Risikofaktor dar. Deshalb ist ein umsichtiger Umgang mit den Daten unverzichtbar.
Im Folgenden geben wir Ihnen 10 nützliche Tipps, wie Sie Phishing-Angriffe vermeiden und die Sicherheit in Ihrem Unternehmen für die Belegschaft im Büro wie auch im Home Office gewährleisten können.
- Sicherheitsschulungen
Die Mitarbeiter*innen stellen häufig das schwächste Glied in der Kette dar – unzureichende Passwörter, der unachtsame Umgang mit Daten oder das achtlose Klicken auf Mailanhänge sind weit verbreitet. Umso wichtiger ist es, das Team regelmäßig in puncto Sicherheit zu schulen. Es sollte vermittelt werden, wie wichtig Sicherheitsvorkehrungen sind, wie etwa
- Zweifaktor-Authentifizierung am Rechner bzw. Notebook
- Regelmäßige Überprüfung sämtlicher E-Mail-, Bank- oder auch Social Media-Accounts
- Sicherer Umgang mit Mails und Textnachrichten sowie mit dem Firmennetzwerk
- Kenntnis der Sicherheitsrichtlinien im Unternehmen
- Business und Privates trennen
Gerade wenn Mitarbeiter*innen es nicht gewohnt sind, von zu Hause aus zu arbeiten und normalerweise im Büro sitzen, ist es besonders wichtig, ihnen klarzumachen, dass die geschäftliche Ausstattung – Notebook, Smartphone etc. – wirklich nur für Business-Zwecke genutzt werden darf. Dies ist eine der effektivsten Methoden, um sich vor Phishing-Angriffen zu schützen. Da Phishing-Mails häufig von vermeintlichen Freunden kommen, ist es essenziell, dass Mitarbeiter*innen ausschließlich vom (geschützten) Unternehmensaccount aus mailen, um zu kommunizieren. So werden keine privaten Accounts (von Freunden) mit den geschäftlichen Adressen vermischt, und das Sicherheitsrisiko lässt sich reduzieren. Für private Unterhaltungen dürfen nur private Geräte genutzt werden.
- Gesicherter Netzwerkzugang
Ebenso ist es wichtig, dass das Team stets gesichert auf das Unternehmensnetzwerk und die sensiblen Geschäftsdaten zugreift. Der Zugang zum Server über ein ungesichertes WiFi-Netzwerk, etwa an einem öffentlichen Hotspot im Café, ist absolut tabu. Für den sicheren Datenzugriff bietet es sich an, die Mitarbeiter*innen mit einem VPN (virtuelles privates Netzwerk) auszustatten.
- Regelmäßige Back-ups
Sicherheitskopien sämtlicher Dateien sind ebenfalls ein Muss. Mitarbeiter*innen sollten deshalb regelmäßig Back-ups ihres Systems fahren – am besten stündlich. So können maximal die Daten von einer Stunde Arbeit verlorengehen für den Fall, dass doch einmal Schadsoftware auf den Rechner gerät.
- Einfache Kommunikation im Textformat
Stellen Sie sicher, dass Sie bei E-Mails mit dem Textformat arbeiten und HTML deaktiviert ist. Dies sorgt zumindest schon einmal dafür, dass potenziell verdächtige Mails weniger überzeugend wirken. Zudem ist ein aktueller Spam-Filter sinnvoll, um Viren oder nicht vertrauenswürdige Absender zu blockieren.
- Starke Passwörter
Wissen Sie, welches zu den beliebtesten Passwörtern zählt? Genau: das Wort „Passwort“. Schwache Passwörter wie dieses machen es Hackern leicht – und dies sollten Sie unbedingt vermeiden:
- Sorgen Sie dafür, dass die Mitarbeiter*innen komplexe Passwörter wählen.
- Passwörter sollten mindestens alle drei Monate geändert werden.
- Sichere Business-Notebooks
Statten Sie Ihre mobilen Mitarbeiter*innen mit Business-Notebooks aus, die alle notwendigen Sicherheitsfunktionen besitzen und die Ihren internen Sicherheitsrichtlinien Rechnung tragen. Sensibilisieren Sie zudem Ihre Leute dafür, dass sie sorgsam mit den Geräten umgehen:
- Halten Sie Ihr Team an, ihre Rechner nicht unbeobachtet stehen zu lassen und immer die Bildschirme zu sperren, wenn sie einmal ihren Arbeitsplatz verlassen.
- Die Mitarbeiter*innen sollten ihr Business-Gerät niemandem ausleihen und auf keinen Fall von Freunden oder Familie nutzen lassen.
- Keine verdächtigen Webseiten
Zwar schützen eine Firewall und ein Proxy-Server im Unternehmen vor Phishing-Angriffen. Allerdings gilt es, dies auch für die Mitarbeiter*innen im Home Office sicherzustellen. Deshalb ist es wichtig, dass sowohl im Büro als auch in den Home Offices die Webseiten-Typen, die aufgerufen werden können, klar definiert und verdächtige Seiten geblockt sind.
- Regelmäßige Updates
Die beste Antiviren-Software ist nur so gut, wie sie auch Schutz vor Phishing-Attacken bietet. Um zu gewährleisten, dass jeder regelmäßig Updates fährt und vor allem auch die Antiviren- und Cybersicherheits-Tools aktualisiert, ist es sinnvoll, die Notebooks automatisch alle 24-48 Stunden herunterzufahren und wieder neu zu starten. In dieser Zeit können automatisch alle notwendigen Software-Updates heruntergeladen und installiert werden.
- IT-Support
Auch die Mitarbeiter*innen im Home Office benötigen IT-Support. Sorgen Sie daher dafür, dass Ihre IT-Abteilung über die notwendigen personellen Ressourcen verfügt. Darüber hinaus ist es wichtig, dass die IT-Experten schnell und unkompliziert helfen können. Im Falle eines IT-Problems im Home Office sollten zügig Tickets gezogen werden können. Im Idealfall erhalten die Mitarbeiter*innen auch schnell eine Antwort. Oder ein IT-Mitarbeiter ruft zumindest schon einmal an, um ihn zu beruhigen und zu versichern, dass bereits an einer Lösung des Problems gearbeitet wird.
Auch interessant:
Home Office statt persönliche Kontakte: So bleiben Sie als Unternehmen handlungsfähig
Nachhaltige Bindung zum Kunden – Der Mensch im Mittelpunkt
Trends zur Zukunft des Kundenservice