IT-Sicherheit und Datenschutz

Mitarbeitende für Cybersecurity sensibilisieren

Mitarbeitende für Cybersecurity sensibilisieren

Alle müssen wissen, welches Verhalten heikel ist

Ihre Angestellten haben täglich mit den sensiblen Daten Ihres Unternehmens zu tun. Nur wenn alle wissen, welche Verhaltensweisen heikel sein können, lassen sich die Risiken reduzieren.

Sensibilisieren Sie Ihre Belegschaft für Cyberrisiken. Dies gilt sowohl für jüngere wie auch für ältere Angestellte. Jüngere Mitarbeitende sind zwar digitalaffin, aber sie vermischen häufig private und berufliche Gerätenutzung. Ältere Mitarbeitende sind oft weniger vertraut mit den Risiken der digitalen Welt.

Das Management muss dahinterstehen

Cybersicherheit ist nicht nur ein Thema der IT-Abteilung, sondern liegt letztlich in der Verantwortung des Managements. Signalisieren Sie Ihren Mitarbeitenden, dass das Thema Cybersecurity für Ihre Firma Relevanz hat. 

Machen Sie neue Mitarbeitende bereits am ersten Arbeitstag auf das Thema Cybersicherheit aufmerksam und schulen Sie die ganze Belegschaft in regelmässigen Abständen. 

Welche Cybersecurity-Themen sind relevant?

Wenn Sie in Ihrem Unternehmen bereits Weiterbildungen zum Thema Cybersecurity und Awareness durchführen, fragen Sie sich allenfalls, ob die Inhalte für alle Teilnehmenden gleichermassen wichtig sind. Jede Abteilung hat mit anderen Herausforderungen zu tun und deshalb braucht auch jede Abteilung passende Weiterbildungen, die auf ihre Bedürfnisse zugeschnitten sind. 

Tipp Themen, die alle angehen, sind etwa Phishingattacken, Sorgfalt mit E-Mail-Anhängen und Passwortsicherheit. Welche weiteren Themen in Ihrem Unternehmen wichtig sind, besprechen Sie am besten mit Ihrem IT-Verantwortlichen oder einer externen IT-Expertin.

Cyberrisiken – legen Sie mögliche Kosten und Schäden offen

Machen Sie Ihren Mitarbeitenden bewusst, wie hoch die Kosten und der Schaden sein können – etwa bei Datendiebstahl, Verschlüsselung Ihrer Festplatte oder wenn andere Cybergefahren Realität werden. Machen Sie die Risiken für Ihre Mitarbeitenden anhand konkreter Beispiele greifbar.

BeispielDie IT-Verantwortliche eines Ingenieurbüros erhält mehrere Alarmnachrichten. Offenbar wird versucht, eine Verbindung zu einem Server herzustellen, der sich in einem Land befindet, zu dem sie in der Firewall ausgehende Verbindungen gesperrt hat. Sie geht der Sache nach und stellt fest, dass verschiedene Angestellte eine E-Mail erhalten hatten, die angeblich von der Bank stammt, die die Konten des Ingenieurbüros führt. Man solle den angehängten Beleg für eine Abbuchung über 2'000 Franken prüfen. Ein Mitarbeiter der Buchhaltung befürchtete eine fehlerhafte Buchung und öffnete die Datei. Dadurch wurde eine Schadsoftware auf den Firmencomputern installiert, die nun versuchte, eine Verbindung zu einem Server im Ausland herzustellen. Auf diesen Versuch hatte die Firewall reagiert. Wäre sie nicht so konfiguriert gewesen, hätten Angreifer über die Schadsoftware Zugriff auf die Daten der Firma erhalten und das ganze Netzwerk kontrollieren können.

Zeigen Sie die Abhängigkeiten Ihrer Firma von der Verfügbarkeit der IT-Infrastruktur auf. Gehen Sie aber nicht zu detailliert auf konkrete Schwachstellen Ihrer Infrastruktur ein, sonst verteilen Sie eine Anleitung zur Sabotage. Ein guter Mittelweg ist es, ein, zwei Risiken aufzuzeigen, die sie in Ihrem Notfallplan behandeln. Dies wirkt auf mehreren Ebenen:

  • Cyberrisiken werden für die Mitarbeitenden konkret greifbar. 
  • Sie signalisieren, dass Sie für Notfälle gewappnet sind und das Thema ernst nehmen. So gehen Sie mit gutem Beispiel voran.
Tipp Ein IT-Notfallplan muss je nach Unternehmen ganz unterschiedliche Situationen abdecken. Am besten sprechen Sie sich mit Ihrem IT-Spezialisten ab. Oder Sie ziehen eine externe IT-Sicherheitsfirma bei, die mit Ihnen zusammen Pläne für die verschiedenen möglichen Notfälle erstellt.

Indem Sie Ihren Mitarbeitenden mögliche Kosten und Konsequenzen von Cybervorfällen aufzeigen, machen Sie ausserdem klar: «Wir sitzen alle im selben Boot.» Im Extremfall können Cyberrisiken nämlich ein existenzgefährdendes Ausmass annehmen, sodass Schäden eventuell mit Entlassungen aufgefangen werden müssten oder sogar zum Konkurs führen. 

Gut zu wissen Cyberattacken lassen sich nie vollständig verhindern – doch gegen die Folgen können Sie sich grösstenteils absichern – mit einer Cyberversicherung. In der Regel prüfen die Versicherer vor dem Abschluss einer Police, ob Sie in Ihrem Unternehmen die wichtigsten Cybersecurity-Massnahmen umgesetzt haben.

Weisen Sie auf das Problem Homeoffice hin

Beziehen Sie Homeoffice unbedingt in die Schulung mit ein, denn gerade dort ergeben sich viele Risiken. Ihr Unternehmen darf nicht der einzige «safe space» sein, wenn es um Datensicherheit geht. Zeigen Sie allen Mitarbeitenden auf, welche Massnahmen sie ausserhalb der Geschäftsräume umsetzen sollen. Und kontrollieren Sie, dass die vorgegebenen Sicherheitsstandards tatsächlich eingehalten werden (mehr zum Thema erfahren Sie unter «Homeoffice sicherer machen»).

Informieren Sie über die Risiken privater Geräte

Viele Angestellte ziehen es vor, mit privaten Geräten zu arbeiten – im Büro und noch mehr zu Hause. Falls Sie dies in Ihrer Firma erlauben, machen Sie Ihren Angestellten unbedingt klar, welche Risiken damit verbunden sind und welche Sicherheitsregeln auch für private Geräte gelten.

Tipp Stellen Sie sicher, dass Sie wissen, wer welche privaten Geräte für die Arbeit nutzt. Nur so können Sie dafür sorgen, dass auch diese Geräte genügend geschützt sind (mehr dazu lesen Sie unter «Bring your own device – wenn Mitarbeitende private Geräte nutzen»).

Achten Sie bei Videoanrufen im Büro auf den Hintergrund

Gespräche mit Kunden oder anderen Partnern, die per Video geführt werden, können eine Sicherheitslücke sein. Denn immer wieder sind in solchen Calls interne Firmendaten auf Flipcharts, anderen Bildschirmen oder Ähnlichem im Hintergrund deutlich sichtbar. 

Tipp Stellen Sie neutrale Räume mit weissem Hintergrund für Videogespräche zur Verfügung. Bei Videocalls und Videokonferenzen über Kommunikationstools wie Teams, Zoom, Skype soll der Hintergrund verschwommen angezeigt werden oder aus einem neutralen Bild bestehen. Eine Anleitung zum Einstellen des Hintergrunds finden Sie in Ihrem Tool. 

Jetzt Anbieter für eine Cyberversicherung finden

Nutzen Sie den Bedarfs-Check, und unsere Einkaufs­experten finden für Sie bis zu drei passende Anbieter.

Zum Bedarfs-Check

Simulieren Sie Phishingangriffe

Testen Sie, ob Ihre Mitarbeitenden im Ernstfall richtig reagieren würden, indem Sie Phishingangriffe und andere Cyberattacken mithilfe eines externen Partners simulieren. So können Sie anfällige Abteilungen oder Mitarbeitende schneller erkennen und gezielt schulen. Auch das Bewusstsein der Mitarbeitenden für Cyberangriffe wird geschärft. 

Tipp Simulieren Sie eine Cyberattacke mindestens so oft, wie Sie eine Feueralarmübung im Betrieb durchführen. Einfachere Tests kann allenfalls Ihre IT-Abteilung durchführen. Für eine gute Phishingkampagne arbeiten Sie aber am besten mit einem externen Anbieter wie DreamlabTechnologies, Sophos oder Infoguard zusammen.

Wer sind die Ansprechpersonen für Cybersecurity?

Machen Sie die Zuständigen für Cybersicherheit im Betrieb bekannt. Damit bauen Sie Hemmschwellen ab. Ihre Angestellten werden sich bei Problemen, Fragen und Unklarheiten eher bei den Spezialisten melden und nicht selbst etwas ausprobieren, das sich womöglich sogar kontraproduktiv auswirkt. Folgende Schritte helfen, dass die Mitarbeitenden die IT-Zuständigen kennen:

  • Geben Sie allen Angestellten die Kontaktdaten der IT-Ansprechpersonen. Richten Sie allenfalls eine spezielle E-Mail-Adresse ein, die von den IT-Ansprechpersonen betreut wird und an die Vorfälle im Zusammenhang mit Cybersecurity gemeldet werden können. 
  • Stellen Sie neu eintretenden Angestellten die IT-Verantwortlichen und die Ansprechpartner für Sicherheitsfragen am ersten Arbeitstag vor. Die Zusammenarbeit wird einfacher, wenn man sich persönlich kennt.
  • Sofern Sie einen regelmässigen Firmen-Newsletter versenden, schaffen Sie darin Platz für das Thema Cybersecurity. Stellen Sie beispielsweise die Ansprechpersonen mit Foto, Namen und Kontaktdaten vor. Auch eine Rubrik zu aktuellen IT-Vorfällen sowie Praxistipps zum Umgang mit Cybersecurity und anderen IT-Themen können interessant sein. «Success»-Storys – wenn nötig anonymisiert – zeigen, dass die Meldungen der Angestellten ernst genommen werden und zu einem guten Resultat führen.
  • Organisieren Sie eine regelmässige Sprechstunde bei den Ansprechpersonen aus der IT und erleichtern Sie damit den Mitarbeitenden den Zugang zu den Spezialisten.

IT-Vorfälle melden

Es genügt nicht, dass Ihre Angestellten Cyberrisiken besser erkennen, sie müssen auch lernen, diese regelmässig und strukturiert zu melden. In eine solche Meldung gehören Punkte wie:
Wer meldet?

  • Welches IT-System ist betroffen?
  • Wie wurde mit dem System gearbeitet?
  • Wann ist das Ereignis eingetreten?
  • Bei wem ist das Ereignis eingetreten – bei einem oder bei mehreren Mitarbeitenden?
  • Was ist passiert?
  • Welche Schäden sind eingetreten, welche sind noch möglich? 
  • Wer weiss bereits davon (intern und extern)?
  • Was ist der aktuelle Stand?

Gerade bei Cyberrisiken gilt: Lieber eine Meldung zu viel als eine zu wenig. Damit Ihre Angestellten Auffälligkeiten wirklich melden, müssen Sie es Ihnen so einfach wie möglich machen. Wichtig ist zudem, dass Ihre Angestellten wissen, dass sie bei gerechtfertigten Meldungen keine negativen Konsequenzen zu befürchten haben. Gleichzeitig sollten Sie aber auch klarstellen, dass missbräuchliche Meldungen und unbegründetes Anschwärzen von Kollegen nicht geduldet werden (mehr zum Thema Meldekultur lesen Sie unter «Compliance und Meldekultur»).