Hänge Kontaktdaten zur Meldung von IT-Sicherheitsvorfällen aus

Für Geschäftsführer, Unternehmer und IT-Verantwortliche in kleinen und mittleren Unternehmen (KMU) bzw. im Mittelstand

Themen: IT-Sicherheit, IT-Sicherheitsvorfälle, IT-Notfälle, IT-Notfallmanagement, Schadsoftware, Cyber-Angriffe

Sicherheitsvorfälle müssen so schnell wie möglich gemeldet werden, damit die Informationen darüber an der richtigen Stelle zusammenfließen und Abwehrmaßnahmen eingeleitet werden können. Mache es deshalb Deinen Mitarbeitern so einfach wie möglich, solche Vorfälle zu melden.

Wie die anderen Notrufnummern aushängen

Alle Mitarbeiter – auch die leitenden und auch Du als Chef – müssen sich immer darüber bewusst sein, welche Bedeutung dieses Thema hat. Es muss euch allen klar sein, dass ein Hacker-Angriff im Extremfall euren gesamten Laden in den Abgrund reißen kann. Leider reicht es nicht aus, wenn Du das einmal sagst, das ist schnell wieder vergessen. Jeder muss es verinnerlichen und das geht nur durch permanente Wiederholung und Erinnerung. So oft, bis es allen zu den Ohren herauskommt.

Jeder muss die typischen Handlungen kennen, die dazu führen können, dass Hacker ins Unternehmensnetz eindringen. Einen falschen Mail-Anhang öffnen, einen blöden Link klicken, einen fremden USB-Stick einstecken usw. Dieses Wissen ist nicht nur wichtig, um die Handlungen zu vermeiden. Es ist auch wichtig, damit ein Mitarbeiter sich meldet, sollte er versehentlich doch so etwas getan haben.

Damit geht einher: Es wäre fatal, wenn ein Mitarbeiter aus Angst vor drakonischen Strafen oder herabwürdigenden Kommentaren einfach seinen Mund halten würde. Es ist richtig, zahlreiche Unternehmen im Mittelstand sind gerade durch einen dominanten Gründer und seine straffe Führung erfolgreich geworden. Aber hier muss die Meldung und die Abwehr des Cyber-Angriffs im Vordergrund stehen, damit daraus keine Unternehmenskrise wird. Und sorry: Wenn ein Mitarbeiter Schrott baut, dann liegt das eben auch an Dir, denn Du hast ihn eingestellt, eingelernt und geführt. Also immer sachlich bleiben und dafür entschlossen handeln.

Angriffe auf die IT oder Betrugsversuche im Sinne von CEO Fraud können über mehrere Stufen erfolgen und mehrere Personen einbeziehen. Für den Einzelnen ist es vielleicht nur eine kleine Merkwürdigkeit oder Unstimmigkeit. Wenn die Informationen darüber aber an einer Stelle zusammenlaufen, würde man merken, dass sich die Merkwürdigkeiten plötzlich häufen.

Was solltest Du tun?

  • Schaffe einen Verantwortlichen für alle Fragen der IT-Sicherheit. Gehe nicht davon aus, dass es die IT ohnehin schon „nebenher“ macht, sondern benenne die Person und ihre Verantwortlichkeit explizit.
  • Schaffe eine Vertretungsregelung für Urlaub, Krankheit, Schulungen u.ä.
  • Etabliere für IT-Sicherheitsvorfälle eine 24-Stunden-Erreichbarkeit. Denn jede Stunde zählt. Es kann ja dabei festgelegt werden, dass diese Erreichbarkeit nur in solchen Notfällen genutzt wird, jedoch nicht bei anderen Anlässen.
  • Schaffe Kontaktmöglichkeiten zur Meldung von Sicherheitsvorfällen, z.B. telefonisch, per Mail oder per Ticket. In größeren Unternehmen wird ohnehin der Help Desk der erste Kommunikationskanal sein.
  • Erstelle Aushänge oder Plakate mit der Aufforderung zur Meldung von Sicherheitsvorfällen, mit Beispielen und Kontaktdaten. Hänge sie auf an Infowänden, Arbeitsplätzen und in Pausenräumen.
  • Schaffe eine Kultur, in der die Mitarbeiter von sich aus eine hohe Bereitschaft haben, Auffälligkeiten zu melden und in der sie auch bereit sind, Fehler zuzugeben.
  • Weise Deine Mitarbeiter ein: Auffälligkeiten sofort melden und lieber einmal zu viel als zu wenig.
  • Erinnere sie immer wieder daran. Anfangs alle zwei Tage, dann einmal pro Woche und später einmal pro Monat.
  • Zeige zusammen mit dem Verantwortlichen, dass ihr jede noch so kleine Meldung wichtig nehmt.
  • Teste die Wirksamkeit der Maßnahmen, z.B. durch einen externen Dienstleister, der Phishing-Testmails verschickt. Oder lege selbst draußen ein paar frische USB-Sticks aus, auf denen interessante Beschriftungen wie „Gehälter“ angebracht sind.

Fang heute an

Hey, mach jetzt den ersten Schritt. Rufe Deinen IT-Verantwortlichen an und bespreche es. Setze es sofort um.

Bert Kondruß, Geschäftsführer KonBriefing Research

Bert Kondruß
Senior Analyst

Bert ist Senior Analyst bei KonBriefing.com. Nach dem Studium der Elektrotechnik und Abschluss als Diplom-Ingenieur ist er seit über 30 Jahren in verschiedenen Fach- und Führungspositionen in der IT tätig. Seine Fokusthemen sind IT-Sicherheit und Compliance. Bert lebt in der Region Stuttgart

Vernetze Dich mit ihm auf LinkedIn oder Xing:

Wie immer sind alle Geschlechter gleichermaßen gemeint, auch wenn ich zur sprachlichen Vereinfachung nur die männliche Form nutze. Und wenn wir uns im realen Leben begegnen sollten, werde ich Dich natürlich ganz anständig mit „Sie“ anreden 🙂