Informationssicherheit - Sicheres Verhalten am Arbeitsplatz
Die menschliche Komponente ist oft das schwächste Glied in der Sicherheitskette, und Social Engineering zielt genau darauf ab, indem es Vertrauen ausnutzt und zur Offenlegung sensibler
Informationen verleitet. Deshalb ist die Schulung über die Risiken und die Methoden der Angreifer ein unverzichtbarer Bestandteil jeder Sicherheitsstrategie.
Ein ständiges Bewusstsein für die Gefahren und das Wissen um den richtigen Umgang mit verdächtigen Anfragen können dazu beitragen, potenzielle Sicherheitslücken zu schließen. Indem jeder im Team
die Prinzipien der Informationssicherheit verinnerlicht und im Arbeitsalltag anwendet, wird ein Schutzschild gegenüber ständig wandelnden Bedrohungen durch Social Engineering aufgebaut.
Richtlinien für sicheres Verhalten am Arbeitsplatz
Passwortschutz
Wählen Sie starke Passwörter und halten Sie diese geheim. Ändern Sie Passwörter regelmäßig und verwenden Sie niemals dasselbe Passwort für verschiedene Dienste.
Vorsicht bei E-Mails
Seien Sie wachsam bei der Öffnung von E-Mail-Anhängen und beim Klicken auf Links. Selbst E-Mails von bekannten Absendern können gefährlich sein, falls deren Konten kompromittiert
wurden.
Schutz sensibler Daten
Vertrauliche Informationen sollten nicht offen auf dem Schreibtisch liegen gelassen werden. Verwenden Sie Bildschirmschoner mit Passwortschutz und sperren Sie Ihren Computer immer, wenn Sie
Ihren Arbeitsplatz verlassen.
Datensicherung
Sichern Sie regelmäßig wichtige Daten und stellen Sie sicher, dass Backups verfügbar und geschützt sind.
Physische Sicherheit
Achten Sie darauf, dass unbefugte Personen keinen Zugang zu Büroräumen erhalten, und melden Sie verdächtige Aktivitäten.
Sicherheitsrichtlinien
Befolgen Sie die IT-Sicherheitsrichtlinien Ihres Unternehmens und nehmen Sie regelmäßig an Schulungen teil, um Ihr Wissen über Informationssicherheit zu aktualisieren.
Mobile Geräte
Seien Sie vorsichtig bei der Nutzung von mobilen Geräten und öffentlichen Netzwerken. Verwenden Sie sichere Verbindungen und speichern Sie keine sensiblen Informationen auf Geräten, die
leicht gestohlen werden können.
Melden von Vorfällen
Informieren Sie sofort die IT-Sicherheitsabteilung, wenn Sie einen Sicherheitsvorfall vermuten.
Der Schutz von personenbezogenen Daten und Geschäftsinformationen ist ein zentrales Anliegen von Kreditinstituten, das die Zufriedenheit der Kunden, den ordnungsgemäßen Ablauf des Bankgeschäfts
und eine vertrauensvolle Zusammenarbeit der Mitarbeitenden gewährleistet. Die Verarbeitung personenbezogener Daten ist dabei an strikte gesetzliche Vorgaben gebunden.
Datenschutz-Grundverordnung (DSGVO)
Die DSGVO ist die primäre Rechtsgrundlage in der Europäischen Union für den Datenschutz. Sie regelt unter anderem:
Rechtsgrundlage der Datenverarbeitung
Daten dürfen nur auf der Basis von Einwilligung, Vertragsnotwendigkeit, rechtlichen Verpflichtungen oder berechtigtem Interesse verarbeitet werden.
Betroffenenrechte
Dazu gehören das Recht auf Auskunft, Berichtigung, Löschung und Widerspruch gegen die Verarbeitung.
Datenübertragbarkeit
Betroffene haben das Recht, ihre Daten in einem gängigen Format zu erhalten und zu einem anderen Dienstleister zu übertragen.
Datenschutz durch Technikgestaltung
Die sogenannten technischen und organisatorischen Maßnahmen (TOM) müssen so gestaltet sein, dass sie den Datenschutz von vornherein einbeziehen.
Bundesdatenschutzgesetz (BDSG) und Landesdatenschutzgesetze
Die nationalen Datenschutzgesetze wie das BDSG spielen eine wichtige Rolle bei der Anpassung der allgemeinen Regeln der DSGVO an die spezifischen Bedürfnisse und rechtlichen Rahmenbedingungen in
Deutschland.
Sie schließen Lücken und bieten Klarheit in Bereichen, die von der DSGVO offengelassen oder nur rahmenartig geregelt wurden. Durch diese Ergänzungen können sowohl Unternehmen als auch öffentliche
Stellen sicherstellen, dass sie den Datenschutz effektiv und im Einklang mit lokalen Anforderungen umsetzen. Dabei geht es nicht nur um den Schutz personenbezogener Daten, sondern auch um die
Gewährleistung der Rechte der Betroffenen, die durch diese nationalen Gesetze präzisiert und verstärkt werden.
Technische und Organisatorische Maßnahmen (TOM)
TOMs sind Sicherheitsmaßnahmen, die dazu dienen, die personenbezogenen Daten auf allen Stufen der Verarbeitung zu schützen. Dazu gehören unter anderem:
Zugriffskontrollen
Sicherstellen, dass nur berechtigte Personen Zugang zu den Daten haben.
Übermittlungskontrollen
Schutz der Daten bei der elektronischen Übertragung oder dem Transport.
Eingabekontrollen
Dokumentation, wer Daten wann und wie in Datenverarbeitungssysteme eingegeben, geändert oder entfernt hat.
Auftragskontrolle
Verarbeitung von Daten ausschließlich gemäß den Anweisungen des Verantwortlichen.
Verfügbarkeitskontrolle
Schutz der Daten vor zufälliger Zerstörung oder Verlust.
Trennungskontrolle
Trennung von Daten, die zu unterschiedlichen Zwecken erhoben wurden.
Um die Sicherheit vertraulicher Daten bei kurzzeitiger Abwesenheit vom Arbeitsplatz zu gewährleisten, ist es wichtig, geeignete Sicherheitsvorkehrungen zu treffen. Hier sind einige Schritte, die
Sie befolgen können, um Ihre Daten zu schützen:
Bildschirmsperre aktivieren
Bei Abwesenheit sollten Sie immer die Bildschirmsperre aktivieren, um zu verhindern, dass Dritte Ihre Daten einsehen können. Dies kann in der Regel durch Drücken einer bestimmten
Tastenkombination (z.B. Windows + L auf Windows-Betriebssystemen) erfolgen.
Passwortgeschützter Bildschirmschoner
Auf Windows-Computern können Sie unter "Systemsteuerung → Darstellung und Anpassung → Bildschirmschoner" einen passwortgeschützten Bildschirmschoner einrichten. Aktivieren Sie die Option
"Anmeldeseite bei Reaktivierung" für zusätzliche Sicherheit.
Session-Trennung bei Terminals
Wenn Sie mit Terminalservern arbeiten, sollten Sie beim Verlassen des Arbeitsplatzes immer Ihre Session trennen, um unbefugten Zugriff zu verhindern.
Nutzung von Sicherheitstokens
Viele Institute setzen zusätzlich zu Benutzernamen und Passwort sogenannte Sicherheitstokens ein, um die An- und Abmeldung am System zu sichern. Diese Tokens bieten eine
Zwei-Faktor-Authentifizierung, die ein höheres Maß an Sicherheit gewährleistet. Beim Verlassen des Arbeitsplatzes sollte das Sicherheitstoken immer mitgenommen und der Computer abgemeldet werden.
Sicherheitsmaßnahmen für mobile Geräte und Datenträger
Die Sicherheit von Informationen und Geräten ist auch außerhalb des Büros von entscheidender Bedeutung, vor allem wenn Mitarbeiter in der Lage sind, mobile Geräte oder Datenträger mit sich zu
führen. Hier sind Maßnahmen, die Sie ergreifen sollten, um diese Informationen und Geräte zu schützen:
Diebstahlschutz:
Mobile Geräte sollten so gesichert sein, dass sie nicht leicht entwendet werden können.
Nutzen Sie physische Sicherungsmöglichkeiten wie Sicherheitsschlösser oder Aufbewahrungstaschen mit Schlössern.
Verschlüsselung:
Stellen Sie sicher, dass alle Daten auf mobilen Geräten und Datenträgern verschlüsselt sind.
Verwenden Sie starke Verschlüsselungsprotokolle, die es Unbefugten erheblich erschweren, auf Ihre Daten zuzugreifen.
Vorsicht bei öffentlichen WLAN-Hotspots:
Vermeiden Sie, wenn möglich, die Nutzung öffentlicher WLAN-Netzwerke für geschäftliche Aktivitäten.
Wenn die Nutzung unumgänglich ist, stellen Sie sicher, dass eine sichere VPN-Verbindung (Virtual Private Network) verwendet wird.
Bluetooth-Sicherheit:
Deaktivieren Sie Bluetooth, wenn es nicht benötigt wird, um unbefugten Zugriff auf Ihre Geräte zu verhindern.
Verwenden Sie Bluetooth nur in sicheren Umgebungen.
Sichere Passwörter und Kennwörter:
Verwenden Sie starke Passwörter für alle Geräte und Konten.
Ändern Sie Passwörter regelmäßig und verwenden Sie niemals dasselbe Passwort für mehrere Dienste oder Geräte.
Aufbewahrung und Transport:
Tragen Sie mobile Geräte so bei sich, dass sie nicht leicht gestohlen oder verloren gehen können.
Überlegen Sie, ob die Mitnahme von mobilen Geräten auf Reisen tatsächlich notwendig ist und beschränken Sie dies auf ein Minimum.
Mobile Geräte und wechselbare Datenträger sind häufig Träger vertraulicher Informationen und daher besonders schutzbedürftig. Neben Laptops gibt es eine Vielzahl mobiler Geräte, die für
berufliche Zwecke genutzt werden und entsprechend gesichert werden sollten. Dazu gehören
Smartphones
Oft genutzt für E-Mails, Kontakte und Dokumente. Sie sollten immer mit einem starken Passcode gesichert sein und Verschlüsselungsmöglichkeiten nutzen.
Tablets
Ähnlich wie Smartphones werden Tablets oft für Präsentationen und den Zugriff auf vertrauliche Daten verwendet. Auch hier ist eine starke Passcode- und Verschlüsselungspolitik
notwendig.
Notebooks
Sie bieten Zugang zu Firmennetzwerken und speichern wichtige Dokumente. Sie sollten mit verschlüsselten Festplatten und Sicherheitssoftware ausgestattet sein.
Digitalkameras
Können vertrauliche Bilder oder Videos enthalten und sollten daher bei Nichtgebrauch sicher aufbewahrt werden.
Zusätzlich zu diesen Geräten sollten Sie wechselbare Datenträger nicht vergessen:
USB-Sticks
Klein und tragbar, aber oft Ursprung für Datenverluste und -diebstähle. Eine Verschlüsselung ist auch hier unerlässlich.
CDs, DVDs, Blu-ray
Weniger häufig verwendet, aber wenn sie sensible Daten enthalten, müssen sie nach Gebrauch sicher aufbewahrt oder professionell vernichtet werden.
Wechselbare Speicherkarten
Oft in Kameras und anderen mobilen Geräten verwendet, sollten nicht unbeaufsichtigt gelassen werden.
Externe Festplatten
Können große Mengen sensibler Daten enthalten und müssen sowohl physikalisch als auch digital (durch Verschlüsselung) gesichert werden.
Beim mobilen Arbeiten entstehen neue Sicherheitsrisiken, da die räumliche Trennung vom sicheren Unternehmensnetzwerk dazu führt, dass sensible Informationen außerhalb der üblichen Schutzmaßnahmen
bearbeitet werden. Dies erhöht das Risiko für verschiedene Arten von Sicherheitsbedrohungen:
Ausspähen von Informationen
Durch die Verwendung offener oder unsicherer Netzwerke können vertrauliche Informationen durch Dritte eingesehen werden. Dies gilt für Texteingaben, Datenübertragungen und alle Informationen,
die auf einem Bildschirm angezeigt werden und von neugierigen Blicken erfasst werden könnten.
Diebstahl oder Verlust des Gerätes oder Datenträgers
Mobile Geräte und Wechseldatenträger wie USB-Sticks und externe Festplatten sind besonders anfällig für Diebstahl oder Verlust, was zum unberechtigten Zugriff auf darauf gespeicherte Daten
führen kann.
Datenzugriff und -manipulation
Durch unsichere Verbindungen wie öffentliches WLAN oder ungesicherte Bluetooth-Verbindungen können Angreifer auf Daten zugreifen oder diese manipulieren.
Eindringen von Schadsoftware
Unsichere Netzwerke können auch als Einfallstore für Viren, Würmer und Trojaner dienen, die sich in das Gerät einschleusen und Daten beschädigen oder entwenden.
Datenverlust durch unzureichende Sicherungs- bzw. Backup-Möglichkeiten
Ohne regelmäßige und zuverlässige Backups können Daten, die auf mobilen Geräten gespeichert sind, leicht verloren gehen – sei es durch technisches Versagen oder Benutzerfehler.
Wenn Sie mobile Geräte oder Datenträger verwenden, sind bestimmte Sicherheitsvorkehrungen unerlässlich, um sowohl die Geräte selbst als auch die darauf gespeicherten Informationen zu schützen.
Hier sind einige wesentliche Sicherheitsmaßnahmen
Gleichbleibende Vorsichtsmaßnahmen
Behandeln Sie mobile Geräte und Datenträger mit der gleichen Sorgfalt und Vorsicht wie am Arbeitsplatz. Stellen Sie sicher, dass sie stets sicher aufbewahrt werden.
Nie unbeaufsichtigt lassen
Lassen Sie mobile Geräte niemals unbeaufsichtigt. Ein ungesichertes Gerät kann leicht gestohlen werden oder es kann unberechtigter Zugriff erfolgen.
Keine Leihe von Geräten
Vermeiden Sie es, Ihre mobilen Geräte auszuleihen, um die Kontrolle über die Zugriffsberechtigungen und die gespeicherten Informationen zu behalten.
Sicherer Aufbewahrungsort
Wenn Sie ein Gerät vorübergehend nicht benötigen, deponieren Sie es an einem sicheren Ort, wie einem Zimmertresor im Hotel.
Daten auf Reisen minimieren
Nehmen Sie auf Geschäftsreisen nur die unbedingt notwendigen sensiblen Daten mit.
Verschlüsselung
Transportieren Sie sensible Daten stets verschlüsselt, um sicherzustellen, dass sie im Falle eines Diebstahls oder Verlusts nicht zugänglich sind.
Schutzmaßnahmen beachten
Sorgen Sie für aktuellen Virenschutz, Firewall und regelmäßige Sicherheitsupdates, um sich gegen Malware und unerwünschten Zugriff zu schützen.
Ausschalten von Funkverbindungen
Deaktivieren Sie Bluetooth oder WLAN, wenn diese nicht benötigt werden, um unberechtigte Zugriffe zu verhindern.
Eine umfassende Datensicherungsstrategie beinhaltet regelmäßige und automatisierte Backups wichtiger Daten auf verschiedene Medien und Standorte, um die Resilienz gegenüber Datenverlust zu
maximieren. Es empfiehlt sich, die 3-2-1-Regel zu befolgen: Mindestens drei Kopien der Daten auf zwei verschiedenen Medien speichern, wobei eine Kopie außerhalb des Unternehmens aufbewahrt wird,
um Risiken wie Feuer oder Diebstahl zu mindern. Verschlüsselung der Backup-Daten trägt zusätzlich zum Schutz vor unbefugtem Zugriff bei. Darüber hinaus sollte regelmäßig die Integrität und
Wiederherstellbarkeit der gesicherten Daten überprüft werden, um sicherzustellen, dass im Notfall eine schnelle und vollständige Datenwiederherstellung möglich ist.
Folgende Maßnahmen sind für eine effektive Datensicherung empfehlenswert:
Regelmäßige Backups
Nutzen Sie Backup-Software, die automatisch und regelmäßig Kopien Ihrer Daten erstellt.
Speichern auf externen Medien
Bewahren Sie Kopien Ihrer Daten auf Speichersticks, DVDs, externen Festplatten oder in einer gesicherten Cloud-Umgebung auf.
Getrennte Lagerung
Lagern Sie die Backup-Medien getrennt von Ihren Computern, idealerweise in einem anderen Raum, und sorgen Sie dafür, dass diese verschlüsselt sind, um den Schutz zu erhöhen.
Zum sicheren Löschen von Informationen auf Datenträgern gibt es verschiedene Methoden, die je nach Datenträger und dem Schutzbedarf der zu löschenden Daten ausgewählt werden sollten. Datenträger
wie CDs und DVDs, die nicht wiederbeschreibbar sind, können nicht einfach nur gelöscht, sondern müssen physisch zerstört werden, um die darauf gespeicherten Informationen zu entfernen und einen
sicheren Datenschutz zu gewährleisten.
Es ist auch wichtig, nicht nur an digitale Datenträger zu denken, sondern auch an physische Dokumente, wie:
EDV-Drucklisten,
Akten,
Aktenauszüge,
Kontoauszüge und ähnliche Unterlagen.
Für die Vernichtung dieser physischen Dokumente sollte ein Aktenvernichter verwendet werden, der dem gewünschten Sicherheitsniveau entspricht, zum Beispiel gemäß der DIN-Sicherheitsstufen für die
Vernichtung von Datenträgern. In manchen Fällen, insbesondere bei sensiblen oder geheimen Informationen, kann auch eine professionelle Vernichtung durch ein spezialisiertes Unternehmen
erforderlich sein.