09.12.2019

Weltweiter Computer Security Day - Darauf sollten Computernutzer achten

In Zeiten, in denen wir es gewohnt sind, einen Großteil aller Arbeiten am Computer zu erledigen, spielt Computersicherheit eine entscheidende Rolle. Das umfasst die Sicherheit von Produktionsabläufen, ebenso wie den Schutz von persönlichen Daten. Nicht nur Cyberangriffe sind ein Problem, sondern beispielsweise auch potentielle Nachlässigkeit bei Passwörtern und Account-Zugängen.

Der internationale Computer Security Day geht auf eine Initiative der amerikanischen Association for Computer Security Day zurück, die in den 1980ern die Idee hatte, um dem Thema Computersicherheit einen breiteren Raum in der Öffentlichkeit einzuräumen. Schließlich gewann der Computer spätestens in den 1980ern immer größere Bedeutung in zahlreichen Wirtschaftsbereichen, da die Technologie auch für kleinere Unternehmen und Privatleute bezahlbarer wurde. Heute ist das Thema zwar in aller Munde, die Risiken sind dadurch aber nicht geringer geworden.

„Unternehmen fällt es nach wie vor schwer, IT-Sicherheit in ausreichendem Maße zu realisieren. Doch CIOs können mit einfachen Maßnahmen etwas gegen diese Schwachstellen tun“, sagt Shanice Taubert, die sich bei head for work unter anderem mit diesem Thema befasst hat. Der erste Schritt ist häufig die richtige Kommunikation: Statt komplizierter und unverständlicher Fachbegriffe, sollten IT- und Cyber-Spezialisten eine Sprache verwenden, die auch die anderen Mitarbeiter im Unternehmen verstehen. „Oft wissen Geschäftsführungen zwar um die Bedeutung von IT-Sicherheit, doch in den meisten Fällen fehlt ihnen schlichtweg die umfassende Kenntnis darüber.“ Gleiches gilt für Mitarbeiter. Das Thema besser zu erklären und so Unternehmensleitung und Mitarbeiter zu sensibilisieren, steht daher an erster Stelle.

Datenschutz als Unternehmensaufgabe*

In vielen Fällen setzen Unternehmen immer noch den falschen Fokus oder sind schlichtweg nicht breit genug aufgestellt. „Es fehlt eine echte Strategie, wenn es darum geht, die sensiblen Daten des Unternehmens zu schützen“, sagt Shanice Taubert. Dabei ist gerade der Schutz personenbezogener Daten eine rechtlich-verbindliche Vorgabe. Das betrifft Daten über Mitarbeiter ebenso wie die Daten potentieller Kandidaten in einem Bewerbungsverfahren. Unternehmen sollten sich hier immer über die aktuell geltende Gesetzeslage informieren.

Was können Unternehmen also besser machen? Keinen Ansatz für Cybersicherheit zu haben ist ebenso fatal, wie den falschen Ansatz zu verfolgen, sagt Taubert: „Es sollte davon abgesehen werden, für jede neue Bedrohung, jeden neuen Angriffsvektor und jede neue Anforderung ein neues Tool einzusetzen.“ Denn das sorgt für mangelnde Übersichtlichkeit, hohe Kosten und eine fehlenden Kommunikation zwischen den einzelnen IT-Lösungen, da diese rein technisch oft nicht aufeinander abgestimmt sind. So hat man einen großen technischen und finanziellen Aufwand, die Wirkung bleibt aber vergleichsweise gering.

Cybersicherheit – das sollten Unternehmen beachten:

Als ersten Schritt sollten Unternehmen die folgenden Aspekte berücksichtigen und in Angriff nehmen:

  • Ein regelmäßiges Backup: „Wie oft das geschehen sollte, hängt davon ab, wie wichtig Ihnen Ihre Daten sind“, sagt Shanice Taubert. Grundsätzlich sollten die Backup-Daten auf einer externen Festplatte und damit getrennt vom PC gespeichert werden, so dass sie vor Cyberangriffen oder Systemabstürzen geschützt sind.

  • Ein sicheres Passwort: Ein sicheres Passwort umfasst 12 Zeichen und beinhaltet Zahlen und Sonderzeichen. Keinesfalls sollte das Passwort ein sprachlicher Begriff oder ein Namen sein. Es reicht auch nicht aus, ein einziges Passwort für alle Accounts zu haben. „Findet ein Hacker einen Zugangscode, kann er gleich auf alle Accounts zugreifen“, sagt Taubert. Und das ist unbedingt zu vermeiden.

  • Sichern Sie Ihre Router gegen Hackerangriffe ab.

  • Feste Richtlinien: Unternehmen sollten festlegen, wie mit dem Thema Computersicherheit intern umzugehen ist und sollten die Mitarbeiter entsprechend schulen.

  • Hardware sichern! Es klingt vielleicht selbstverständlich, aber auch das ist Teil vom Computersicherheit: Hardware – sei es im Büro oder der Laptop unterwegs – muss gegen Diebstahl gesichert sein. Für Laptops gibt es beispielsweise spezielle Schlösser, um sie bei Konferenzen oder der Arbeit im Zug oder Café an Tischen festzuschließen. Diebstahl geht schnell: zwei Minuten nicht aufgepasst und der Laptop mit sensiblen Daten ist verschwunden.

  • Regelmäßige Software-Updates, vor allem für Anti-Viren-Programme, Firewall und Spamfilter.

  • Hardware-Pflege: Krümel auf der Tastaturen, der umgekippte Kaffeebecher auf dem Schreibtisch, Staub im Filter... Es hilft nichts, wenn man seine Daten sorgfältig sichert, dann aber sorglos mit dem Equipment umgeht. Ist ein Gerät erst einmal defekt, besteht die Gefahr, dass sich auch die Daten nicht mehr retten lassen. IT-Abteilungen sollten aber immer auf den Notfall vorbereitet sein und Ersatzkabel, neue Tastaturen etc. bereithalten.

Wer sich an diese recht einfachen Grundregeln hält, hat bereits den ersten erfolgreichen Schritt getan – hin zu einem verantwortungsvollen Umgang mit Daten und größerer Computersicherheit.

*Datenschutz im Bewerbungsverfahren - Unternehmenspflichten Jede Verarbeitung von personenbezogenen Daten muss sich aufgrund des Verbots mit Erlaubnisvorbehalts auf eine Rechtsgrundlage stützen. Im Bereich der Mitarbeiterdaten sieht die DSGVO die Öffnungsklausel des Art. 88 Abs. 1 DSGVO vor, von der der Gesetzgeber in § 26 BDSG Gebrauch gemacht hat. Nach § 26 Abs. 1 BDSG dürfen Daten von Beschäftigten verarbeitet werden, wenn dies dem Zweck der Entscheidung über ein Beschäftigungsverhältnis dient. Der § 26 Abs. 8 Satz 2 BDSG nennt hier auch ausdrücklich Bewerberinnen und Bewerber. Für die grundlegenden Tätigkeiten innerhalb des Bewerbungsverfahrens, wie das Sichten der Bewerbungsunterlagen oder das Einladen zum Vorstellungsgespräch ist daher § 26 Abs. 1 BDSG die einschlägige Rechtsgrundlage. Jedoch kann in einigen Fällen bei der Verarbeitung von Bewerberdaten, eine Einwilligung des Bewerbers nach § 26 Abs. 2 BDSG erforderlich sein. Dies kann zum Beispiel der Fall sein, wenn ein Bewerber für eine mögliche spätere Zusammenarbeit in einen Bewerberpool aufgenommen werden soll.