Täglich tauchen neue Viren und Phishing-Mails im Netz auf, die von den Virenscannern noch nicht erkannt werden können. KMU sollten deshalb einen IT-Verantwortlichen bestimmen. Dieser muss sämtliche Software permanent auf dem aktuellen Stand halten. Doch auch wenn die Aktualisierung automatisch erfolgt, zum Beispiel durch einen externen Anbieter, muss sich jeder Anwender verantwortungsbewusst im Netz bewegen. Dazu benötigt er die Kompetenz, Risiken erkennen und vermeiden zu können. Denn die grösste Gefahr für die Firmen-IT droht den Unternehmen von sorglosen Mitarbeitenden. Passwörter auf Post-its am Arbeitsplatz sind ein No-Go, ebenso das Verlassen des eigenen Computers ohne geeignete Schutzmassnahme. Fahrlässig ist es, E-Mail-Anhänge unbekannter Absender zu öffnen und schwache Passwörter zu verwenden. Eine veraltete, fehlerhafte Software ist unbedingt zu vermeiden. Zudem sollte man Dritten, zum Beispiel Angehörigen oder Bekannten, auf keinen Fall einen Zugang zum System ermöglichen.
Jeder ist Verantwortungsträger
Jeder Mitarbeitende muss sich bewusst sein, warum die Einhaltung der Regeln so wichtig ist und welche Gefährdungen (Zeit- und Kostenaufwand, Imageschaden) ein Verstoss gegen betriebliche Regelungen mit sich bringt. Diese Kompetenz ist eine Sicherheitsgarantie für jedes Unternehmen. Beim Eintritt sollte jeder Mitarbeitende eine Erklärung für den Umgang mit E-Mail, Internet und Smartphone unterzeichnen, um die erforderliche Akzeptanz und Sorgfalt zu erreichen. Die Verantwortung für die IT-Sicherheit liegt also bei jedem einzelnen Mitarbeitenden. Sie kann nicht an die IT-Abteilung, einen externen IT-Experten oder den Datenschutzbeauftragten abgegeben werden. Ohne Pflichterfüllung jedes einzelnen Anwenders kann nicht wirksam verhindert werden, dass Viren und Trojaner ins Firmennetzwerk eindringen und so Unbefugte Zugriff auf Firmendaten erhalten.
Anwender sensibilisieren
Für die Sensibilisierung der Mitarbeitenden haben Firmen viele Möglichkeiten. Dazu gehören das Einrichten eines entsprechenden Bildschirmschoners, eine regelmässige Kolumne in der Mitarbeiterzeitung oder Merkblätter mit sicherheitsrelevanten Richtlinien und Verhaltensweisen, zum Beispiel zum datenschutzkonformen Telefonieren, zum Thema «Was tun, wenn die Ferienvertretung kommt?» oder zum Umgang mit mobilen Geräten wie Notebook, Tablet oder Smartphone. Sinnvoll, wenn auch mit etwas finanziellem Aufwand verbunden, ist oft eine Schulung zur Medienkompetenz der Mitarbeitenden, eine Plakataktion mit Fotos von Sicherheitslücken oder das Entwickeln eines Passwort-Merktools.
Einzelne Computer als Türöffner
Awareness-Experten sind sich einig: Jedem Anwender muss seine Rolle in der Organisation als latentes Sicherheitsrisiko verdeutlicht werden, damit er durch pflichtbewusstes Verhalten seinen Teil zum Schutz der Firmen-IT beitragen kann. Die meisten Anwender unterliegen dem Irrtum, dass die Daten auf ihrem Rechner «sowieso für andere uninteressant» seien. Ein Irrtum, der den Datendieben das Leben leicht macht. Es stimmt zwar, dass sich Kriminelle im Web selten für die Daten eines Mitarbeitenden interessieren. Aber dessen Computer fungiert als «Türöffner» für den Zugriff auf die Daten des Firmensystems.