Noch schnell ein Mail bearbeiten, ein vertrauliches Dokument ausdrucken oder sich abends die Unterlagen aufs private E-Mail schicken: In solchen Situationen kann es passieren, dass unabsichtlich die IT-Sicherheit gefährdet wird. Aber auch aus kleinen Fehlern im Umgang mit IT und Daten können für Ihr Unternehmen grosse Probleme entstehen. Zum Beispiel beim Öffnen eines mit Viren infizierten E-Mail-Anhangs, wenn ein vertrauliches Dokument herumliegt oder E-Mails unverschlüsselt verschickt werden.

Für wirksamen Cyberschutz braucht es alle im Unternehmen

Diese fünf Regeln helfen Ihnen als Mitarbeiter:in beim sicheren Umgang mit Daten und IT-Infrastruktur im Unternehmen:

1. Starke Passwörter verwenden

Was ist ein starkes Passwort? Ein starkes, respektive sicheres Passwort sollte verschiedene Merkmale erfüllen:

• Je länger das Passwort, desto besser. Ein langes Passwort darf weniger kompliziert sein. Es braucht mindestens 12 verschiedene Zeichen, davon mindestens ein Klein- und ein Grossbuchstabe, eine Zahl und ein Sonderzeichen.
• Empfehlenswert ist auch eine Reihe von Wörtern, ein «Pass-Satz» sozusagen, wie «Blume, Hoffnung, Sonne». Dabei sollte kein inhaltlicher Bezug zu Ihnen und zum geschützten Konto bestehen, damit die Wörter nicht einfach zu erraten sind.
• Das gleiche Passwort darf immer nur einmal verwendet werden. Für jedes andere Konto braucht es ein neues.
• Bewahren Sie Zugangsdaten immer geschützt auf.
• Ändern Sie Ihre Passwörter regelmässig.

2. Mit E-Mails vorsichtig umgehen

Phishing, CEO-Fraud und wie die Hackermethoden alle heissen: Cyberattacken auf Unternehmen beginnen häufig mit einem E-Mail an die Mitarbeitenden. Mails sind für Hacker ein besonders beliebtes Mittel, um ein System mit Schadsoftware zu infizieren oder um Daten und Passwörter zu stehlen. Beachten Sie deshalb:

• Überprüfen Sie die Identität des Absenders genau. Heisst der Lieferant wirklich so? Ist das sein Schreibstil?
• Reagieren Sie nicht auf Druckversuche unbekannter oder verdächtiger Absender:innen. Geben Sie keine sensiblen Daten wie Passwörter oder Zugangsdaten zu Accounts preis.
• Öffnen Sie im Zweifelsfall weder E-Mail-Anhänge noch mitgeschickte Internetlinks.
• Reagieren Sie auch nie auf Mails, die nach privaten Daten wie PIN-Codes oder Kreditkartennummern fragen. Banken, Versicherungen, Telekommunikationsanbieter etc. fragen Sie nie nach solchen Daten per Mail oder SMS.
• Seien Sie misstrauisch, auch wenn es sich um Ihnen bekannte Firmen oder Institutionen handelt. Hacker imitieren gern deren Markenauftritt.

3. Privates und Berufliches trennen

• Schicken Sie sich aus Datenschutzgründen keine geschäftlichen E-Mails auf Ihr privates E-Mail-Konto und auch nicht umgekehrt.
• Trennen Sie zwischen privaten und geschäftlichen Speichermedien. Verwenden Sie unterschiedliche externe Festplatten und Cloud-Lösungen sowie idealerweise keine USB-Sticks.
• Verwenden Sie für den Zugriff auf geschäftliche Daten die sicheren Firmengeräte. Melden Sie sich aber auch damit nicht bei einem WLAN an, das nicht geschützt ist, zum Beispiel bei einem Gratis-Wifi am Bahnhof oder in einem Café. Lassen Sie die Firewall immer aktiviert.
• Sie haben einen USB-Stick geschenkt bekommen? Verwenden Sie ihn nicht für Firmengeräte, ohne dass er auf seine Sicherheit geprüft wurde.

4. Auf Diskretion achten

Vertrauliche Daten sollten zu jedem Zeitpunkt vertraulich bleiben. Denken Sie daran:

• Wenn Sie am Laptop oder einem anderen Gerät mit sensiblen Daten arbeiten, hilft ein Schutzfilter, der den Bildschirm von der Seite oder von oben unlesbar macht.
• Achten Sie darauf, keine heiklen geschäftlichen oder privaten Daten im Internet zu veröffentlichen, zum Beispiel über Social Media. Denn solche Informationen sind für Betrüger interessant.
• Wenn Sie den Arbeitsplatz verlassen – auch nur kurz – sperren Sie den Bildschirm. So kann sich niemand Zugriff auf Ihre Daten verschaffen.
• Damit der Laptop nicht unverhofft den Besitzer wechselt, tut ein Laptop-Sicherungskabel einen guten Dienst.
• Hat Ihr Arbeitgeber Richtlinien zur Klassifizierung und zum Umgang mit vertraulichen Daten definiert? Wenden Sie diese konsequent an.

5. Aktiv werden im Verdachtsfall

Wenn etwas passiert, sprechen Sie darüber. Je schneller Schutzmassnahmen ergriffen werden können, desto besser.

• Melden Sie ein verdächtiges E-Mail auf Ihrem Firmen-Account der verantwortlichen Person für IT-Sicherheit in Ihrem Unternehmen.
• Ein Firmengerät wurde gestohlen oder der Laptop am Zoll konfisziert? Auch das hat Konsequenzen für die IT-Sicherheit. Tragen Sie den Kontakt der verantwortlichen Person für IT-Sicherheit in Ihrem Unternehmen immer bei sich.

Falls Sie Opfer von Cyber-Mobbing werden, sollten Sie unter Umständen Ihre Firma informieren. Sichern Sie auf jeden Fall Beweise mit Screenshots, blockieren Sie den Täter oder die Täterin und informieren Sie die Polizei.

Weiterführende Informationen:

• Bundesamt für Cybersicherheit (BACS) mit aktuellen Informationen über Cyberkriminalität in der Schweiz sowie der Meldestelle für Cyberattacken
• Cybercrimepolice.ch: Die Kantonspolizei Zürich publiziert tagesaktuelle Informationen und Warnungen über Cyberkriminalität.
• ibarry.ch: die Plattform für Internet-Sicherheit der Schweizer Wirtschaft und Behörden.
• Cyberabwehr stärken: Mit dem Cyber-Sensibilisierungstraining der Mobiliar für Mitarbeitende
• Unterstützung, falls doch etwas passiert: Unsere Cyberversicherung für Unternehmen