Datenschutz

Das Bewusstsein der Mitarbeiter als Schlüssel für IT-Sicherheit und Datenschutz im Unternehmen

Aktualisiert am 27/10/2023

Mitarbeiter sind eine der grössten Schwachstellen, wenn es um IT-Sicherheit und Datenschutzverletzungen in Unternehmen geht.

Ob Unternehmen einem Hacker zum Opfer fallen, der sich als CEO des Unternehmens ausgibt, vertrauliche Dokumente im Drucker liegen lassen oder eine E-Mail mit sensiblen Informationen an den falschen Empfänger senden – die meisten IT-Sicherheitslücken und Datenverletzungen werden durch menschliches Versagen verursacht. Das bedeutet, dass die Tausende von Franken, die in modernste IT-Sicherheitstools investiert werden, durch einen einzigen unbedachten Klick auf eine Phishing-E-Mail zunichte gemacht werden können. 

Um diese IT-Sicherheitsrisiken zu verringern, wird in Schulungen zur IT-Sicherheit und zum Datenschutz die Bedeutung des Datenschutzes für das Unternehmen und die Rolle jedes Mitarbeiters beim Schutz persönlicher Daten betont. Datenschutz betrifft alle Aspekte eines Unternehmens, was bedeutet, dass die Mitarbeiter die Bedrohungen der IT-Sicherheit und des Datenschutzes verstehen, mit den vorhandenen Sicherheitsmassnahmen vertraut sein und ihre Aufgaben im Falle einer Datenschutzverletzung kennen müssen.

In diesem Blogbeitrag gehen wir auf die wichtigsten Gründe für eine Sensibilisierung der Mitarbeiter zum Thema Datenschutz ein und erklären, worauf es bei der Mitarbeiterschulungen ankommt.

Warum ist ein IT-Sicherheits- und Datenschutz-Bewusstsein für Mitarbeiter wichtig?

Die vier Hauptgründe, warum wir empfehlen eine Datenschutz-Bewusstseins-Schulung für Mitarbeiter durchzuführen, sind:

1. Das Risiko von erfolgreichen Hackerangriffen und Datenschutzverletzungen minimieren

Durch die Durchführung regelmässiger IT-Sicherheits- und Datenschutzschulungen können Unternehmen eine Datenschutzkultur für das gesamte Unternehmen aufbauen. Wenn sich die Mitarbeiter der Risikofaktoren bewusst sind, die zu IT-Sicherheits- und Datenschutzverletzungen führen können, ist die Wahrscheinlichkeit geringer, dass sich Personen mit bösen Absichten Zugang zu vertraulichen Unternehmensinformationen verschaffen, Systeme kapern oder Kundendaten offenlegen.

2. Vertrauen bei Geschäftspartnern und Kunden aufbauen

Mit dem Inkrafttreten der EU-Datenschutzgrundverordnung (DSGVO) hat das Bewusstsein für den Datenschutz stark zugenommen. Geschäftspartner und Kunden, die Daten mit anderen Unternehmen teilen, machen sich zunehmend Sorgen um die Sicherheit ihrer Daten. Vertrauen ist der Treibstoff eines jeden Geschäfts, und eine Kultur des Datenschutzes ist im Grunde genommen eine kundenzentrierte Kultur. Gut geschulte Mitarbeiter können neue Geschäftsmöglichkeiten realisieren, indem sie Geschäftspartnern und Kunden zeigen, dass die Vertraulichkeit, Integrität und Verfügbarkeit ihrer Daten geschützt werden.

 3. Einhaltung von Datenschutzgesetzen 

Die neue revidierte Version des Bundesgesetzes über den Datenschutz (DSG) in der Schweiz, die DSGVO in der EU und verschiedene Datenschutzgesetze auf der ganzen Welt sehen hohe Strafen im Falle von Datenverletzungen vor. Es ist daher wichtig, dass Mitarbeiter die Bedeutung des Schutzes personenbezogener Daten verstehen, mit den Richtlinien vertraut sind und die Verfahren in die Praxis umsetzen.

4. Engagement für den Datenschutz demonstrieren

Rechenschaftspflicht ist ein Grundprinzip der DSGVO. Die Durchführung von Mitarbeiter-Datenschutzschulungen zeigt das Engagement und die Verpflichtung des Unternehmens zum Datenschutz. Aufsichtsbehörden und Geschäftspartnern kann auf Anfrage ein Nachweis über die Mitarbeiterschulung vorgelegt werden.

Was muss jeder Mitarbeiter wissen?

Während bestimmte Rollen, wie z. B. die Personal- oder IT-Entwicklung, zusätzliche Schulungen benötigen, da sie durch ihre Funktion besondere Verantwortlichkeiten haben, haben wir eine Liste der wichtigsten Anforderungen zusammengestellt, die jeder Mitarbeiter kennen sollte. 

1. Regelmässig Updates für Software installieren

Jede Software, die die Mitarbeiter täglich nutzen, benötigt regelmässige Sicherheitsupdates. Ohne diese besteht für jedes Gerät die Gefahr, ein gefährlicher Zugangspunkt für Malware oder eine Quelle für Datenverletzungen zu werden. Unternehmen sollten sicherstellen, dass die Mitarbeiter über die Wichtigkeit von Software-Updates informiert sind.

2. «Social-Engineering» Hackangriffe erkennen

Die meisten Hackerangriffe auf Daten beginnen mit einem erfolgreichen «Social-Engineering-Angriff». Bei einem Social-Engineering-Angriff verwendet ein Hacker eine gefälschte Identität oder gibt sich als Person aus, um Zugang zu Unternehmenssystemen zu erhalten. Beispielsweise kann ein Mitarbeiter eine E-Mail von einer gefälschten Adresse im Namen des CEO oder CFO erhalten, in der dieser den Zugangscode zu oder einfach eine Kopie von vertraulichen Dokumenten verlangt. 

Möglichkeiten Phishing-Angriffe zu erkennen und zu verhindern sind folgende:

  • Auf Rechtschreibfehler im Domainnamen oder in der E-Mail-Adresse des Absenders achten
  • Misstrauisch sein, wenn jemand dringend nach persönlichen Daten fragt 
  • Nicht auf verdächtige Links klicken, die nicht erwartet wurden
  • Keine Dateien öffnen, die nicht erwartet wurden
  • Regelmässige Datensicherung

Die wichtigste Erkenntnis hieraus ist, dass Mitarbeiter sich Zeit zum Nachdenken nehmen sollten, bevor sie auf unerwartete E-Mails reagieren. Fingierte Phishing Emails können auch als Schulungsinstrument verwendet werden.   

3. Starke Passwörter wählen

Passwortdiebstahl ist eine der bevorzugten Methoden von Cyberkriminellen um ihre Angriffe ausführen zu könne. Die Wahl eines guten Passworts erscheint einfach, aber viele Firmen wären überrascht, wie viele Mitarbeiter “qwerty”, “123456” oder “password” als Passwort verwenden würden, wenn sie frei wählen dürften.  

Bewährte Richtlinien zur Passwortwahl, die Unternehmen aufnehmen sollten, sind folgende:

  • Passwortkombination aus acht oder mehr Buchstaben, Zahlen und Zeichen
  • Passwörter vermeiden, die auf einem einzigen, gebräuchlichen Wort basieren, das im Wörterbuch zu finden ist 
  • Passwörter vermeiden, die den Namen des zugehörigen Systems enthalten, z. B. “Sharepoint123”
  • Unterschiedliche Kennwörter für berufliche und private Konten verwenden
  • Passwörter regelmässig aktualisieren

4. Bildschirm sperren   

Es ist wichtig, dass Mitarbeiter ihren Computer niemandem zugänglich machen, der ihrer Identität oder dem Unternehmen Schaden zufügen könnte. Unternehmen sollten Mitarbeiter daran erinnern ihren Bildschirm jedes Mal zu sperren, wenn sie sich von ihrem Computer entfernen, um so die Wahrscheinlichkeit eines unbefugten Zugriffs zu verringern. 

5. Auf IT-Sicherheits- und Datenverletzungen reagieren

Ob es sich um einen Malware-Angriff, einen Phishing-Betrug oder eine Datenverletzung handelt, die Zeit drängt und es ist wichtig, dass die Mitarbeiter wissen, wie sie auf einen Vorfall reagieren können. Mitarbeiter sollten mindestens Folgendes wissen:

  • Wie man IT-Sicherheits- und Datenschutzverletzungen erkennt
  • Welche Sofortmassnahmen im Falle eines Vorfalls zu ergreifen sind (und was zu unterlassen ist)
  • Wie man einen Vorfall meldet (wen man anruft, welche Informationen man weitergibt)
  • Was mit einem Gerät zu tun ist, von dem man annimmt, dass es kompromittiert ist

Fazit

Die Einrichtung einer menschlichen «Firewall» für Unternehmen ist eine der kosteneffektivsten Investitionen im Bereich Datenschutz und Cybersicherheit. Die Sensibilisierung der Mitarbeiter für Datenschutz und IT-Sicherheit kann dazu beitragen, dass die Mitarbeiter die Daten und die IT-Infrastruktur des Unternehmens besser schützen. Wir von LEXR haben uns mit den IT-Sicherheitsspezialisten der ensec AG zusammengetan, um ganzheitliche Datenschutz- und Cybersicherheitsschulungen anzubieten: https://products.lexr.ch/it-security-and-data-protection.

Anna Maria Tonikidou

By Anna Maria Tonikidou

MLaw, LL. M. mult.

Verwandt

Let’s Go!

Jetzt unverbindliches und kostenloses Erstgespräch buchen und erfahren, wie wir am besten bei der Erreichung eurer Unternehmensziele unterstützen können.

Oder alternativ eine E-mail an uns schreiben unter [email protected].

Kostenloses Gespräch buchen