6. Datenschutz und Privatsphäre
Ob GDPR, CCPA, HIPAA oder interne Richtlinien - Datenschutz ist die Aufgabe eines jeden, nicht nur der IT-Abteilung oder der Rechtsabteilung.
Datenverluste entstehen oft durch kleine Fehltritte:
- Hochladen von Dateien auf persönliche Cloud-Konten
- Austausch sensibler Informationen über unverschlüsselte Kanäle
- Aufbewahrung von Berichten auf Desktops oder USB-Laufwerken
Die Schulung sollte Folgendes umfassen:
- Was sind sensible Daten in Ihrem spezifischen Geschäftskontext?
- Wie man Daten richtig speichert, weitergibt und entsorgt
- Warum Verschlüsselung, Schwärzung und Aufbewahrungsrichtlinien wichtig sind
Mimecast stärkt diese Praktiken auch durch secure messaging, DLP und Tools zur Durchsetzung von Richtlinien– denn Training und Technologie arbeiten besser zusammen.
7. Gerätesicherheit
Da Remote- und Hybrid-Arbeiten inzwischen Standard sind, sind die Angriffe auf Endgeräte auf über 200 gestiegen% (Forrester). Telefone, Tablets und persönliche Laptops können zu einer Hintertür in Ihre Umgebung werden.
Die Benutzer müssen wissen, wie sie:
- Aktivieren Sie die Verschlüsselung und starke Passcodes auf allen Geräten
- Verwenden Sie sicheres Wi-Fi und vermeiden Sie öffentliche Hotspots für sensible Aufgaben
- Aktivieren Sie die Fernlöschfunktion und melden Sie verlorene/gestohlene Geräte sofort.
- Respektieren Sie BYOD- und MDM-Richtlinien, einschließlich der Frage, warum es sie gibt und wie sie jeden schützen.
Gerätetraining sollte kein nachträglicher Gedanke sein. Jeder Endpunkt ist jetzt Teil Ihrer Netzwerkumgebung.
8. Sicherer Dateiaustausch
Die gemeinsame Nutzung von Dateien ist für die Erledigung von Aufgaben unerlässlich. Von Verträgen und Finanzberichten bis hin zu Designentwürfen und Kundendaten - Zusammenarbeit bedeutet oft, dass Dateien hin- und hergeschickt werden.
Die unbefugte Weitergabe von Dateien ist jedoch nach wie vor eine häufige Quelle für interne Datenlecks. Es sind auch nicht nur externe Bedrohungen. Viele Vorfälle sind darauf zurückzuführen, dass Mitarbeiter nicht zugelassene Tools verwenden oder die Berechtigungen falsch konfigurieren, ohne sich der damit verbundenen Risiken bewusst zu sein.
Einige der häufigsten Risikoszenarien sind:
- Versenden von unverschlüsselten Dateien als Standard-E-Mail-Anhänge, oft an externe Adressen
- Hochladen sensibler Daten auf persönliche Cloud-Konten (z.B. Google Drive, Dropbox) für den Fernzugriff
- Freigabe von Links, die einen uneingeschränkten Zugriff ermöglichen, so dass jeder, der den Link hat, ihn ansehen, herunterladen oder weitergeben kann
- Vergessen, den Zugriff nach dem Ende eines Projekts zu widerrufen, so dass die Dateien auf unbestimmte Zeit verfügbar bleiben
Dies sind keine böswilligen Handlungen. Meistens passieren sie, weil die Benutzer versuchen, effizient zu sein und die Risiken nicht vollständig verstehen.
Das ist der Punkt, an dem Training einen echten Unterschied macht. Wenn den Nutzern gezeigt wird, wie und warum Daten preisgegeben werden, ist die Wahrscheinlichkeit, dass sie
sichere Gewohnheiten annehmen, viel größer. Ein starkes Aufklärungsprogramm sollte sie dabei unterstützen:
- Wie Sie zugelassene, sichere Plattformen für den Dateiaustausch verwenden, die integrierte Verschlüsselung, Zugriffskontrollen und Prüfprotokolle bieten
- Warum das Festlegen von Verfallsdaten für gemeinsam genutzte Links dazu beiträgt, die Expositionszeiträume zu begrenzen, insbesondere für zeitkritische oder
regulierte Daten
- Wie Sie Berechtigungen angemessen verwalten. Zum Beispiel: Nur-Ansicht vs. Bearbeitungszugriff, nur intern vs. externe
Partner
Es ist auch wichtig, dieses Training mit Beispielen aus der Praxis zu verbinden. Eine verpasste Erlaubniseinstellung auf einer
Präsentation. Ein vertrauliches Dokument wird an den falschen Kunden weitergeleitet. Ein öffentlicher Link, der noch lange nach der Schließung eines Geschäfts
offen bleibt. Dies sind vermeidbare Szenarien, die überdimensionale Folgen haben können.
9. Reaktion auf Vorfälle und Wiederherstellung
Selbst bei einer starken Verteidigung kann etwas schief gehen. Das Wichtigste ist, wie schnell Ihr Team entdeckt, berichtet und
reagiert.
Leider wissen viele Benutzer nicht, was sie tun sollen, oder, schlimmer noch, sie zögern die Meldung hinaus, weil sie Konsequenzen fürchten.
Die Ausbildung sollte Folgendes bieten:
- Ein klares Verfahren zur Meldung verdächtiger Aktivitäten oder bestätigter Vorfälle
- Beispiele dafür, was zu melden ist (seltsames Systemverhalten, verdächtige E-Mail-Klicks usw.)
- Die Gewissheit, dass eine schnelle Berichterstattung belohnt wird
- Vertrautheit mit Ihrem Einsatzteam und Kommunikationsplan
Tischübungen oder Scheinübungen sind eine gute Möglichkeit, das Verständnis zu testen und die Bereitschaft zu verbessern.
10. Ökologische Sicherheit
Die Sicherheit hört nicht beim Bildschirm auf. Physische Zugangsrisiken sind immer noch üblich, wie z.B. Tailgating, Shoulder Surfing oder
unverschlossene Arbeitsplätze.
Selbst in sicheren Büroumgebungen kann es zu Verstößen kommen, wenn:
- Laptops werden ungesperrt und unbeaufsichtigt gelassen
- Sensible Dokumente werden gedruckt und vergessen
- Besucher betreten Bereiche ohne Überprüfung
Die Ausbildung in diesem Bereich sollte Folgendes umfassen:
- Erinnerungen an die Bildschirmsperre (und deren Durchsetzung)
- Richtlinien für saubere Schreibtische und sichere Dokumentenentsorgung
- Erkennen und Reagieren auf Tailgating oder unbefugten Zugriff
Einfache Gewohnheiten wie der Blick über die Schulter oder das Sperren des Bildschirms, bevor Sie sich einen Kaffee holen, können einen ernsten
Vorfall verhindern.
Machen Sie Training kontinuierlich, nicht einmalig
Die besten Trainingsprogramme sind keine einmaligen Veranstaltungen. Sie sind konsistent, ansprechend und entwickeln sich weiter, genau wie die Bedrohungen, die sie verhindern sollen
.
Das Sicherheitsverhalten lässt mit der Zeit nach, vor allem, wenn die Benutzer nicht oft mit Bedrohungen konfrontiert werden. Regelmäßige Auffrischungen und
Simulationen der realen Welt halten das Bewusstsein hoch und die Reaktionen scharf.
Mimecast's Security Awareness Training bietet:
- Kurze, rollenbasierte Lernmodule (2-5 Minuten)
- Phishing-Simulationen in Echtzeit
- Individuelle Risikobewertung und Verhaltenskontrolle
- Integration mit der kompletten Cybersecurity-Suite von Mimecast
Es wurde entwickelt, um das vom Benutzer verursachte Risiko zu verringern, und nicht nur, um Compliance-Kästchen zu erfüllen.
Abschließende Gedanken
Technologie allein wird die meisten Angriffe nicht aufhalten. Die Benutzer spielen eine entscheidende Rolle für Ihre Sicherheit, aber nur, wenn sie
richtig und regelmäßig geschult werden.
Diese 10 Themen sind ein praktischer, wirkungsvoller Ausgangspunkt für den Aufbau eines modernen Awareness-Programms. Sie entsprechen
aktuellen Bedrohungen, gesetzlichen Anforderungen und der Realität, wie Mitarbeiter heute arbeiten.
Mimecast hilft Unternehmen dabei, alles miteinander zu verbinden, indem es Sensibilisierungstrainings, E-Mail- und Kollaborationsschutz und
Echtzeiteinblicke in die menschliche Risikolandschaft bietet.
Sind Sie bereit, Ihr Trainingsprogramm aufzustocken? Vereinbaren Sie einen Termin für eine Demo, um zu sehen, wie Sie mit Mimecast Ihr Sicherheitsbewusstsein in
umwandeln können.