Cybersecurity

Physische Dokumente dürfen nicht in falsche Hände geraten. Die wichtigsten Regeln für den Arbeitsplatz lauten:

• Zutritt zu Büro- und Archivräumen nur für berechtigte Personen
• Festlegung von Clean-Desk-Richtlinien
• Entsorgung von Akten und Dokumenten über einen Aktenvernichter
• Keine Passwörter oder sensitive Daten auf Post-it-Zetteln, auch nicht an Pinnwänden oder Flip-Charts
• Verschlüsselung von USB-Sticks oder anderen Datenträgern
• Vertrauliche (Telefon-)Gespräche in einem geschützten Raum führen

Eigene Infrastruktur

Unabhängig davon, ob Sie einen eigenen Server betreiben oder ob Ihre gesamte Infrastruktur von Ihrem IT-Partner für Sie gehosted und betreut wird: Gewisse Geräte befinden sich nach wie vor bei Ihnen. Sinnvoll ist es, die folgenden Punkte zu beachten:

• Verschlüsselung der Festplatten auf Notebooks
• Bildschirmschoner für Computer und Monitore
• Keine freie Sicht auf Bildschirme und Verwendung von Sichtschutzfolien
• Erstellen und Verwenden von Passwörtern nach allgemein anerkannten Sicherheitsstandards und Verwendung eines Passwortmanagers
• Verwenden einer privaten virtuellen Netzwerkverbindung (VPN); gesondertes Gäste-WLAN für Kunden
• Keine Nutzung von fremden USB-Sticks und Datenträgern oder Sicherung von USB-Eingängen durch USB-Schlösser
• Besondere Vorsichtsmassnahmen beim Arbeiten von unterwegs

Externe Infrastruktur

Auch wenn Ihre IT-Systeme von einem externen Unternehmen betrieben werden oder Sie alle Daten in der Cloud speichern, gibt es trotzdem einige Sicherheitsmassnahmen und Regeln zu beachten:

• Für jeden Account ein anderes Passwort
• Erstellen und Verwenden von Passwörtern nach allgemein anerkannten Sicherheitsstandards und Verwendung eines Passwortmanagers
• Vertraulichen Unternehmensdaten zusätzlich mit eigenem Verschlüsselungsverfahren bereits vor dem Hochladen sichern
• Lokale Back-ups und Cloud-Back-ups
• Nur seriöse Cloudanbieter auswählen
• Sichere Logins bzw. sichere Authentifizierung
   

Neben einem sicheren Passwort ist die E-Mail-Verschlüsselung ist ein wichtiges Thema im Bereich der Datensicherheit. Sensibilisieren Sie Ihre Mitarbeitenden auch für gefälschte E-Mails, dem sogenannten Phishing.

Die meisten Computerviren werden über E-Mail-Anhänge verbreitet, daher ist beim Öffnen von E-Mail-Attachments Vorsicht geboten. Deshalb ist die Nutzung eines Antivirenschutzprogramms vonnöten.

Grössere Dateien und grössere Datenmengen können nicht mittels E-Mail verschickt werden. Statt USB-Sticks werden heute hauptsächlich Filesharing-Dienste genutzt. Je nach Art der Daten, die Sie übertragen möchten, eignet sich nicht jeder Filesharing-Anbieter.

Arbeit im Homeoffice kann sowohl für die Unternehmen als auch die Mitarbeitenden gewinnbringend sein. Das Datenschutzrecht schliesst dies nicht aus. Der Arbeitgeber sollte vertraglich festhalten, welche Regeln im Zusammenhang mit dem Datenschutz im Homeoffice und unterwegs gelten.

Wenn Sie alle voranstehenden Regeln und Empfehlungen umsetzen, verfügen Sie bereits über ein überdurchschnittliches Mass an Sicherheit. Wichtig ist, dass die Einhaltung der Regeln periodisch überprüft wird und alle Mitarbeitenden regelmässig an die geltenden Regeln erinnert werden. Je nach Art Ihrer IT-Landschaft sind regelmässige Sicherheitschecks zu empfehlen. Zudem ist eine Cyberrisikoversicherung empfehlenswert.

Nach einem erfolgreichen Hackerangriff auf Ihre Systeme, Geräte oder Accounts empfehlen wir folgende Schritte:

1. Geräte physisch trennen und ausschalten. Schalten Sie auch das WLAN aus. Übergeben Sie das Gerät, den Computer oder den Server einem Spezialisten. Falls Ihre Infrastruktur in einem Rechenzentrum liegt oder Sie Cloud-Dienste nutzen, kontaktieren Sie sofort Ihren Anbieter und fahren Sie mit Schritt zwei fort.
2. Ändern Sie Ihre Passwörter/Zugangsdaten zu allen wichtigen Diensten wie E-Mail-Accounts, E-Banking, System-Logins sowie Social Media-Accounts.
3. Überprüfen Sie Ihre Accounts und – falls noch möglich – Ihre Systeme auf veränderte oder gelöschte Daten, verschickte E-Mails oder neu beantragte Passwörter.
4. Melden Sie Ihren Cybervorfall online beim Nationalen Zentrum für Cybersicherheit NCSC des Bundes. Je nach Art des Vorfalls ist eine Meldung an den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) notwendig. Gemäss neuem Datenschutzgesetz (gültig ab 1. September 2023) ist eine Verletzung des Schutzes personenbezogener Daten möglichst binnen 72 Stunden, nachdem die Verletzung bekannt wurde, der zuständigen Aufsichtsbehörde zu melden. Falls Sie eine Cyberversicherung abgeschlossen haben, ist der Schaden der Versicherung zu melden.
5. Zur Vermeidung von Reputationsschaden ist eine professionelle Kommunikation entscheidend. Zuerst wird intern informiert, danach – falls Kundendaten betroffen sind – die entsprechenden Kunden und erst dann die Medien. Ein externer Kommunikationsprofi kann Sie in einer solch herausfordernden Zeit unterstützen.
6. Spezialisierte Anbieter helfen Ihnen, Ihre Infrastruktur zu reparieren und gegebenenfalls wiederherzustellen.

Tipp: Lassen Sie die erworbenen Erkenntnisse aus einem solchen Vorfall in die Verbesserung Ihrer Prozesse und Systeme einfliessen.
 

Auf der Website von TREUHAND|SUISSE finden Sie zum Thema «Cybersecurity» wichtige Informationen, erste Hilfe und Unterstützung bei Notfällen, diverse Leitfäden u.v.m: https://www.treuhandsuisse.ch/hilfe-services/cybersecurity

Möchten Sie keinen Blogartikel verpassen? Abonnieren Sie hier unseren Blog.