Im Jahr 2008 hatte ich die Gelegenheit, bei einem IT-Unternehmen zu arbeiten. Bei jedem Mitarbeiter war eine Art ungesunde Anspannung spürbar. Der Grund war einfach: Mobiltelefone landeten in der Schublade am Eingang zum Büro, hinter einem befand sich eine Kamera, zwei große zusätzliche Überwachungskameras im Büro und Software mit Keylogger. Und ja, dies war nicht das Unternehmen, das SORM oder Systeme zur Lebensunterstützung für Flugzeuge entwickelt hat, sondern einfach ein Entwickler von Anwendungsgeschäftssoftware, der mittlerweile übernommen, zerschlagen und nicht mehr existent ist (was logisch erscheint). Wenn Sie jetzt denken, dass es in Ihrem Büro mit Hängematten und M&M's in Schalen so etwas nicht gibt, könnten Sie sich gewaltig täuschen – denn in den 11 Jahren hat sich die Kontrolle zu einem unauffälligen und korrekten Prozess entwickelt, ohne Auseinandersetzungen über besuchte Webseiten und heruntergeladene Filme.
Kann man das wirklich nicht ohne all das machen? Was ist mit Vertrauen, Loyalität, Glauben an die Menschen? Es mag überraschend klingen, aber es gibt nicht weniger Unternehmen ohne Sicherheitsmaßnahmen. Doch die Mitarbeiter schaffen es, auch dort Fehler zu machen – einfach weil der menschliche Faktor ganze Welten zerstören kann, ganz zu schweigen von Ihrem Unternehmen. Also, wo können Ihre Mitarbeiter Probleme verursachen?
Das ist kein sehr ernster Beitrag, der genau zwei Funktionen hat: ein wenig den Arbeitsalltag aufzulockern und an grundlegende Sicherheitsaspekte zu erinnern, die oft vergessen werden. Und um noch einmal zu erinnern an — ist solche Software nicht ein Teil der Sicherheit? 🙂
Los geht's im zufälligen Modus!
Passwörter, Passwörter, Passwörter…
Wenn man darüber spricht, kommt die Welle der Empörung: Wie kann das sein, so oft haben wir es schon der Welt gesagt, und nichts hat sich geändert! In Unternehmen aller Größen, von Einzelunternehmen bis hin zu multinationalen Konzernen, ist dies ein sehr schmerzhaftes Thema. Manchmal habe ich das Gefühl, dass, wenn morgen tatsächlich ein wahrer Todesstern gebaut wird, in der Admin-Oberfläche etwas wie admin/admin stehen wird. Was kann man also von einfachen Nutzern erwarten, für die ihre eigene Seite auf VKontakte viel wichtiger ist als ein Unternehmensaccount? Hier sind die Punkte, die überprüft werden müssen:
- Das Aufschreiben von Passwörtern auf Zetteln, auf der Rückseite der Tastatur, auf dem Monitor, auf dem Tisch unter der Tastatur oder auf einem Aufkleber auf der Unterseite der Maus (schlau!) – das sollten Mitarbeiter auf jeden Fall vermeiden. Und zwar nicht, weil ein furchtbarer Hacker kommt und während des Mittagessens alle Daten auf einem USB-Stick herunterlädt, sondern weil es im Büro vielleicht einen verärgerten Kollegen gibt, der sich mit seiner Kündigung rächen oder Informationen mitnehmen möchte. Warum nicht während einer Pausensituation die Gelegenheit nutzen?

Das hier? Dieses Gerät speichert all meine Passwörter.
- Einfache Passwörter für den Zugang zum PC und zu Arbeitsprogrammen sind ein Problem. Geburtsdaten, qwerty123 und sogar asdf – solche Kombinationen gehören in Witze und nicht in die Unternehmenssicherheit. Legen Sie Anforderungen an Passwörter und deren Länge fest und setzen Sie regelmäßige Wechselintervalle.

Ein Passwort ist wie Unterwäsche: Wechseln Sie es häufiger, teilen Sie es nicht mit Ihren Freunden, ein langes Passwort ist besser, seien Sie geheimnisvoll und verstreuen Sie es nicht überall.
- Die Standard-Vendor-Passwörter sind problematisch, weil sie fast allen Mitarbeitern des Anbieters bekannt sind. Wenn Sie also mit einer Cloud-Webanwendung arbeiten, ist es für jeden einfach, die Daten zu erlangen. Besonders, wenn Ihre Netzwerksicherheit auf dem Niveau ist: „Stecker nicht herausziehen“.
- Erklären Sie den Mitarbeitern, dass ein Passwort-Hinweis im Betriebssystem nicht wie „mein Geburtstag“, „der Name meiner Tochter“, „Nagelblume-78545-ap#1! auf Englisch“ oder „QWERTZ und eine Eins mit einer Null“ aussehen sollte.

Mein Kätzchen generiert mir großartige Passwörter! Es läuft über meine Tastatur.
Physischer Zugang zu Angelegenheiten.
Wie ist der Zugang zu Personal- und Buchhaltungsdokumenten in Ihrem Unternehmen organisiert (zum Beispiel zu den Personalakten der Mitarbeiter)? Lassen Sie mich raten: Wenn es ein kleines Unternehmen ist, dann wahrscheinlich in der Buchhaltung oder im Büro des Chefs in Ordnern auf Regalen oder im Schrank. Bei einem größeren Unternehmen könnte es im Personalwesen in Regalen gelagert sein. Und wenn es ein sehr großes Unternehmen ist, dann ist es wahrscheinlich korrekt: ein separates Büro oder ein Bereich mit einem Magnetschlüssel, zu dem nur ausgewählte Mitarbeiter Zugang haben. Um dorthin zu gelangen, muss man einem von ihnen anrufen und in deren Anwesenheit diesen Bereich betreten. Es ist nicht schwierig, diesen Schutz in jedem Unternehmen durchzuführen oder zumindest zu lernen, das Passwort für den Büroschrank nicht mit einem Stift auf der Tür oder an die Wand zu schreiben (alles basiert auf realen Ereignissen, lachen Sie nicht).
Warum ist das wichtig? Erstens haben Mitarbeiter ein pathologisches Bedürfnis, die geheimsten Informationen übereinander herauszufinden: Beziehungsstatus, Gehalt, medizinische Diagnosen, Ausbildung usw. Das ist kompromittierendes Material im Büro, das die Wettbewerbsfähigkeit beeinflusst. Wenn Designer Petja erfährt, dass er 20.000 weniger verdient als Designerin Alisa, ist das alles andere als vorteilhaft für Sie. Zweitens haben die Mitarbeiter Zugang zu sensiblen Finanzinformationen des Unternehmens (Bilanzen, Jahresberichte, Verträge). Drittens kann ganz einfach etwas verloren gehen, beschädigt oder gestohlen werden, um die eigenen Spuren in der beruflichen Biografie zu verwischen.
Ein Lager, wo für den einen Verlust, für den anderen ein Schatz ist.
Wenn Sie ein Lager haben, können Sie sicher sein, dass Sie früher oder später unweigerlich mit Verstößen konfrontiert werden – so funktioniert die Psychologie des Menschen, der eine große Menge an Produkten sieht und fest glaubt, dass es sich bei vielen kleinen Entnahmen nicht um Diebstahl, sondern um Verteilung handelt. Und eine Einheit aus diesem Haufen kann 200.000, 300.000 oder mehrere Millionen wert sein. Leider kann nichts Diebstähle verhindern, außer einer minutiösen und umfassenden Kontrolle und Buchführung: Kameras, Annahme und Abgänge über Barcodes, Automatisierung der Lagerbuchhaltung (zum Beispiel in unserem Lager wird die Buchhaltung so organisiert, dass der Manager und der Leiter die Bewegungen der Waren im Lager in Echtzeit verfolgen können).
Darum rüsten Sie Ihr Lager bis an die Zähne aus, gewährleisten Sie physische Sicherheit vor externen Bedrohungen und vollständige Sicherheit vor internen. Die Mitarbeiter im Transport, in der Logistik und im Lager müssen sich bewusst sein, dass Kontrolle vorhanden ist, funktioniert und dass sie sich selbst bestrafen, wenn etwas nicht stimmt.
* ukis, fassen Sie nicht in die Infrastruktur ein.
Die Geschichten über Server und Reinigungskräfte haben sich schon lange dem Mythos anderer Branchen angeschlossen (zum Beispiel die über mysteriös ausschaltende Beatmungsgeräte im selben Zimmer). Doch die Realität sieht für die Netzwerksicherheit und IT-Sicherheit in kleinen und mittleren Unternehmen oft nicht viel besser aus — und das hängt häufig nicht davon ab, ob man einen eigenen Systemadministrator hat oder einen externen beauftragt. Letzterer kann manchmal sogar besser abschneiden.
Was können die Mitarbeiter hier also leisten?
- Das Harmloseste ist, in den Serverraum zu gehen, ein paar Kabel zu ziehen, einen Blick darauf zu werfen, Tee zu verschütten, Schmutz zu hinterlassen oder selbst zu versuchen, etwas einzustellen. Besonders verbreitet ist dieses Verhalten unter den »sicheren und versierten Nutzern«, die heldenhaft ihre Kollegen darin unterrichten, wie man Antivirusprogramme deaktiviert und PC-Schutzmaßnahmen umgeht und überzeugt sind, dass sie geborene Götter der Serverwelt sind. Insgesamt ist der autorisierte, eingeschränkte Zugriff – Ihr Allheilmittel.
- Die Beschlagnahmung von Hardware und Austausch von Komponenten. Sie schätzen Ihr Unternehmen und haben leistungsstarke Grafikkarten für ein reibungsloses Funktionieren des Abrechnungssystems, CRM und anderer Anwendungen installiert? Großartig! Doch habeneinige Gauner (manchmal auch Gaunerinnen) die Möglichkeit, diese gegen eine heimische auszutauschen, und zu Hause zocken sie mit einem neuen Büro-Modell — die halbe Welt wird es nicht erfahren. Dasselbe gilt für Tastaturen, Mäuse, Kühler, USVs und alles andere, was im Rahmen der Hardware-Konfiguration ausgetauscht werden kann. Das Ergebnis ist ein Risiko für Schäden an Eigentum, den vollständigen Verlust und gleichzeitig erhalten Sie nicht die gewünschte Geschwindigkeit und Qualität in der Arbeit mit Informationssystemen und Anwendungen. Eine ITSM-Überwachungssystem mit konfiguriertem Änderungsmanagement kann hier helfen, und sollte mit einem redlichen und principled Systemadministrator geliefert werden.

Vielleicht möchten Sie ein besseres Sicherheitssystem suchen? Ich bin mir nicht sicher, ob dieses Zeichen ausreicht.
- Die Nutzung eigener Modems, Zugangspunkte oder gemeinsamer Wi-Fi-Netzwerke macht den Zugriff auf Dateien weniger sicher und nahezu unkontrollierbar; dies kann von Angreifern (einschließlich Mitarbeitern im Komplott) ausgenutzt werden. Außerdem ist die Wahrscheinlichkeit, dass ein Mitarbeiter mit „seinem Internet“ während der Arbeitszeit auf YouTube, humoristischen Webseiten und in sozialen Netzwerken surft, deutlich höher.
- Einheitliche Passwörter und Logins für den Zugang zum Administrationsbereich der Website, CMS, Anwendungssoftware – dies sind gefährliche Praktiken, die einen ungeschickten oder böswilligen Mitarbeiter in einen unerreichbaren Racheengel verwandeln können. Wenn fünf Personen aus demselben Subnetz sich mit demselben Login/Passwort anmelden, um ein Banner zu platzieren, die Werbelinks und Metriken zu überprüfen, die Gestaltung zu korrigieren und Updates hochzuladen, werden Sie niemals erraten können, wer von ihnen versehentlich das CSS in eine Katastrophe verwandelt hat. Daher: unterschiedliche Logins, unterschiedliche Passwörter, Protokollierung von Aktionen und Rechteverteilung.
- Es ist kaum nötig, über Raubkopien zu sprechen, die Mitarbeiter auf ihren PCs nutzen, um während der Arbeitszeit ein paar Fotos zu bearbeiten oder ein Hobbyprojekt zu erstellen. Haben Sie schon von den Kontrollen der Abteilung „K“ des Innenministeriums gehört? Dann kommen sie bald zu Ihnen!
- Ein Antivirenprogramm muss funktionieren. Ja, einige davon können den PC verlangsamen, lästig sein und den Eindruck von Feigheit erwecken, aber es ist besser, präventiv vorzugehen, als später mit Ausfallzeiten oder, noch schlimmer, gestohlenen Daten zu kämpfen.
- Warnungen des Betriebssystems vor der Gefahr der Installation von Anwendungen sollten nicht ignoriert werden. Heute ist es eine Sache von Sekunden oder Minuten, etwas für die Arbeit herunterzuladen. Zum Beispiel Direct Commander oder den AdWords-Editor, einen SEO-Parser und ähnliches. Während bei den Produkten von Yandex und Google alles mehr oder weniger klar ist, können jedoch weitere Tools wie kostenlose Virenreiniger, Videoeditoren mit drei Effekten, Screenshot- und Screenrecorder sowie andere "Kleinprogramme" sowohl einem einzelnen PC als auch dem gesamten Unternehmensnetzwerk Schaden zufügen. Gewöhnen Sie die Benutzer daran, zu lesen, was der Computer von ihnen möchte, bevor sie den Administrator anrufen und berichten, dass "alles abgestürzt ist". In einigen Unternehmen wird dieses Problem einfach gelöst: Viele nützliche Tools sind auf einem Netzwerkshare gespeichert, wo auch eine Liste empfehlenswerter Online-Lösungen zu finden ist.
- Die BYOD-Politik oder die Erlaubnis zur Nutzung von Arbeitsgeräten außerhalb des Büros stellt eine ernsthafte Sicherheitsbedrohung dar. In diesem Fall haben Verwandte, Bekannte, Kinder sowie öffentliche, ungesicherte Netzwerke Zugriff auf die Geräte. Das ist ein russisches Roulette – man kann fünf Jahre lang durchkommen, aber es kann auch passieren, dass man alle Dokumente und wertvollen Dateien verliert oder beschädigt. Hinzu kommt, dass ein Mitarbeiter mit schlechten Absichten einfach sensible Daten über das „herumwandernde“ Equipment abziehen kann, als wären es nur zwei Bytes. Man sollte auch im Hinterkopf behalten, dass Mitarbeiter häufig Dateien zwischen ihren persönlichen Computern austauschen, was erneut Sicherheitslücken verursachen kann.
- Das Sperren von Geräten in Abwesenheit ist sowohl im Unternehmens- als auch im Privatbereich eine gute Gewohnheit. Es schützt vor neugierigen Kollegen, Bekannten und Angreifern an öffentlichen Orten. Es kann schwierig sein, sich daran zu gewöhnen, aber ich hatte an einem meiner Arbeitsplätze eine bemerkenswerte Erfahrung: Wenn jemand an einem nicht gesperrten PC saß, öffnete ein Kollege Paint mit der Aufschrift "Sperre den Computer!", und es wurde etwas an der Arbeit verändert, wie das Löschen der neuesten getesteten Version oder das Entfernen des letzten erstellten Bugs (das war eine Testgruppe). Hart, aber 1-2 Mal reichten selbst für die Unbeholfensten. Obwohl ich vermute, dass Nicht-ITler solchen Humor vielleicht nicht verstehen können.
- Der schlimmste Fehler liegt natürlich bei den Systemadministratoren und der Geschäftsführung, wenn sie kategorisch keine Systeme zur Kontrolle des Datenverkehrs, der Hardware, der Lizenzen usw. verwenden.
Dies ist natürlich die Basis, denn die IT-Infrastruktur ist der Ort, an dem je weiter man in den Wald vordringt, desto mehr Bäume gibt es. Diese Basis sollte jeder haben und nicht durch Sätze wie "Bei uns vertrauen wir uns gegenseitig", "Wir sind eine Familie", "Das braucht doch keiner" ersetzt werden – leider ist das nur für eine gewisse Zeit tragbar.
Das ist das Internet, Baby, hier kann man viel über dich erfahren.
Der sichere Umgang mit dem Internet sollte Teil des Lehrplans für Lebenskompetenzen in Schulen werden – und das bezieht sich keineswegs nur auf die externen Maßnahmen, die uns auferlegt werden. Es geht vielmehr darum, Links zu unterscheiden, Phishing von Betrug zu erkennen, und Anhänge von E-Mails mit dem Betreff „Abgleich der Konten“ von unbekannten Absendern nicht zu öffnen, ohne vorher zu prüfen, usw. Es scheint, als hätten Schüler dies bereits gemeistert, jedoch die Angestellten nicht. Es gibt zahlreiche Tricks und Fehler, die die gesamte Firma gefährden können.
- Soziale Netzwerke sind ein Bereich des Internets, der am Arbeitsplatz nichts zu suchen hat. Allerdings ist es im Jahr 2019 eine unpopuläre und demotivierende Maßnahme, diese auf Unternehmensebene zu blockieren. Daher sollte man einfach allen Mitarbeitern schreiben, wie sie die Rechtsmäßigkeit von Links überprüfen, über Betrugsarten informieren und sie daran erinnern, bei der Arbeit auch tatsächlich zu arbeiten.

- E-Mail ist ein sensibles Thema und nahezu die häufigste Methode, um Informationen zu stehlen, Schadsoftware einzuschleusen und PCs sowie gesamte Netzwerke zu infizieren. Leider betrachten viele Arbeitgeber den E-Mail-Client als Kostenfaktor und nutzen kostenlose Dienste, die mit täglich etwa 200 Spam-Nachrichten überflutet werden, die die Filter umgehen etc. Manche unbedarfte Personen öffnen dabei solche Nachrichten, Anhänge, Links oder Bilder – anscheinend in der Hoffnung, dass ein obscurer Prinz ihnen ein Erbe hinterlassen hat. Das führt dazu, dass der Administrator viel Arbeit hat. Oder war das von Anfang an so geplant? Übrigens: Eine andere grausame Geschichte – in einem Unternehmen wurde der KPI des Administrators für jede Spam-Nachricht, die ankam, gesenkt. Nach einem Monat gab es keinen Spam mehr – diese Praxis wurde von der zentralen Organisation übernommen, und Spam ist bis heute nicht zurückgekehrt. Wir haben dieses Problem elegant gelöst – wir haben unseren eigenen E-Mail-Client entwickelt und ihn in unser eigenes , weswegen auch all unsere Kunden diese praktische Funktion erhalten.

Das nächste Mal, wenn du eine seltsame Nachricht mit einem Büroklammer-Symbol erhältst, klicke nicht darauf!
- Messaging-Dienste sind ebenfalls eine Quelle für unsichere Links, jedoch ist dies weit weniger problematisch als E-Mails (abgesehen von der Zeit, die mit endlosem Geschnatter in Chats verschwendet wird).
Das mögen Kleinigkeiten erscheinen. Dennoch kann jede dieser Kleinigkeiten katastrophale Folgen haben, insbesondere wenn Ihr Unternehmen Ziel eines Angriffs von Konkurrenten wird. Das kann buchstäblich jedem passieren.

Plaudertaschen
Das ist der menschliche Faktor, von dem es schwierig sein wird, sich zu trennen. Mitarbeiter können ihre Arbeit im Büro, im Café, auf der Straße oder sogar beim Kunden lautstark besprechen. Sie reden über andere Kunden und erzählen von ihren beruflichen Erfolgen und Projekten zu Hause. Sicherlich ist die Wahrscheinlichkeit, dass ein Wettbewerber dies hört, äußerst gering (es sei denn, Sie sind im gleichen Bürogebäude – das ist schon passiert). Aber die Wahrscheinlichkeit, dass jemand das klar argumentierende Geschäftsgespräch mit seinem Smartphone aufnimmt und auf YouTube hochlädt, ist überraschend hoch. Doch das ist nicht das Hauptproblem. Es wird problematisch, wenn Ihre Mitarbeiter bereitwillig Informationen über das Produkt oder das Unternehmen bei Schulungen, Konferenzen, Meetups, Fachforen oder sogar auf Plattformen wie Habr verbreiten. Zumal es nicht selten vorkommt, dass Menschen gezielt einen Gegner zu solchen Gesprächen einladen, um Wettbewerbsanalysen durchzuführen.
Eine exemplarische Geschichte. Auf einer großangelegten IT-Konferenz präsentierte ein Sprecher in seinem Vortrag ein vollständiges Schema zur Organisation der IT-Infrastruktur eines großen Unternehmens (Top 20). Das Diagramm war äußerst beeindruckend, fast schon kosmisch, es wurde von nahezu allen Teilnehmern fotografiert und verbreitete sich sofort in den sozialen Netzwerken mit begeisterten Kommentaren. Doch dann suchte der Sprecher anhand von Geotags, Messeständen und sozialen Medien nach den Postern und bat darum, die Beiträge zu löschen, denn er wurde schnell kontaktiert und erhielt eine freundliche Erinnerung. Ein Schwätzchen ist die beste Beute für Spione.
Unwissenheit... befreit von Strafe
Laut dem globalen Bericht des Kaspersky Lab aus dem Jahr 2017 betrafen unter den Unternehmen, die innerhalb von 12 Monaten mit Cybersecurity-Vorfällen konfrontiert wurden, einer von zehn (11 %) der schwerwiegendsten Vorfallstypen nachlässige und nicht informierte Mitarbeiter.
Gehen Sie nicht davon aus, dass Mitarbeiter alles über Unternehmenssicherheitsmaßnahmen wissen. Informieren Sie sie unbedingt, bieten Sie Schulungen an, erstellen Sie interessante regelmäßige Newsletter zu Sicherheitsthemen und veranstalten Sie Pizzagespräche, um Fragen zu klären. Ein hilfreicher Tipp: Kennzeichnen Sie alle gedruckten und digitalen Informationen mit Farben, Symbolen und Beschriftungen: Geschäftsgeheimnis, vertraulich, nur für den internen Gebrauch, öffentliche Informationen. Das funktioniert wirklich.
Die moderne Welt bringt Unternehmen in eine heikle Lage: Es gilt, ein Gleichgewicht zwischen dem Bedürfnis der Mitarbeiter, nicht nur hart zu arbeiten, sondern auch in Pausen Unterhaltungsinhalte zu konsumieren, und strikten Unternehmenssicherheitsrichtlinien zu finden. Wenn Sie übermäßige Kontrollen und absurde Überwachungsprogramme (ja, das ist kein Tippfehler — das ist keine Sicherheit, das ist Paranoia) und Kameras hinter dem Rücken einführen, wird das Vertrauen der Mitarbeiter in das Unternehmen sinken, und das Vertrauen zu bewahren ist ebenfalls ein Instrument der Unternehmenssicherheit.
Seien Sie sich dessen bewusst, dass Respekt gegenüber den Mitarbeitern, das Erstellen von Backups und vor allem die Sicherheit im Vordergrund stehen sollten – nicht persönliche Paranoia.
Wenn Sie benötigen und vergleichen Sie deren Möglichkeiten mit Ihren Zielen und Anforderungen. Bei Fragen oder Schwierigkeiten – kontaktieren Sie uns, wir organisieren eine individuelle Online-Präsentation für Sie – ohne Ranking und Vergleich.
, in dem wir ohne Werbung informelle Dinge über CRM und Business teilen.
Quelle: habr.com
