IT-Sicherheit im Arbeitsalltag: ein Blick durch die Security-Brille

Begleiten Sie Lea und Tom in ihrem Arbeitsalltag und erhalten Sie dabei nützliche IT-Sicherheitstipps für Ihre eigene Arbeit.

Lea und Tom begegnen in ihrem Arbeitstag immer wieder Sicherheitsrisiken im Umgang mit Dokumenten und Computern. Mit einfachen Tipps können die beiden – und Sie – diese Gefahren umgehen.

8 Uhr: Mit sicherem Passwort angemeldet

Tom ist am Arbeitsplatz angekommen. Zum Anmelden an seinem Computer benutzt er den Fingerabdruckscanner. Um auf die Firmendaten zuzugreifen, verwendet er seinen Benutzernamen, ein sicheres Passwort und einen zweiten Authentifizierungsfaktor. Beim Passwort zählt die Länge plus ein wenig Komplexität durch Zahlen und Sonderzeichen. Es sollte mindestens 12 Zeichen lang sein. Auch wenn man sich an viele Systemen und Anwendungen anmelden muss, ist es ratsam, immer ein anderes Passwort zu verwenden. Gut zu merkende starke Passwörter sind kurze Sätze wie: MeinKanarienv0gelwarp!nk.

Tipp: Verwenden Sie einen Passwortmanager, um die Passwörter zu speichern und Ihr Gedächtnis zu entlasten.

8:30 Uhr: Phishing-Mail erkannt

Die Kommunikation via E-Mail gehört für Lea zum Arbeitsalltag. Vor Kurzem erhielt sie ein vermeintliches E-Mail vom Chef mit der Forderung, für ein ganz geheimes Projekt Geld auf ein fremdes Konto zu überweisen. Zum Glück hat sie ihn angerufen und nachgefragt. Phishing ist nicht neu, stellt aber eine grosse Gefahr dar, denn die Attacken werden immer gezielter. Im Fokus der Angriffe stehen Mailadressen von Firmen. Phishing wird genutzt, um Malware zu installieren, Firmengeheimnisse zu stehlen oder «das schnelle Geld» zu machen («CEO Fraud»). Angriffe via E-Mail sollte man unbedingt so schnell wie möglich melden, damit Expert*innen die notwendigen Schutzmassnahmen ergreifen können, z. B. über antiphishing.ch

Tipp: Klicken Sie niemals in Links in Mails von unbekannten Absendern und öffnen Sie auch keine Dateianhänge. Seien Sie auch vorsichtig bei Post von bekannten Absendern mit unerwarteten Inhalten. Generell: Fragen Sie lieber einmal zu viel nach, ob das Mail wirklich vom angegebenen Absender stammt. Dieses E-Learning hilft Ihnen, Phishing-Mails besser zu erkennen.

9:15 Uhr: Bildschirm (nicht) gesperrt in der Kaffeepause

Lea holt sich einen Kaffee. Beim Verlassen des Arbeitsplatzes sperrt sie ihren Rechner nicht immer konsequent – sie ist ja nur kurz weg. Aber Daten sind wie Bargeld: Man lässt weder das eine noch das andere offen herumliegen. Persönliche Daten und interne Firmeninformationen haben viel Wert in den falschen Händen. Nebenbei: Auch beim Smartphone ist das Sperren wichtig.

Tipp: Mit einer Tastenkombination können Sie den Bildschirm schnell sperren. Unter Windows drücken Sie WINDOWS-L, auf dem Mac BEFEHL-CTRL-Q. Zusätzlich können Sie in beiden Systemen eine (kurze) Zeit festlegen, nach der der Bildschirm automatisch gesperrt wird.

10:45 Uhr: Korrekt geschützte Dokumente

Tom kann nur auf Daten zugreifen, die er im Arbeitsalltag benötigt. Strikte Dokumentenklassifikation und minimale Zugriffsrechte für Dateien in gemeinsamen Ablagen sind keine Schikane, sondern ein Schutz für alle. Toms Firma arbeitet mit Gruppen. Es gibt deshalb separate Verzeichnisse für Produktion, Verkauf, Administration, Forschung usw. Der Zugriff der Gruppen ist auf die jeweiligen Ordner beschränkt. Aus Datenschutzgründen ist zudem der Zugriff auf sensible Informationen nur innerhalb der Schweiz möglich.

Übrigens: Archiv- und Backup-Daten sollten an einem separaten Ort abgelegt werden. Im Extremfall hat das Unternehmen nach einem Ransomware-Angriff wenigstens noch Zugriff auf die Datensicherung.

Tipp: Prüfen Sie zusammen mit Ihrem IT-Verantwortlichen oder -Partner Struktur und Zugriffsrechte Ihrer Dokumentenablage. Sie können auch «Frühlingsputz» machen und einen Tag festlegen, an dem alle Bereiche ihre Datenablage aufräumen und die Klassifizierung prüfen.

12 Uhr: Bewusster Umgang mit Interna in der Mittagspause

Lea freut sich auf die Mittagspause mit einem Kollegen. Sie reden über dies und das, auch über die Arbeit. Lea geht sehr bewusst mit Firmeninterna um und gibt acht, dass keine geschäftlichen Informationen in falsche Ohren gelangen. Auch in sozialen Netzwerken achtet sie darauf, vertrauliche Details für sich zu behalten.

Tipp: Im Zweifelsfall gehen Sie nach diesem Motto vor: «Sag nicht alles, was du weisst, aber wisse immer, was du sagst.»

13:30 Uhr: Nur zugelassene Clouddienste nutzen

Tom arbeitet am Nachmittag in einem Coworking-Space. Das ist problemlos, da die Zusammenarbeit immer digitaler, mobiler und vom Standort unabhängiger wird. Er greift auf viele Services und Werkzeuge zur Zusammenarbeit zurück, also auf Collaboration-Tools. Viele dieser Dienste sind komfortabel und erleichtern Tom die Arbeit. Seit kurzem nutzt er für verschiedene Aufgaben generative künstliche Intelligenz (GenAI) wie ChatGPT, Claude, Copilot und Gemini. Doch sind diese Dienste auch wirklich sicher? Die IT-Verantwortliche sollte abgestimmt auf die Sicherheitsvorgaben entscheiden, welche Online-Tools im Unternehmen genutzt und welche Daten in der Cloud gespeichert werden.

Tipp: Teilen Sie Dokumente immer über den Online-Speicher Ihres Unternehmens wie SharePoint oder OneDrive for Business. Und nutzen Sie ein zugelassenes GenAI-Tool, um versehentlichen Datenabfluss zu verhindern.

17:30 Uhr: Vertraulich im ÖV arbeiten

Lea nutzt die modernen Arbeitsmöglichkeiten und erledigt noch einige Mails auf dem Heimweg. Beim Arbeiten im öffentlichen Raum sucht sie sich ein ruhiges Plätzchen und schützt ihre Arbeitsmittel vor neugierigen Blicken. Im Zug sucht sie nach Möglichkeit ihren Sitzplatz so aus, dass vorbeigehende Passagiere nicht direkt auf ihren Bildschirm sehen können. Vorsicht ist auch beim Telefonieren und Reden mit Arbeitskolleg*innen auf dem Arbeitsweg im ÖV angesagt. Für den Zugriff auf geschäftliche Dokumente nutzt Lea zusätzliche Sicherheitsmassnahmen wie das VPN ihres Arbeitgebers oder beem.

Tipp: Verwenden Sie einen Blickschutzfilter fürs Notebook und nutzen Sie Namen im Gespräch allenfalls «verschlüsselt» («der, von dem ich dir heute geschrieben habe»).