Sicherheitsrichtlinien

Diese Seite soll (zukünftigen) MitarbeiterInnen sowie SubauftragnehmerInnen des Unternehmens dabei helfen, die Sicherheitsrichtlinien von Anwert einzuhalten. Datensicherheit im Allgemeinen und speziell IT-Sicherheit sind unverzichtbar für den Unternehmenserfolg. Unternehmensdaten müssen bestmöglich geschützt werden. Dies gilt sowohl für den Versuch, diese Daten auszuspionieren, als auch für die Gefahr des Datenverlustes durch technische Gebrechen.

Anwert folgt den Empfehlungen der WKO; herausgegeben im IT-Sicherheitshandbuch und das IT Sicherheits-Handbuch für Mitarbeiter. Alle Maßnahmen sind in einem separaten internen Dokument („Technical and Organizational Measures“) sowie den Datenschutzbestimmungen zusammengefasst.

1. Sicherer Umgang mit personenbezogenen Daten

Personenbezogene Daten sind all jene Informationen, die sich auf eine natürliche Person beziehen oder zumindest beziehbar sind und so Rückschlüsse auf deren Persönlichkeit erlauben.

Besondere personenbezogene Daten umfassen Informationen über die ethnische und kulturelle Herkunft, politische, religiöse und philosophische Überzeugungen, Gesundheit, Sexualität und Gewerkschaftszugehörigkeit. Sie sind besonders schützenswert.

Betroffene haben vor allem das Recht auf informationelle Selbstbestimmung. Das Speichern und Verarbeiten von personenbezogenen Daten ist nur unter Zustimmung des Betroffenen zulässig.

Bitte beachten Sie folgende Punkte:

  • Personenbezogene Daten müssen geheim gehalten werden. Nur bei schriftlicher Zustimmung dürfen diese Daten an Dritte weitergegeben werden.
  • Bei Weitergabe der Daten muss auf einen sicheren Kommunikationsweg geachtet werden. Ein unverschlüsseltes E-Mail erfüllt diese Anforderung NICHT.
  • Nach dem Ausscheiden aus dem Betrieb oder dem Wechsel der Arbeitsstelle dürfen sie personenbezogene Daten, die ihnen beruflich zugänglich gemacht wurden, nicht weitergeben oder für andere Zwecke nutzen.

2. Social Media

Soziale Medien wie Facebook, Instagram, Twitter, Snapchat und Co erfreuen sich immer größerer Beliebtheit. Sozialen Medien bringen viele Vorteile mit sich. Man informiert sich über Rezepte, oder wie ein elektronisches Gerät funktioniert und kann sich gleich mit anderen Personen darüber austauschen. Jedoch haben soziale Medien auch einige Nachteile.

Speziell für Firmen werden soziale Medien mehr und mehr zum Problem in puncto Sicherheit. Dieses Sicherheitsproblem wird meist ungewollt von MitarbeiterInnen verursacht, die nur schnell mal ein Foto vom Arbeitsplatz posten, oder nur kurz preisgeben, wann die gesamte Firma auf Skiurlaub fährt. Generell sollte man sich vor Augen führen, dass JEDE Information, sei sie noch so unwichtig, für irgendjemanden wichtig sein kann – dies sollte auch im privaten Umfeld beachten werden. Ein Foto von ihrem Arbeitsplatz kann z. B. Order zeigen, wo Kundennamen ersichtlich sind. Die Information, dass das gesamte Unternehmen auf Skiwochenende fährt, könnte einem Hacker das nötige Zeitfenster aufzeigen, um sich digital Zutritt zu verschaffen. Daher gehen sie mit Informationen, die sie preisgeben, besonders sorgsam um.

Bitte berücksichtigen Sie folgende Punkte (sofern Sie nicht angewiesen wurden dazu):

  • Posten sie keine Fotos von ihrem Arbeitsplatz
  • Posten sie keine Statusinformationen, die das Unternehmen betreffen
  • Geben sie in keinen Foren oder sozialen Medien Informationen über das Unternehmen, in dem sie arbeiten, preis
  • Verwenden Sie Pseudonyme für unbedingt notwendige Fragen in Foren oder soziale Medien, die das Unternehmen betreffen
  • Nennen sie keine Namen. Weder ihren eigenen, noch den Namen des Unternehmens.

3. Clear Desk Policy

Unter der Clear Desk Policy versteht man, dass MitarbeiterInnen alle vertraulichen Dokumente, die sich auf ihrem Arbeitsplatz befinden, verschließen. Unberechtigte Personen (Reinigungspersonal, unbefugte Kolleginnen und Kollegen, oder Besucher) dürfen keinen Zugriff darauf erhalten.

Bitte beachten Sie folgende Punkte:

  • Bei Verlassen des Arbeitsplatzes müssen alle Ausdrucke, Kopien oder dergleichen so verstaut werden, dass diese Dokumente nicht für Dritte zugänglich sind (Schreibtisch, versperrbaren Kästen, Datenträgersafe).
  • Lassen sie keine Ausdrucke im Drucker/Kopierer liegen.
  • Bewahren Sie unter keinen Umständen Passwortnotizen an Ihrem Arbeitsplatz auf.
  • Sperren Sie Ihren Computer, wenn Sie Ihren Arbeitsplatz verlassen (z. B. unter Windows mit „Windows-Taste + L“)! Unbeaufsichtigte, nicht gesperrte Computer sind ein hohes Sicherheitsrisiko. Unbefugte könnten so Zugang zu vertraulichen Daten erhalten.

4. Passwörter

Stellen Sie sich ein Passwort wie einen Schlüssel zu ihrer Wohnung oder zu ihrem Haus vor. Zuhause möchte sie auch ein gutes Schloss besitzen, welches vor einem unbefugten Zutritt schützt. Genauso verhalten sich auch Passwörter. Passwörter schützen vor unbefugten Zutritt.

Bitte beachten Sie folgende Punkte:

  • Verwenden Sie nie das gleiche Passwort für unterschiedliche Zugänge.
  • Verwenden Sie Kennwörter, die mindestens 10 Zeichen haben. Ein Passwort muss aus mindestens einem Großbuchstaben, Kleinbuchstaben, Ziffer und einem Sonderzeichen bestehen, um halbwegs sicher zu sein.
  • Niemals Namen, Vornamen, Geburtsdaten etc. verwenden. Diese werden bei Angriffen zuerst ausprobiert.
  • Verwenden Sie keine Begriffe aus einem Wörterbuch (auch nicht in einer anderen Sprache). Es gibt Programme, die Wortlisten mit mehreren tausend Begriffen sofort abrufen und so mögliche Passwörter finden. Auch Eigennamen, geografische Begriffe etc. dürfen nicht verwendet werden.
  • Geben sie ihr Passwort niemanden weiter! Auch Kollegen oder IT-Betreuung benötigen ihr Kennwort nicht.
  • Ändern sie ihr Kennwort in regelmäßigen Abständen (mind. alle 180 Tage).
  • Sie sind für ihr Kennwort verantwortlich! Sollten sie den Verdacht haben, dass ein Dritter ihr Kennwort kennt, ändern sie dieses sofort.

5. Verschlüsselte Kommunikation

Bitte achten Sie auf eine verschlüsselte Kommunikation. Ihr Browser beispielsweise signalisiert dies mit einem Schloss. Alle übermittelten Daten und alle Daten, die Sie zum Beispiel in ein Formular auf dieser Webseite eingeben, sind demnach verschlüsselt.

Die verschlüsselte Kommunikation mittels E-Mail gestaltet sich etwas schwieriger, da bei der Entwicklung der E-Mail keiner an die sichere/verschlüsselte Kommunikation gedacht hat. Bitte beachten Sie, dass eine normale E-Mail KEINE sichere Kommunikation darstellt.

Um diesen E-Mails dennoch etwas Sicherheit einzuhauchen, gibt es Erweiterungen, die vor dem Senden der E-Mail diese verschlüsselt und beim Empfänger automatisch entschlüsselt. Durch diese Technologie können auch sensible Daten per Mail versendet werden. Gängige Erweiterungen sind PGP oder S/MIME. Bitte setzen Sie sich mit der IT-Abteilung in Verbindung, um diese Technologie zu evaluieren.

6. Dokumente und Datenträger richtig entsorgen

Sorglos weggeworfene Dokumente stellen ein ernstes Sicherheitsproblem dar, wenn diese Daten in falsche Hände geraten. Aus diesem Grund müssen Dokumente, Datenträger (USB-Stick, Festplatte, SD-Karte, CD/DVD …) sicher entsorgt werden. Für die sichere Entsorgung eignet sich ein Dokumenten-Schredder oder ein Dienstleistungsunternehmen, welches sich auf die sichere Entsorgung spezialisiert hat. Das Dienstleistungsunternehmen stellt ihnen anschließend ein Zertifikat aus, welches die fachgerechte Entsorgung bestätigt.

Bitte beachten Sie folgende Punkte:

  • Werfen Sie Datenträger oder wichtige Dokumente auf keinen Fall in den Papierkorb! Sofern es sich um Inhalte handelt, die Außenstehenden nicht zugänglich gemacht werden dürfen, müssen die Datenträger und Dokumente sicher entsorgt werden. Beachten Sie, dass diese Vorgehensweise auch bei Archivmaterial einzuhalten ist.
  • Übergeben Sie die nicht mehr benötigten Datenträger den Verantwortlichen Ihrer IT-Abteilung bzw. einer eigens zu diesem Zweck bestimmten Person, die für die sichere Entsorgung zuständig ist.

7. Umgang mit mobilen IT-Geräten

Mobile IT Geräte (Notebooks, Smartphones …) stellen durch ihre mobile Verwendung ein erhöhtes Sicherheitsrisiko dar. Portable Geräte sind für Diebe ein attraktives Ziel.

Bitte beachten Sie folgende Punkte:

  • Lassen sie das Gerät nicht unbeaufsichtigt.
  • Überlassen sie das Gerät nicht anderen Personen.
  • Achten Sie bei Passworteingabe am Gerät auf ihren Sichtschutz – ähnlich wie bei einem Bankomaten.
  • Verwenden Sie Ihren privaten Cloud-Speicher nicht für Unternehmensdaten.
  • Installieren sie nur Anwendungen, die ihnen als vertrauenswürdig und sicher bekannt sind und von ihrer IT-Abteilung freigegeben wurden.
  • Melden sie einen Diebstahl oder Verlust sofort.
  • Achten Sie auf eventuelle Daten- und Gesprächspaketvolumen, um zusätzliche Kosten für das Unternehmen zu vermeiden.

8. Internetnutzung

Auch beim normalen Surfen im Internet lauern Gefahren, die nicht gleich als solche erkannt werden. Es liegt in ihrer eigenen Verantwortung, solche Bedrohungen zu erkennen und entsprechend darauf zu reagieren.

Bitte beachten Sie folgende Punkte:

  • Gebrauchen sie ihren Hausverstand! Wenn sie z. B. keinen Handy-Vertrag mit A1 oder T-Mobile haben, handelt es sich bei eingegangenen E-Mails von A1 oder T-Mobile meistens um betrügerische E-Mails.
  • Übermitteln Sie keine persönlichen Daten, vor allem nicht, wenn die Verbindung nicht als sicher (HTTPS) markiert wird.
  • Websites, die mit dem Download kostenloser Zusatzsoftware oder unseriösen Gewinnspielen locken, ist grundsätzlich zu misstrauen.
  • Das Herunterladen von Dateien kann – abgesehen von der Gefahr des Einschleppens von Schadsoftware – auch zu lizenz- und urheberrechtlichen Problemen führen. Das gilt auch für Software, die nicht installiert oder ausgeführt wurde und nur auf dem Bürorechner gespeichert ist.
  • Rufen Sie keine Websites mit pornografischen, gewaltverherrlichenden oder strafrechtlich bedenklichen Inhalten auf. Das kann gravierende rechtliche Probleme – auch für ihr Unternehmen – nach sich ziehen.

9. Protokollierung

Zu beachten ist, dass jeder Datenverkehr mit den Systemen des Unternehmens einer Protokollierung und Auswertung unterliegt, um eventuelle Datenverletzungen oder Schadcodeverbreitung frühzeitig erkennen und unterbinden zu können. Die Auswertung erfolgt nur in Verbindung der Geschäftsleitung unter Wahrung des Datenschutzes.

10. E-Mail-Nutzung

E-Mail gehört schon fast zur Standardausrüstung eines Arbeitsplatzes. Dadurch lohnt es sich auch für Kriminelle, diese Form der Kommunikation zu nutzen. Somit landen aber auch Spam- oder Phishing-Mails sowie mit Schadprogrammen verseuchte Nachrichten in ihrem Posteingang. Solche unerwünschten Nachrichten – mit mehr oder weniger gefährlichem Inhalt – machen ca. zwei Drittel des weltweiten E-Mail-Aufkommens aus.

Bitte beachten Sie folgende Punkte:

  • Öffnen sie keine E-Mails, wenn ihnen Absender oder Betreffzeile verdächtig erscheinen.
  • Öffnen sie niemals Dateianhänge, die ihnen verdächtig vorkommen. Auch bei vermeintlich bekannten und vertrauenswürdigen Absendern ist zu prüfen: Passt der Text der E-Mail zum Absender (englischer Text von deutschsprachigem Absender, unsinniger Text, fehlender Bezug zu aktuellen Vorgängen etc.)? Erwarten sie die beigelegten Dateien und passen sie zum Absender, oder kommen sie völlig unerwartet?
  • Öffnen sie keine E-Mails mit Spaßprogrammen, da diese Schadsoftware enthalten können.
  • Sogenannte Phishing-Mails, die zur Übermittlung von persönlichen Online-Banking-Daten oder Passwörtern (z. B. PIN oder TAN) auffordern, müssen gelöscht werden. Die angeforderten, vertraulichen Informationen dürfen sie auf keinen Fall weitergeben.
  • Oftmals kann in einem E-Mail ein Link angeklickt werden, um eine Webseite aufzurufen. Seien Sie dabei vorsichtig: In betrügerischen E-Mails wird diesen Links oft eine völlig andere Internet-Adresse hinterlegt, als im Mail zu sehen ist.
  • Beantworten sie keine Spam-Mails! Die Rückmeldung bestätigt dem Spam-Versender nur die Gültigkeit Ihrer E-Mail-Adresse und erhöht dadurch Ihr Risiko, weitere Zusendungen zu erhalten. Das Abbestellen von E-Mails ist nur bei seriösen Zustellern sinnvoll.
  • Benachrichtigen Sie auch Ihre Kolleginnen und Kollegen über verdächtige Zusendungen. Besprechen Sie die aktuellen E-Mails, die sie als Phishing-Versuche oder Virus-Mails erkannt haben, um gemeinsam die typischen Kennzeichen kennenzulernen. Sie können auf diese Weise sehr rasch Ihre Erkennungsfähigkeit trainieren und verbessern.
  • Denken sie bei ihrem Urlaubsantritt oder bei Abwesenheit an den Abwesenheitsassistenten, um die Absender über ihre Abwesenheit zu informieren.

11. Social Engineering

Unter Social Engineering versteht man das Manipulieren von Personen, um unbefugt Zugang zu vertraulichen Informationen oder IT-Systemen zu erhalten. Vorwiegend wird dieser Angriff per Telefon oder E-Mail durchgeführt. Ein aktuelles Beispiel ist der Angriff auf die Firma FACC. Durch eine gefälschte E-Mail-Adresse wurden mehrere Millionen Euro erbeutet. Bis heute konnte der Angreifer nicht gefasst werden.

Social Engineers geben sich gerne als Mitarbeiterinnen oder Mitarbeiter aus. Vielleicht behaupten sie auch, eine Behörde oder ein wichtiges Kundenunternehmen zu vertreten oder zu Ihrer IT-Abteilung zu gehören. Ihre Opfer werden durch firmeninternes Wissen oder Kenntnisse spezieller Fachbegriffe getäuscht, die sie sich zuvor durch Telefonate oder Gespräche mit anderen Kollegen erworben haben. Beim Angriff appellieren sie dann als „gestresster Kollege“ an Ihre Hilfsbereitschaft oder drohen als „Kunde“ mit dem Verlust eines Auftrages. Kommt ein Social Engineer bei einer Mitarbeiterin oder einem Mitarbeiter nicht ans Ziel, wird der Angriff bei der nächsten Ansprechperson wiederholt – bis er erfolgreich ist.

Bitte beachten Sie folgende Punkte:

  • Seien sie bei Telefonanrufen oder E-Mails skeptisch, speziell, wenn der Wunsch oder der Auftrag der Kollegin oder des Kollegen außergewöhnlich ist.
  • Falls möglich, besprechen sie die Angelegenheit mit ihrem Kollegen oder mit ihrer Kollegin persönlich.
  • Bedenken Sie, dass Social Engineering sehr oft angewandt wird, aber meistens lange Zeit unentdeckt bleibt.
  • Geben Sie keine vertraulichen Informationen per Telefon oder E-Mail weiter.

12. Wechselmedien

Als Wechselmedien gelten alle externen Datenträger wie USB-Sticks, SD-Karten, externe Festplatten, CDs, DVDs, Smartphones, die per USB angeschlossen werden. Der Einsatz stellt ein großes Sicherheitsrisiko dar. Speziell wenn diese Datenträger aus externer Quelle standen. Auf diesen Wechselmedien kann sich Schadsoftware verstecken, welche das gesamten Firmennetzwerk lahmlegen kann. Generell ist die Verwendung von Wechselmedien untersagt.

13. Ablauf eines Vertragsverhältnisses

Bei Austritt aus dem Unternehmen oder dem Ablauf eines Vertragsverhältnisses behält sich der Arbeitgeber das Recht vor, E-Mail-Adressen weiterzuverwenden, um den Unternehmensablauf nicht zu beeinträchtigen. Ferner verpflichtet sich der Mitarbeiter, sämtliche Dokumente, IT-Equipment und Unterlagen bei Austritt unaufgefordert dem Unternehmen bereitzustellen. In einem Beschäftigungsverhältnis ist in der Regel der Arbeitgeber der Inhaber des generierten geistigen Eigentums. Speziell im Hinblick auf Dokumente, Berechnungen oder dergleichen ist dies ein wesentlicher Punkt.