E-Mails schreiben, Terminkalender pflegen, Informationen im Internet suchen, Bestellungen annehmen und verarbeiten - in den meisten Firmen geht nichts mehr ohne Computer. Die Mitarbeiter brauchen das Internet, um ihre Arbeit zu erledigen. Doch wissen die Mitarbeiter eigentlich darüber Bescheid, welche Gefahren im Internet lauern, die der ganzen Firma gefährlich werden können?

Eine Umfrage des Branchenverbands Bitkom brachte zu Tage, dass jeder dritte Internet-Nutzer sich vor den Gefahren des weltweiten Netzes nicht schützt. Diese Nutzer verwenden keine Personal Firewall, keine Anti-Malware, gehen sorglos mit E-Mails und Links um, von persönlichen Daten ganz zu schweigen. Eine aktuelle Studie der „Messaging Anti-Abuse Working Group" ergab, dass 57% der Befragten schon einmal Spam-Mails geöffnet oder einen darin enthaltenen Link angeklickt haben. Hinter diesen Links verbirgt sich oft Schadware. Das ist nicht nur ein persönliches Problem der Mitarbeiter. Das kann auch zur Gefahr für eine Firma werden. Ein Unternehmen braucht aufgeklärte Mitarbeiter, die die Gefahren kennen und sich und das Unternehmen dadurch schützen können.

Ein gut abgesichertes Firmennetzwerk ist der erste Schritt, aber nicht der einzige. Ein Vergleich mit dem Straßenverkehr ist hier sehr hilfreich. Ein Unternehmer würde niemanden mit einem Fahrzeug aus dem Fuhrpark fahren lassen, der keinen Führerschein hat und die Straßenverkehrsordnung nicht kennt. Eine solche Kompetenz wie im Straßenverkehr müssen Mitarbeiter auch für das Internet entwickeln, bevor sie die Firmencomputer und das Internet aus dem Unternehmen heraus nutzen dürfen. Die notwendigen Kompetenzen sind sehr vielfältig und durch den raschen Wandel in der IT und im Internet auch sehr schnelllebig.

Sichere Passwörter und der Umgang damit
Das Firmennetzwerk und Dienste im Internet bergen eine große Gefahr. Mitarbeiter bekommen Nutzer-Accounts für den Zugang zu unterschiedlichen IT-Systemen und Diensten, die aus Benutzernamen und Passwörtern bestehen. Das erste Passwort muss direkt geändert werden, um Angriffe zu verhindern - doch Versuche des Instituts für Internet-Sicherheit hat ergeben, dass viele der Mitarbeiter das nicht richtig tun.

Das bedeutet ein enorm erhöhtes Angriffspotenzial von der Konkurrenz und kriminelle Organisationen. Doch selbst ein geändertes Passwort kann eine Firma nicht immer schützen. Denn viele Internet-Nutzer nutzen unsichere Passwörter. Das Passwort „geheim" ist eben nicht geheim! Sehr viele Mitarbeiter nutzen heute immer noch den Firmennamen in Kombination mit fortlaufenden Zahlen als Passwort. Ein sicheres Passwort muss heute aus mindestens zehn Stellen bestehen, aus Klein- und Großbuchstaben, Zahlen und Sonderzeichen und keinen offensichtlichen Sinn ergeben. Erst dann ist es sicher. Eine weitere Herausforderung für den Mitarbeiter ist die Aufbewahrung von Passwörtern. Das ist umso schwerer, da das Passwort regelmäßig alle drei bis sechs Monate geändert werden sollte. Da viele Mitarbeiter mehrere wichtige Passworte verwenden müssen, sollten ihnen Hilfestellungen, z.B. über Passwortverschlüsselungsprogramme, gegeben werden. In diesem Zusammenhang ist auch wichtig, dass Nutzer-Accounts von Mitarbeitern, die das Unternehmen verlassen, gelöscht werden, so dass die ehemaligen Mitarbeiter keinen Zugriff mehr auf das IT-System haben. Zudem muss ein Arbeitgeber stets auf den Nutzer-Account zugreifen können. Denn wenn der ausgeschiedene Mitarbeiter noch Daten gespeichert hat, die vom Arbeitgeber benötigt werden, braucht dieser den Zugriff auf das Material. Doch woher weiß das der Mitarbeiter über all diese Aspekte Bescheid?

Der richtige Umgang mit dem Browser und verhalten beim Surfen
Wir gehen heute davon aus, dass jeder 25. PC/Notebook eine Schadsoftware (Malware) über Software-Sicherheitslücken oder weitere Schwachstellen im Computer installiert hat, die von kriminellen Organisationen über Botnetze zentral gesteuert werden. Das bedeutet, dass die kriminellen Organisationen auf den infizierten PCs/Notebooks alles mitlesen können und unsere Computer für das Aussenden von Spam-Mails oder für verteilte Angriffe einfach nutzen können. Die Verteilung der Schadsoftware geschieht heute überwiegend über manipulierte oder falsche Webseiten. Für den Mitarbeiter, der im Internet arbeitet, bedeutet dies, dass er zusätzliche zum Basisschutz (Anti-Malware-Software, Personal-Firewall, Aktivierung der automatischen Updates, ...) auch mit seinem Browser sicher umgehen können muss.
Dazu gehört auch die Einschätzung, wie vertrauenswürdig eine Webseite ist. Das lässt sich vielfach schon an einfachen Merkmalen einschätzen: der Aufbau und der Inhalte der Webseite, das Vorhandensein und der Umgang mit/von Werbung, ob es ein Impressum gibt, wer diese Webseite empfohlen hat, usw. Der Mitarbeiter sollte in der Regel nur auf vertrauenswürdigen Webseiten aktive Inhalt über den Browser zugelassen. Dazu muss der Browser entsprechend eingestellt/konfiguriert sein. Der Mitarbeiter sollte wissen, dass, er wenn die Maus auf einem Link führt, in der Statuszeile zu sehen ist, wo der Link wirklich hinführt. Mit diesem Wissen können die Mitarbeiter Phishing-Angriffe verhindern. Das gilt auch für Links in E-Mails. Der Fall von „Phishing-Angriff auf Kontodaten des EU-Emissionshandels" hat gezeigt, dass Mitarbeiter auf solche Angriffe einfach reinfallen und damit hohe Schäden für Unternehmen verursachen können.