Security Awareness · Zum Mitnehmen

Mitarbeiter-Awareness-Checkliste: Ist Ihr Team sicher?

Zehn Prüfpunkte für die IT-Sicherheit Ihrer Mitarbeitenden — in rund 15 Minuten abhaken. Jede offene Stelle zeigt, wo Ihr Unternehmen konkret angreifbar ist.

• 01Phishing-Erkennung — Kennen Ihre Mitarbeitenden die typischen Merkmale einer Phishing-Mail (gefälschter Absender, verdächtige Links, künstliche Dringlichkeit)?Führen Sie regelmäßige Phishing-Simulationen durch und schulen Sie das Team anhand echter Beispiele aus dem Unternehmensalltag.
• 02Passwort-Richtlinie — Gilt eine verbindliche Passwort-Richtlinie (mindestens 12 Zeichen, keine persönlichen Daten, kein Wiederverwenden über Dienste hinweg)?Stellen Sie einen zentralen Passwort-Manager bereit und machen Sie ihn zur Pflicht — das senkt die Hürde für sichere Passwörter erheblich.
• 03Multi-Faktor-Authentifizierung — Ist MFA für alle unternehmenskritischen Anwendungen (E-Mail, VPN, Cloud-Dienste) aktiviert?Microsoft 365 und Azure AD bieten integrierte MFA ohne Mehrkosten — aktivieren Sie Conditional Access für alle Nutzer.
• 04Verdächtige Anhänge — Wissen Ihre Mitarbeitenden, dass sie unbekannte E-Mail-Anhänge (insbesondere .exe, .zip, .docm) grundsätzlich nicht öffnen, sondern zunächst melden?Definieren Sie einen klaren Meldeprozess (Screenshot + Weiterleitung an den IT-Support) — wer sofort meldet, begrenzt den Schaden.
• 05Clean-Desk-Policy — Gibt es eine verbindliche Regelung für aufgeräumte Arbeitsplätze (keine Passwörter auf Zetteln, Bildschirm sperren beim Verlassen des Platzes)?Automatische Bildschirmsperre nach 5 Minuten Inaktivität erzwingt dies technisch — unabhängig von der Eigenverantwortung einzelner Mitarbeitender.
• 06Software-Updates — Werden Betriebssystem-Updates und Anwendungs-Patches zeitnah (innerhalb von 72 Stunden nach Release) eingespielt?Zentrales Patch-Management (z. B. Microsoft Intune) macht manuelle Updates überflüssig und schließt Sicherheitslücken automatisch und zuverlässig.
• 07USB-Geräte und externe Medien — Existiert eine Richtlinie für den Umgang mit privaten USB-Geräten, und ist die Nutzung technisch überwacht oder eingeschränkt?Gruppenrichtlinien (GPO) oder Endpoint-Management-Lösungen ermöglichen, USB-Nutzung zu protokollieren oder auf firmeneigene Geräte zu beschränken.
• 08Social Engineering per Telefon — Sind Ihre Mitarbeitenden für Angriffe per Telefon sensibilisiert (Vortäuschen von Identitäten, Autoritätsmissbrauch, künstliche Dringlichkeit)?Üben Sie die Grundregel: Identität niemals nur per Telefon bestätigen. Bei Zweifeln auflegen und offiziell zurückrufen — auch wenn Druck ausgeübt wird.
• 09Homeoffice-Sicherheit — Gibt es klare Regeln für die Arbeit außerhalb des Büros (VPN-Pflicht, kein ungesichertes öffentliches WLAN, kein Mithören bei vertraulichen Gesprächen)?Ein firmenseitig verwaltetes VPN ist Pflicht — stellen Sie sicher, dass es tatsächlich genutzt wird (Protokollierung und Monitoring empfohlen).
• 10Sicherheitsvorfälle melden — Wissen alle Mitarbeitenden, wie und an wen sie Sicherheitsvorfälle (Datenpanne, Phishing-Klick, Geräteverlust) sofort melden sollen?Machen Sie die Meldewege sichtbar (Intranet, Aushang, Onboarding). Wer schnell meldet, minimiert den Schaden erheblich — belohnen Sie Meldungen, bestrafen Sie sie nicht.