Home-Office – welche IT-Gefahren lauern?

Nicht nur besondere Hygieneregeln gilt es in diesen Tagen einzuhalten, sondern auch der Cyber-Security-Regeln. Das gilt verstärkt noch für diejenigen, die von zu Hause aus arbeiten.

Mit ein paar wenigen Massnahmen kann man das Cyberrisiko deutlich minimieren und das Home-Office zu einem sicheren Arbeitsort machen. Die Tipps von Infoguard lauten:

• Um eine sichere Verbindung zum Unternehmensnetzwerk herstellen zu können, ist die Nutzung von VPN (Virtual Privat Network) unerlässlich. Sorgen Sie vor, damit die Remote-Access-Lösung auch den zusätzlichen Bandbreitenbedarf abdecken kann.
• Remote Access in Kombination mit einer MFA (Multi-Faktor-Authentisierung) ist ein Muss. Sorgen Sie vor, damit für die Remote Access mit der MFA genügend Lizenzen zur Verfügung stehen und der Rollout vorbereitet ist. Es wäre ärgerlich, wenn die Mitarbeitenden aufgrund fehlender Authentisierung nicht produktiv arbeiten könnten.
• Falls für Mitarbeitende keine mobilen Arbeitsplätze bestehen, werden sie vermutlich über private Geräte (BYOD, Bring Your Own Device, Sicherheitstipps hier) auf das Unternehmensnetzwerk zugreifen. Die Geräte sollten die entsprechenden Mindestanforderungen an die Sicherheit erfüllen und mit einer entsprechenden Schutzsoftware ausgestattet sein.
• Betriebssysteme, Anwendungen, Malware-Scanner usw. sollten immer die neusten Updates installiert haben (gilt auch für private Geräte). Nutzen Sie kompensierende Massnahmen, falls Hersteller-Updates nicht verfügbar sein sollten. Möglichkeiten dazu sind Endpoint Protection (EPP), Endpoint Hardening, Monitoring der Endpoints durch ein SOC usw.
• Setzen Sie u.a. auf Sensibilisierungsmassnahmen (Security Awareness) und Informationen, um die Mitarbeitenden auf die Gefahren aufmerksam zu machen. Aktuell werden beispielsweise vermehrt Phishing-Mails (vgl. hier) versendet, die einen Bezug zum Coronavirus haben. Nutzen Sie erweiterte Sicherheitsfunktionalitäten auf den E-Mail-Gateways zum Schutz vor Malware und APT-Angriffen.

Finger weg von Public-Cloud-Diensten

Groupware-Funktionen wie E-Mail oder Kalender sind normalerweise nicht das grosses Sicherheitsproblem, wenn von extern aus gearbeitet wird, da diese Anwendungen ohnehin bereits meist via Web-Clients und mobile Apps ortsunabhängig verfügbar sind.

Eine moderne Alternative zu VPN-Lösungen für den firmeninternen Zugriff bieten Content-Collaboration-Lösungen. Sie ermöglichen es, Dateien durch eine zentrale Online-Speicherung schnell, einfach und Endgeräte-unabhängig abzurufen und auszutauschen.

Die Versuchung, dafür einfach kurzerhand auf einen der zahlreichen Public-Cloud-Speicherdienste zu setzen, ist dabei gross. Unternehmen sollten davon aber besser die Finger lassen, rät der Open-Source-Anbieter ownCloud. Diese Dienste seien in aller Regel US-amerikanischen Ursprungs und würden deshalb dem US Cloud Act unterliegen. Das relativ neue Gesetz legitimiere amerikanische Behörden, von den Betreibern die Herausgabe sämtlicher Daten einer Person oder eines Unternehmens zu verlangen. Das sei jedoch nicht mit Datenschutzbestimmungen wie der DSGVO zu vereinbaren und zwinge die Unternehmen de facto dazu, die Hoheit über ihre oft sensiblen Daten aus der Hand zu geben.

Quellen: Infoguard, ownCloud

siehe auch Artikel „Hohe Datensicherheit in der Cloud„

Was es sonst noch zu bedenken gilt

Wenn der Mitarbeiter seine Arbeit nur mit Zugang zu Server XY erledigen kann, dann muss dieser auch im Home-Office gewährleistet sein. Im Idealfall hat man dieses VOR dem Ernstfall bereits wirksam getestet.

Nicht alle Arbeitsprozesse im Betrieb funktionieren auch im Home-Office, sei es aus Sicherheitsgründen, juristischen Hürden oder Unternehmensregeln. Das sollte klar und rechtzeitig kommuniziert werden, um Frust und fehlende Arbeitsschritte zu vermeiden. Als Mitarbeiter im Home-Office sollte man sich auf der anderen Seite aber auch darüber im Klaren sein und nicht versuchen, diese Grenzen kreativ zu umgehen.

Ein Briefkasten für Sicherheitsprobleme

Hilfreich ist das Aufsetzen einer betrieblichen E-Mail-Adresse, an die die Mitarbeitenden Sicherheitsprobleme schnell und unbürokratisch schicken können.

Vor dem Hintergrund, dass viele Cyberattacken erfolgreich sind, weil die Betrüger es immer wieder und genau so lange versuchen, bis es zu einem gedankenlosen Klick kommt, dient ein Sicherheits-E-Mail-Briefkasten auch der Prävention: Auffälligkeiten lassen sich schnell registrieren und Warnungen können folgen. Alle Hinweise der Nutzer, selbst überflüssige, sollten unbedingt gewürdigt werden. Die Infos zum Security-Service wiederum landen am besten nicht im E-Mail-Account als Link, sondern, um es Betrügern auch in diesem Bereich schwer zu machen, offline via Brief, Infokarte oder Ähnlichem Zuhause.

Quelle: Alert Sophos