Homeoffice und COVID-19: Der Supergau für Ihre IT-Sicherheit?
Autor: Yannick Rech | 13. Juli 2020
Der Ausbruch von COVID-19 machte Homeoffice zu einem der führenden Arbeitskonzepte des Landes. Dieser rasante und teilweise unkontrollierte Anstieg hat jedoch diverse Schwierigkeiten und Gefahren in Sachen System- und Datensicherheit offen gelegt. Denn um ihre Arbeitsfähigkeit zu erhalten, wurden Mitarbeiter ohne weitere Einschränkungen, Anweisungen oder Sicherheitsvorkehrungen aus dem Büro in ihr Zuhause entlassen.
IT-Security im Homeoffice
Um die Sicherheit der sensiblen Daten im Homeoffice zu gewährleisten, werden sowohl vom Unternehmen, dem IT-System und jedem einzelnen Mitarbeiter Veränderungen verlangt.
Sicherheitsanforderungen an das Unternehmen durch Homeoffice
Vom Unternehmen, das seine Mitarbeiter aus dem Homeoffice arbeiten lässt, wird erwartet, dass es den Mitarbeitern Konzepte und Tools zur Verfügung stellt, die dies ermöglichen. Das Wichtigste hierbei ist, dass das Unternehmen ein Sicherheitskonzept entwirft. In diesem muss für jeden Mitarbeiter klar sein, wie er sich im Homeoffice im Bezug auf IT-Sicherheit zu verhalten hat. Zusätzlich muss das Unternehmen dem Mitarbeiter einen Hard- und Software Support zur Verfügung stellen, der bei technischen Problemen hilft.
Sicherheitsanforderungen an den Angestellten
Jeder Angestellte, der mit sensiblen Daten in Berührung kommt, muss Sicherheitsrichtlinien und Belehrungen erhalten. Gemäß der Veränderung des Arbeitsplatzes ist es erforderlich, diese Aspekte auch für die IT-Security im Homeoffice anzupassen und zu erweitern.
Die Sensibilisierung des Mitarbeiters steht dabei an erster Stelle: Er muss sich bewusst sein, dass mit der Heimarbeit auf ihn als Angestellten verschiedene Pflichten zukommen. Nur, wenn der Mitarbeiter das verinnerlicht hat, kann er die Relevanz des Themas wirklich beurteilen.
Ein Arbeitsplatz im Homeoffice sollte in Sachen Zutrittsschutz dem Büro im Unternehmen in nichts nachstehen. Abschließbare Schreibtische und Büroräume sind dabei eine unkomplizierte Möglichkeit, um die Arbeitsunterlagen vor dem Zugriff von Hausgästen zu sichern.
Für die Arbeit unterwegs eignen sich Bildschirmschutzfolien, um das sogenannte „Shoulder Surfing“ zu erschweren. Dabei wird versucht durch das Beobachten des Laptops an Passwörter und sensible Daten zu gelangen. Solche sensiblen Daten sollten nach Möglichkeit nie für eine lange Zeit lokal gespeichert werden.
Clouds eignen sich, um Daten vor einem Hardware Diebstahl zu schützen. Denn oftmals liefert diese Software weitere Verifizierungswege, die über die Sicherheit des Handys hinaus gehen. Dabei empfiehlt sich unternehmensweit denselben Clouddienst zu verwenden. Private Hardwarekomponenten könnten das Sicherheitsniveau des Arbeitgebers nicht erfüllen und dadurch bereits kompromittiert sein. Aus diesem Grund ist es erforderlich, den Arbeitnehmern eigene Hardware mit entsprechenden Sicherheitsmechanismen zur Verfügung zu stellen. Zusätzlich ist der private Gebrauch von Messenger-Diensten (z.B. WhatsApp) als kritisch zu betrachten.
Gerade in der Corona-Zeit ist eine steigende Anzahl an Phishing-Mails zu verzeichnen. Die Angreifer nutzen dabei die aktuelle Unsicherheit, die viele Menschen spüren. Inhalt dieser E-Mails sind oftmals thematische Zusammenhänge, die sich durch Corona erst ergeben haben, wie zum Beispiel VPN-Verbindungen.
Informieren und schulen sollten Sie ihre Mitarbeiter selbstverständlich nicht vor Ort, sondern nach Möglichkeit durch eine Remote-Schulung. Um auch virtuell diese essentiell wichtigen Inhalte in bestmöglicher Form kommunizieren zu können, empfehle ich Ihnen unser kostenloses E-Book zur Durchführung von Remote Schulungen.
Sicherheitsanforderungen an die IT
Auch von den verschiedenen IT-Systemen wird einiges gefordert. Der Zugriff außerhalb der Büros bietet Angreifern gänzlich neue Optionen. Hierbei ist besonders wichtig dass das IT-System entsprechend gehärtet ist. Eine solche Systemhärtung zeigt oftmals eklatante Schwachstellen in den Schutzmaßnahmen des IT-Systems auf, welche jedoch recht schnell zu beheben und deaktivieren sind.
Zusätzlich ist es wichtig, alle neuen System-Patches des Herstellers heruntergeladen zu haben. Denn nur so können länger bekannte Lücken in der Systemsicherheit behoben werden. Um die Einführung neuer Systemkomponenten und Updates zu gewährleisten, ist die Einrichtung einer Taskforce sinnvoll. Diese prüft die neuen Komponenten auf ihre Sicherheit – auch aus dem Homeoffice heraus.
Um sicher auf das IT-System Ihres Unternehmens zugreifen zu können, wird ein Zugang über VPN benötigt.
Abschließend muss durch entsprechende IT-Komponenten sicher gestellt werden, dass der Mitarbeiter und keine dritte Person die Dienstgeräte bedient. Hierfür ist eine eindeutige und möglichst zweifelsfreie Verifizierung ein Muss. Empfehlenswert bei der Verwendung von Passwörtern ist hierbei beispielsweise KeyPass 2 als Open Source Software.