Homeoffice – die Zweite: noch immer Goldgräberstimmung für Hacker?

Senden Unternehmen bald wieder ihre Mitarbeiter ins Home-Office oder gibt es dazu schon bald eine neue Verordnung im Zuge des Teil-Lockdowns? Diese Woche wird wohl darüber ausschlaggebend sein, um dies zu entscheiden. Die IT-Security Expertin Renate Rekic mahnt, dass viele Unternehmen bei der Implementierung von Home-Office noch immer nicht ihre IT-Security und – Policy ausreichend vorbereitet haben.

Unternehmen schicken ihre Mitarbeiter ins Home Office, Meetings werden online abgehalten, Emails und Telefonate von zuhause beantwortet und der Zugriff auf Unternehmensdaten zur Bearbeitung von laufenden Projekten findet aus privaten Wohnzimmern und Wintergärten statt. Viele Arbeitgeber, Experten für Datenschutz und Informationssicherheit aber auch betroffene Mitarbeiter selbst äußern Bedenken, ob und wie Sicherheitsrichtlinien auch im Home Office eingehalten werden können.

Mitarbeiter*innen nicht von zuhause aus arbeiten zu lassen ist dennoch keine Option.

Die Herausforderung ist, dass noch immer ein Großteil der Unternehmen nicht genügend auf Home Office Anforderungen vorbereitet ist. Technische IT- und Cyber Security-Maßnahmen sind unzureichend auf den breiten Anwendungsfall von Home Office Arbeitsplätzen eingerichtet. Aber auch bestehende Sicherheitsrichtlinien sind unzureichend kommuniziert und daher den Mitarbeiter*innen, die üblicherweise im Schutz des Unternehmensnetzwerks und der Unternehmensinfrastruktur arbeiten, im Zusammenhang mit der neuen Arbeitssituation von zuhause aus nicht bekannt oder bewusst.

Was können sie tun und welche Maßnahmen müssen unmittelbar in ihrem Unternehmen umgesetzt und überprüft werden?

Definition & Kommunikation von Sicherheitsrichtlinien
Sensibilisierung von Mitarbeiter*innen

Häufig gibt es in Unternehmen zwar organisatorische Regelungen und technische Sicherheitsmaßnahmen, die Zugriff, Bearbeitung und Weitergabe von Informationen und Daten festlegen und beschreiben (spätestens seit der DSGVO). Diese beschränken sich in den meisten Fällen auf den Umgang mit Daten innerhalb der IT Infrastruktur eines Unternehmens (Cloud Infrastrukturen eingeschlossen).  Dabei kennen nur sogenannten „Power User“ (Mitarbeiter*innen, die z.B. aufgrund ihrer Tätigkeit im Außendienst bereits von unterwegs oder von zuhause auf Unternehmensdaten und -systeme zugreifen) die Regeln, die für die Arbeit im Home Office oder von unterwegs einzuhalten sind.

Stellen sie daher sicher, dass Sicherheitsrichtlinien in dafür vorgesehenen Formaten an ALLE Mitarbeiter*innen kommuniziert werden und besonders die adressiert werden, die nun neu aus dem Home Office arbeiten müssen. Möglichkeiten hierfür gibt es einige, wichtig ist in allen Fällen, dass alle Mitarbeiter*innen protokolliert diese zur Kenntnis nehmen.

• Merkblätter, interne Newsletter
• Online Webinare, interne online Schulung (mit verpflichtender Teilnahme)
• Professionelle Awareness Training Tools

Physischer Zutritt- und Zugriffsschutz
Clean Desk Policy

Bei einem Home Office Arbeitsplatz kann nicht die gleiche infrastrukturelle Sicherheit vorausgesetzt werden, wie sie in den Firmenbüros vorzufinden ist. So ist z. B. der Arbeitsplatz zuhause oft auch für Besucher oder Familienangehörige zugänglich. Wir empfehlen Maßnahmen zu ergreifen, die den Heimarbeitsplatz mit einem Büroraum vergleichbar machen. Auch hier gilt, wie oben bereits festgehalten, dass Mitarbeiter*innen sensibilisiert werden und durch gut verständliche Beispiele auf mögliche Gefahren hingewiesen werden. Einige Beispiele:

• Während einer Arbeitspause oder nach Beendigung der Arbeit muss sichergestellt werden, dass Unbefugte (Familienmitglieder, Besucher, Haushaltshilfen, …) keinen Zugriff auf den Computer oder Laptop haben.
• Der Arbeitsplatz (Laptop oder Computer) darf nicht gleichzeitig als „Familienlaptop“ genutzt werden, da die Gefahr beim Surfen im Internet außerhalb der Unternehmensfirewall und den dort implementierten Sicherheitskontrollen steigt, durch Schadsoftware infiziert zu werden. Diese verbreitet sich dann bei einer gesicherten Verbindung ins Unternehmensnetzwerk (VPN) auch dort und richtet oft großen wirtschaftlichen Schaden an.
• Die Nutzung von privater IT Infrastruktur im Home Office (z.B. Drucker) muss klar geregelt oder wenn möglich vollkommen unterbunden werden (papierloses Büro). Vertrauliche Protokolle, personenbezogene Daten oder Unternehmenszahlen, die zuhause ausgedruckt werden, landen nicht selten zuerst als Malunterlage beim Nachwuchs und im Anschluss in der häuslichen Altpapiersammlung!
• Sind verschließbare Schreibtische, Schränke oder Schubladen vorhanden? Wenn dies nicht der Fall ist, müssen Mitarbeiter*innen den Home Office Arbeitsplatz aufgeräumt hinterlassen und sicherstellen, dass keine sensitiven Informationen frei zugänglich sind.

Sicherer und verschlüsselter Zugriff
auf das Unternehmensnetzwerk

Um eine sichere Verbindung zum Unternehmensnetzwerk herstellen zu können, ist die Nutzung von VPN (Virtual Private Network) unerlässlich. Nicht selten ist diese Technologie bereits im Einsatz und wird von mobilen Mitarbeiter*innen bereits genutzt. Diese Technologie wird auch dazu verwendet, Standorte sicher miteinander zu vernetzen und ist daher in fast allen Unternehmen ein Standard.

• User-basierte Zugriffsberechtigung – Sobald der Zugriff vom Home Office über VPN hergestellt wird, muss sichergestellt werden, dass die Zugriffsberechtigungen abhängig vom jeweiligen Mitarbeiterprofil vergeben wird (z.B. User aus dem Einkauf hat nicht dieselben Berechtigungen wie die Kollegen*innen aus der Personalabteilung). Innerhalb des Unternehmensnetzwerks ist dies meist klar definiert. Bei Remotezugriffen wird empfohlen, dies nochmals gründlich zu überprüfen.
• Multi – Faktor – Authentifizierung (MFA) wird heute von allen marktüblichen Sicherheitssystemen unterstützt und sollte auch hier zur Einwahl in das VPN und beim Zugriff auf Unternehmensdaten zum Einsatz kommen. Es bedarf einer zweistufigen Passwort Überprüfung, d.h. dass für eine erfolgreiche Anmeldung entweder ein einmaliger und nur für begrenzte Zeit gültiger Code (vergleichbar mit den Online E-banking Codes) per Smartphone oder Token eingegeben werden muss.
• Überwachung der End-Punkte (Home Office PCs oder Laptops) gehört mit in den Katalog der Sicherheitsmaßnahmen. Eine solche Lösung stellt sicher, dass Virenschutzprogramme und Security Patches auf den Home Office Geräten auf dem aktuellstem Stand sind und kann Quarantäne Maßnahmen einleiten, falls Sicherheitsrisiken auftreten (auch hier gibt es Quarantäne…)
• Nicht zuletzt bedarf es eines besonderen Augenmerks auf Email Verkehr. Hier wird die Coronavirus Ausnahmesituation ausgenutzt und es kursieren bereits Phishing-Mails, die das Coronavirus als Türöffner für Computerviren nutzen.
• Professionelle technische Lösungen, die ihren Email Verkehr schützen, sind in den meisten Unternehmen bereits implementiert und wehren dabei eine große Bandbreite von Cyberangriffen ab. Diese sind jedoch nur dann effizient, wenn Home Office User auch ausschließlich mit dem Firmen Emailaccount arbeiten. Private Email Programme und Accounts dürfen auf einem Home Office Arbeitsplatz nicht bearbeitet werden!

Die Liste an Maßnahmen ließe sich noch um einige Punkte ergänzen, dennoch wird es niemals möglich sein, alle Gefahrenquellen auszuschließen.

Was aber möglich ist, ist diese im Rahmen einer Risikoanalyse zu identifizieren und zu überprüfen, welche Möglichkeiten es gibt, diese durch eine Cyberversicherung abzudecken.

Zögern sie nicht, diesbezüglich mit uns in Kontakt zu treten – wir sind für sie da!