Früher Ausnahme, heute die Regel – das Homeoffice ist zum Normalzustand geworden. Selbst konservative Unternehmenslenker müssen sich eingestehen, dass das Arbeiten in den eigenen vier Wänden bestens funktioniert. Experten erwarten, dass sich für Wissensarbeiter nach der Pandemie daran nicht viel ändern wird. Homeoffice bedeutet auch, dass der Arbeitsplatz digitalisiert wird – und entsprechend abgesichert werden muss. IT-Sicherheitsexperten empfehlen daher folgendes Vorgehen:
Wissen ist die Basis
Als Basismaßnahme sollte jeder Betriebsangehörige darauf achten, ob die eigene Institution Regelungen für die Wahrung der IT-Sicherheit getroffen hat. Unter anderem sollte geklärt werden, welche Informationen überhaupt außerhalb der Institution bearbeitet werden dürfen. Was darf man mit nach Hause nehmen, was darf man mobil bearbeiten? Welche Kommunikationsmittel dürfen unter welchen Bedingungen genutzt werden? Und welche Sicherheitsmaßnahmen sind für Homeoffice und für das mobile Arbeiten jeweils zu beachten?
Regeln und Sicherheitsmaßnahmen sind nur dann hilfreich, wenn die Mitarbeiterinnen und Mitarbeiter sie auch kennen und beachten. Sie müssen die Gefahren kennen, die beispielsweise durch eine unsichere Kommunikation entstehen können. Beispielsweise könnten verstärkt Phishing-E-Mails auftreten, die versuchen Daten zu Remote-Zugängen und Passwörter abzugreifen. Um dies zu vermeiden und wie eine Verschlüsselung der Daten stattfindet, erklären wir in diesem Beitrag.
Regeln und Maßnahmen sollten leicht verständlich und kurz gefasst auf einem Merkblatt oder im Rahmen einer Sicherheitsrichtlinie festhalten werden, damit alle sensibilisiert sind. Dazu sollte eine entsprechende Einweisung und Schulung stattfinden. Außerdem sollte es feste Ansprechpartner für Hard- und Softwareprobleme geben.
Sicherheitslücken entdecken und schließen
Consumer-Equipment wie Router oder WLAN-Netze liegen im Homeoffice schließlich nicht mehr im Verantwortungsbereich des Administrators einer Firma. Augenscheinlich werden Sicherheitsbedenken, wenn es um Cyberangriffe geht: Malware- und Phishing-Attacken richten in privaten Netzwerkumgebungen erfahrungsgemäß einen besonders großen Schaden an, schlichtweg deshalb, weil die Sicherheitsvorkehrungen nicht gegeben sind. Auch Support-Mitarbeiter, die im Unternehmen rasch erste Maßnahmen ergreifen können, haben im Homeoffice nur bedingt Zugriff auf die IT.
Wichtig ist es deshalb für IT-Administratoren, bereitgestellte Endgeräte mit gängigen Sicherheitslösungen zu schützen. Dazu gehören zum Beispiel eine Anti-Viren-Lösung, eine Software-Firewall mit Portkontrolle und auf eine sichere Cloud-Software zu setzen. IT-Verantwortliche sollten dringend in Erwägung ziehen, spezielle Security-Technologien für einen Datenklau oder Datensicherung zu implementieren. So werden Anwendungen auch von der Ferne aus deaktiviert oder wiederhergestellt. Wirklich wichtige Daten sollten nicht lokal gespeichert sein, da bei mobilen IT-Systemen die Zerstörungsgefahr durch Stürze, Transportschäden oder falscher Aufbewahrung erheblich größer sind als bei stationären Systemen. Datensicherungen sollten hierbei zur Routine gehören.
Die Wahl der sicheren Tools
Wenn unternehmensfremde IT-Systeme und -Netze wie etwa externe Videokonferenz-Dienste genutzt werden, muss dies von der Institution geregelt werden. Das Schutzniveau solcher Systeme kann sich stark vom eigenen System unterscheiden. Laut dem Handelsblatt weisen viele gängige Videosysteme im täglichen Gebrauch gravierende Datenschutzmängel auf.
Insbesondere im Datenaustausch und in der Kommunikation auf Vorstandsebene ist die konsequente und lückenlose Absicherung notwendig. Grundsätzlich sollten alle Arbeitnehmerinnen und Arbeitnehmer den Wert der ihnen anvertrauten Informationen einschätzen können. Dabei gilt ein Grundsatz: Je mehr Verantwortung sie tragen und je höher sie in der Unternehmenshierarchie tätig sind, desto kritischer und sensibler sollte der Umgang mit Daten sein.
Vertraulichkeit für Daten
Die Einhaltung von Vertraulichkeit ist bei vielen Arbeiten, beispielsweise der Erstellung von Quartals- und Jahresberichten unabdingbar. Die Geheimhaltung der Inhalte hat vor dem Veröffentlichungszeitpunkt höchste Priorität. Daher sollten die Zugriffsrechte auf gespeicherte Daten auf das Nötigste beschränkt sein. Mit einem praktischen Rechtemanagement, wie in der Brainloop Lösung, lassen sich diese explizit verwalten und verschlüsselt an externe Partner versenden.
Verschlüsselung ist ein Muss
Das Homeoffice oder der mobile Arbeitsplatz ist grundsätzlich anders geschützt als Büroräume, allein schon dadurch, dass der Arbeitsplatz auch Familienangehörigen und Besuchern zugänglich ist. Die Verschlüsselung von mobilen und fest eingebauten Speichermedien ist daher ein Muss. Bei Datenraumlösungen sollten Sie auf eine Verschlüsselung und höchste Sicherheitsstandards z.B. Zwei-Faktor-Authentifizierung achten. Auch der Fernzugriff auf das Firmennetz sollte abgesichert werden – zum Beispiel mit kryptografisch abgesicherten Virtual Private Networks (VPN). Zudem sollte auch von öffentlichen Netzen aus nur über VPN auf sensible Firmennetze und -daten zugegriffen werden.
Auch mobil sicher agieren
Unbefugte dürfen keinen Zugang zu den dienstlichen digitalen Geräten und Dateien bekommen. Dafür können im Homeoffice verschließbare Schreibtische, Container oder Schränke sorgen. Sensible Informationen etwa zu Zugangsdaten sollten nicht frei zugänglich sein. Falls Sie in öffentlichen Umgebungen wie einem Park oder im Zug arbeiten, sollte sichergestellt sein, dass sensible Daten und Passwörter nicht von der Seite eingesehen werden können. Das Risiko dafür lässt sich etwa mit Bildschirmschutzfolien verringern. Am sichersten gilt aber immer noch besonders sensible Tätigkeiten nicht an öffentlichen Orten durchzuführen.
Geschrieben von Limor Gersch
Brainloop, Collaboration, Informationssicherheit