Am 9. Februar 2021 findet der internationale „Safer Internet Day“ bereits zum 18. Mal statt. Der Cybersecurity-Spezialist SEC Consult nimmt den Aktionstag zum Anlass, und möchte mit folgenden Empfehlungen zur sicheren Gestaltung von Heimarbeitsplätzen zu einer verantwortungsvollen Internet- und Handynutzung beitragen.
2020 hat aufgrund der Corona-Pandemie zu einem vermehrten Umstieg auf alternative Arbeitskonzepte geführt und Unternehmen vor neue Herausforderungen gestellt. In kürzester Zeit musste Telearbeitstechnologie implementiert oder massiv verstärkt werden. Die Verbreitung von geschäftskritischen Informationen und essenziellem Wissen über mehrere Systeme unter großem Zeitdruck führte zu einer besonders sensiblen Situation, die Cyberkriminellen vielfältige Eingangstore eröffnete.
Die Problematik des schnellen Umstiegs auf Telearbeit hat sich zwar im Lauf des Jahres entschärft, doch um langfristigen Risiken vorzubeugen, sollten Unternehmen dieses Thema unbedingt weiter im Blick behalten. Der Schutz von sensiblen Informationen und personenbezogenen Daten ist essenziell für die Handlungsfähigkeit von Unternehmen, insbesondere wenn alternative und mobile Arbeitskonzepte den Geschäftsfortgang sichern müssen.
Die Cybersecurity-ExpertInnen von SEC Consult haben die für die Cybersicherheit relevantesten Themen zusammengefasst und stellen im Folgenden die wichtigsten Schritte zur Gestaltung eines sicheren Heimarbeitsplatzes vor.
- Richtlinien und Prozesse etablieren, Awareness schaffen
Das Unternehmen sollte eine Sicherheitsrichtlinie und klar nachvollziehbare Prozesse für die Datenverarbeitung im Home-Office etablieren, die eindeutige Regeln und Verhaltensweisen vorgeben. Es ist ebenso wichtig, die MitarbeiterInnen regelmäßig zu informieren und sie anzuhalten, sich mit den Vorgaben zu befassen und bei Unklarheiten nachzufragen.
- Für sicheren Datentransfer und sichere Kommunikation sorgen
Für die Verarbeitung vertraulicher Informationen über das Internet sind eine sichere Verbindung wie z.B. über ein VPN oder spezielle Geräte wie eine Datenkarte nötig. Dabei sollten die MitarbeiterInnen aus Sicherheitsgründen folgende Verbindungsreihenfolge einhalten: Datenkarte > privates WLAN > mobiler Hotspot. Andere Geräte, die mit dem privaten WLAN verbunden sind, sollten nach Möglichkeit ausgeschaltet sein.
Die Verschlüsselung gespeicherter und übertragener Daten im Home-Office sowie bei Fernzugriffen auf die Unternehmensinfrastruktur mittels sicherer Algorithmen ist nötig, um einen risikolosen Transfer zu garantieren. Eine geschützte E-Mail-Kommunikation ist mit S/MIME- oder PGP-Verschlüsselung möglich. Auch der Versand von Dokumenten mit kritischen Informationen per verschlüsselten Zip-Dateien über einen zweiten Kanal (z.B. separate SMS für das Zip-Passwort) ist eine sichere Lösung.
- Unternehmensnetzwerk vor externen Endgeräten schützen
Im Frühjahr 2020 musste schnell reagiert werden und oft war die Verwendung privater Endgeräte die einzige Möglichkeit für Unternehmen, handlungsfähig zu bleiben. Diese Situation hat sich zwar entschärft, doch es gibt immer noch Szenarien, in welchen private Geräte für Tätigkeiten verwendet werden, die nicht durch das Unternehmen verwaltet werden können.
Hier müssen die MitarbeiterInnen geschult werden, wie sie ihre privaten Geräte schützen können, um in weiterer Folge die Firmensysteme nicht zu gefährden. Auch für die Telearbeit nötige Software sollte unbedingt vorab von der IT-Abteilung geprüft und über interne Links bereitgestellt werden, um einen versehentlichen Download von mit Malware verseuchten Applikationen oder Programmen zu verhindern.
- Privat- und Unternehmensgeräte voneinander trennen
Unternehmensdaten haben auf privaten Speichermedien nichts verloren und Privat- und Unternehmensgeräte sollten möglichst voneinander getrennt werden. Der Anschluss von externen Medien und Geräten an den Arbeitscomputer sollte unbedingt zuvor von der IT genehmigt werden. Es geht jedoch nicht nur um Arbeitsmittel wie Laptop, PC oder Drucker.
Heute finden sich in Heimnetzwerken neben diversen intelligenten Assistenten auch alle erdenklichen Arten von Unterhaltungselektronik. Das Risiko, dass das Firmennetzwerk durch unsichere oder mit Schadsoftware infizierte Privatgeräte gefährdet wird, ist also groß. Hier müssen die MitarbeiterInnen gut informiert und geschult werden, um ein größeres Sicherheitsbewusstsein zu entwickeln – was ihnen letztlich auch privat zugutekommen wird.
- Auch physischen Schutz nicht vergessen
Im Home-Office ist man zu Hause, fühlt sich also auf sicherem Terrain. Üblicherweise vertraut man auch den Menschen, mit denen man den Wohnbereich teilt. Dennoch sollten die MitarbeiterInnen ihre Familien oder MitbewohnerInnen über die Bedeutung von Datenschutz, DSGVO und ihre Verpflichtung gegenüber dem Unternehmen informieren.
Am besten ist es, den Bildschirm jedes Mal zu sperren, wenn das Gerät unbeaufsichtigt bleibt, und auch analoge Unterlagen sollten beim Verlassen des Arbeitsplatzes an einem sicheren Ort aufbewahrt werden.
Keine Angst vor dem Home-Office
Auch wenn diese Auflistung zunächst den Eindruck vermitteln mag, Home-Office sei Teufelszeug – mit guter Vorbereitung und den entsprechenden Sicherheitsmaßnahmen können Unternehmen und ihre MitarbeiterInnen die seit der Corona-Pandemie verstärkt eingesetzte Mobilität am Arbeitsplatz zum beiderseitigen Vorteil nutzen.
SEC Consult-Geschäftsführer Ulrich Fleck empfiehlt eine Zwei-Stufen-Strategie: „Kurzfristig sind zeitnahe Security Reviews ratsam, die dabei mithelfen, den Sicherheitsstatus aller Arbeitsplätze, ob im Unternehmen, bei der Telearbeit oder im Home-Office, zu erfassen und rechtzeitig notwendige Maßnahmen zu ergreifen.“
„Sind die Rahmenbedingungen etabliert, sollten regelmäßige, tiefgehende Sicherheitsprüfungen durchgeführt werden. Wenn die dafür nötigen personellen Ressourcen unternehmensintern fehlen, können externe SicherheitsspezialistInnen Anwendungen einer Bewährungsprobe unterziehen, mögliche Schwachstellen identifizieren und auch Lösungen zur Beseitigung von Sicherheitslücken anbieten.“