Sicherheitsrisiko Home Office? Diese Dinge sollten Sie beachten

In Zeiten der globalen Corona-Pandemie ist Heimarbeit aktueller und verbreiteter denn je. Auch langfristig ist zu erwarten, dass das Home Office ein wichtiges Standbein zur Verbesserung der Work-Life-Balance bleiben wird.

Dennoch birgt das Arbeiten von zu Hause Gefahren - insbesondere für die Sicherheit von Daten und Informationen. Während Firmennetzwerke und Firmengeräte in der Regel durch zahlreiche Maßnahmen wie beispielsweise Firewalls und Viren-Scanner gut geschützt sind, gelten Heimnetzwerke und private Geräte als anfällig für Cyber-Angriffe. Daher gilt es einige Dinge zu beachten, um den Home Office Alltag sicher zu gestalten.

Was bedeutet Datensicherheit eigentlich? 

Ziel des sogenannten Information Security Management (ISM) ist es, Unternehmensdaten vor Verlust und Diebstahl zu schützen. Dabei geht Informationssicherheit allerdings weit über technische Feinheiten hinaus - so spielen beispielsweise auch organisatorische Maßnahmen eine große Rolle.

Maßnahmen zur Datensicherheit setzen also auf den unterschiedlichsten Ebenen an. Im Folgenden wollen wir uns dabei aber auf die im Home Office relevantesten Fragen beschränken:

• Zugriffskontrolle: Wer hat physischen Zugriff auf Geräte und Unternehmensdaten? 

• Netzwerksicherheit: Wer hat Zugriff auf das Heim- und Firmennetzwerk? 

• Geräte-Sicherheit & Kryptographie: sind Endgeräte ausreichend geschützt?

• Mitarbeiterschulungen: wissen Mitarbeiter wie sie im Home Office sicher mit Daten umgehen können? 

Wer hat Zugriff auf Unternehmensdaten?

Sei es in der Umkleidekabine des Fitnessstudios oder im Schanigarten - jeder von uns hat bestimmt schon einmal das Hinweisschild “Gelegenheit macht Diebe” gesehen.

Dabei beschreibt dieses Motto perfekt, worum es bei der Zugriffskontrolle in der IT-Sicherheit geht: durch angemessene Maßnahmen soll verhindert werden, dass Unbefugte überhaupt die Möglichkeit haben, sich an Firmengeräten zu vergreifen.

Hierunter fallen beispielsweise Clear Desk Policies oder das Sperren des Bildschirms, wann immer man sich vom Arbeitsplatz entfernt. 

Und auch im Home Office gilt: wenn Sie Ihre Geräte oder ausgedruckte Dokumente kurzzeitig nicht mehr benötigen, sollten Sie Geräte sperren und vertrauliche Dokumente in einer Schublade verschließen. 

Besondere Umsicht gilt in Haushalten mit Kindern: Kinder müssen in die Umsetzung der Sicherheitsmaßnahmen einbezogen werden und dürfen keinen Zugriff auf Firmengeräte und Firmendokumente haben, um Sie und Ihr Unternehmen vor unbeabsichtigtem Datenverlust zu schützen.

Wie kann man das Heimnetzwerk schützen?

Die Nutzung des Internets ist im Home Office unausweichlich - sei es für die Kommunikation mit Kollegen, Kunden und Partnern oder zur Arbeit an Unternehmensprojekten.

Allerdings sind Heimnetzwerke häufig nur unzureichend geschützt. Daher sollte bei der WLAN Konfiguration auf folgende Dinge geachtet werden:

• Nutzen Sie den höchsten Verschlüsselungsstandard (WPA2 PSK), und wählen Sie ein sicheres Passwort. (Tipp: sollten Sie kein komplexes Passwort merken können, so können Sie auch eines aus den Anfangsbuchstaben in einem für Sie einfach zu merkenden Satz bilden. Beispiel: aus “Meine beste Freundin wohnt in der Zieglergasse 8 in 1070 Wien.” wird “MbFwidZ8i1070W.”. Achten Sie aber darauf, dass Ihr Satz nicht zu einfach zu erraten ist.)

• Halten Sie die Firmware Ihres Routers aktuell und deaktivieren Sie den Fernzugriff

• Legen Sie ein Gäste-WLAN mit eingeschränkten Nutzungsrechten an, wenn Sie regelmäßig Gäste empfangen

Weitere Maßnahmen zur Absicherung Ihres Routers können Sie auch auf der Website des österreichischen Bundesministeriums für Digitalisierung und Wirtschaftsstandort nachlesen.

Zudem sollte die Nutzung von VPN Services forciert werden. Durch einen VPN können sich Endgeräte, die sich physisch nicht im Unternehmensnetz befinden, verschlüsselt ins Firmennetz einwählen. Dadurch kommen dem Rechner einige der technischen Sicherheitsmaßnahmen wie beispielsweise Firewalls zugute, jedoch ganz ohne örtliche Bindung. 

Ein Einwählen im Firmennetz sollte ohne VPN generell untersagt sein, da ansonsten Viren oder Angreifer über das Heimnetzwerk eines Mitarbeiters das Firmennetz infiltrieren können. Zudem besteht die Gefahr, dass bei Nutzung von Privatrechnern über den VPN Unsicherheitsfaktoren wie Viren ins Firmennetz eingeschleust werden können. (Mehr dazu an späterer Stelle.)

Zu guter Letzt sollte auch bei der Nutzung von Cloud Diensten ein besonderes Augenmerk auf deren Sicherheit geworfen werden (z.B. auf die Verfügbarkeit von Single-Sign-On oder 2-Faktor-Authentifizierung).

Wie kann man Geräte absichern?

Firmenrechner sind häufig so konfiguriert, dass durch präventive Maßnahmen bereits viele Gefahren abgewendet werden - so sind beispielsweise häufig USB Ports deaktiviert, oder Dateianhänge von Emails, die Schadsoftware enthalten, können oft erst gar nicht geöffnet werden. 

Allerdings ist es nicht immer möglich, dass Mitarbeiter im Home Office ihren Firmenrechner verwenden, insbesondere bei stationären Desktop-Rechnern.

Beim Einsatz von privaten Computern für Berufszwecke sollten diese vor Verwendung immer von der internen IT oder einem IT-Dienstleister überprüft und abgesichert werden. Dadurch kann sichergestellt werden, dass Privatrechner ähnlich gut geschützt sind wie Firmenrechner.

Ebenso sollten mobile Geräte wie Laptops und Smartphones, die vertrauliche und unternehmenskritische Daten enthalten, verschlüsselt werden. Dadurch erschwert man bei Verlust oder Diebstahl des Gerätes das Auslesen von Unternehmensdaten. Bei Smartphones, die auch privat genutzt werden, kann dies beispielsweise auch durch ein Mobile Device Management System gewährleistet werden.

Wissen Mitarbeiter, wie sie Firmendaten effektiv schützen?

Tatsächlich sind laut dem Cyber Security Intelligence Index von IBM mehr als 90 % aller Sicherheitsvorfälle auf menschliche Fehler zurückzuführen. 

Zu guter Letzt gilt es also, Mitarbeiter entsprechend zu schulen, um Sicherheitsrisiken im Home Office zu verringern.

Neben einer Einführung in allgemeine Themen der IT-Sicherheit, beispielsweise dem Erkennen von Phishing Mails, spielt hierbei insbesondere eine Sensibilisierung für Sicherheitsrisiken im Home Office eine Rolle. 

Hierunter fallen die bereits oben angesprochenen Punkte, wie das Sperren von dienstlichen Geräten oder die Absicherung des Heim-WLANs. Darüber hinaus sollten Mitarbeiter aufgeklärt werden, dass die Nutzung von privaten Mail- und Chat-Diensten für dienstliche Tätigkeiten zu Sicherheitsrisiken führen kann.

Zusammenfassung

Das Home Office stellt für die Unternehmens-IT häufig eine kleine Herausforderung dar. Mithilfe geeigneter Maßnahmen - sowohl auf technischer, als auch auf organisatorischer Ebene - ist es dennoch möglich, kritische Unternehmensdaten zu schützen und Mitarbeitern im sicheren Umgang mit diesen vertraut zu machen.