Home-Office als Sicherheitsrisiko: Tipps für die Absicherung

So manche Organisation hat die Coronaviruskrise ins kalte Wasser namens «Home-Office» gestossen. Wenig überraschend wurden dabei bisweilen Abkürzungen genommen, die vor allem aus dem Blickwinkel der IT-Sicherheit haarsträubende Probleme mit sich bringen können. Folgend einige Tipps dazu, wie Sie diese Risiken minimieren können.

Provisorien schnell austauschen und absichern

In der ersten Hektik wurden mancherorts Lösungen geschaffen, die nur Provisorien sein dürfen. Da wurde eventuell der sonst nur intern verfügbare Sharepoint-Server ohne weitere Absicherung mit dem Internet verbunden. Oder die Mitarbeiter greifen in Eigeninitiative auf Werkzeuge in der Cloud zurück, die sie zwar schon kennen, die aber für den Einsatz mit sensiblen Informationen nicht geeignet sind. Oder es wird eine Chat-App für den Austausch genutzt, die keine ausreichende Verschlüsselung aufweist.

Hier muss die IT nun passende Alternativen finden und zugleich für ein höheres Sicherheitsniveau sorgen: Zwei-Faktor-Authentifzierung ist ein Stichwort. Zugleich muss sie neue (Cloud-)Dienste evaluieren und korrekt einrichten – keine einfache Aufgabe, die zudem Zeit braucht. Hier muss die Organisation bei Bedarf in externe Expertise investieren.

Und falls noch nicht vorhanden: Die Mitarbeiter brauchen einen Password-Manager damit sichere Passwörter zum Normalfall werden.

Mitarbeiter sensibilisieren

Angriffe gehen aber gar nicht nur auf die Infrastruktur, sondern oftmals auf ein schwächeres Glied in der Kette: den Menschen. Wir hatten dieses Thema bereits in einem eigenen Artikel behandelt und es ist aktueller denn je. Schliesslich finden sich die Mitarbeiter in einer höchst ungewohnten Situation wieder, denn es wird nun viel auf digitalen Wegen kommunziert, was sonst im persönlichen Gespräch passiert wäre.

Die dringend scheinende E-Mail vom Vorgesetzten oder der Hilferuf eines Kunden kommt dann in Wirklichkeit von einem Angreifer. Wie Untersuchungen zeigen, ist die Klickrate auf Phishing-E-Mails im Home-Office dreimal höher als im Büro. Oder ein harmlos scheinender Anruf nutzt die allgemeine Unsicherheit und Verwirrung aus, um interne Informationen zu erfahren. Oder Mitarbeiter nutzen eben doch auf eigene Faust einen unsicheren Dienst, weil er einfacher funktioniert als der offiziell zur Verfügung gestellte. Hier braucht es nicht nur passende Alternativen (siehe oben), sondern auch klare Ansagen, was genutzt werden darf.

Darüber hinaus sind sich Kriminelle bewusst, wie hoch der Informationsbedarf rund um die Coronaviruskrise ist. Schon im Januar hatte Sicherheitsspezialist Kaspersky Malware-Anhänge festgestellt, die mit Informationen über den Virus lockten. Und der eco Verband teilte mit: Von Januar bis März 2020 wurden über 16’000 Domains registriert, die einen Bezug zum Thema Corona haben. Diese sind zu 50 Prozent häufiger betrügerisch als andere, zeigen Studien.

Prozesse neu aufstellen

Noch mehr als bisher ist es wichtig, die eigenen Mitarbeiter für solche Angriffsszenarien zu sensibilisieren. Zugleich ist in der derzeit ungewohnten Situation der gesunde Menschenverstand gefragt und eine besondere Vorsicht. Alle Beteiligten müssen das Gefühl haben, dass Sicherheit und Datenschutz Vorrang haben vor schnellem Handeln und einer sofortigen Reaktion. Bedenken Sie: Alle in der Organisation stehen unter einem enormen Druck und Stress. Teamleiter und Manager müssen das im Hinterkopf behalten und ebenfalls akzeptieren, dass die Produktivität zumindest vorübergehend sinkt.

Zugleich brauchen alle Beteiligten neue Arbeitsabläufe und Prozesse. Die sollten einerseits abgesichert und andererseits möglichst einfach zu befolgen sein. Absprachen und Rücksprachen sind in verteilten Teams schliesslich nicht immer so einfach umzusetzen wie im Büro. Idealerweise wissen die Mitarbeiter und Gruppen, welche Entscheidungen sie selbst treffen dürfen.

Sicherheitsmassnahmen im Home-Office

Geben Sie Ihren Mitarbeitern zudem Tipps, wie sie Ihre Arbeit zu Hause absichern können. Viele werden sich damit nicht beschäftigt haben, denn bisher hat das oftmals die IT erledigt. Private Installationen sind zudem meist auf Bequemlichkeit ausgelegt und nicht auf Sicherheit.

Privat- und Dienst-Hardware sollte idealerweise strikt getrennt bleiben. Denn dass nun eventuell die eigenen Geräte zum Einsatz kommen, dürfte für so manche IT-Abteilung ein Alptraum sein. Aber auch hier lässt sich mit einigen Tipps die Sicherheit erhöhen:

• Eine mobile Internetverbindung via Smartphone-Hotspot, Surf Stick oder 4G-Router gilt als sicherer als das heimische WLAN.
• Ist das nicht möglich, müssen alle Admin- und WLAN-Kennwörter aktualisiert und auf ein sicheres Niveau gebracht werden.
• Smart-Home-Funktionen sollten idealerweise während der Arbeitszeit deaktiviert sein.
• Generell sollte die Firmware aller Geräte stets auf dem aktuellsten Stand sein, dies gilt besonders für den heimischen Router.
• Für die Verbindung ins Firmennetzwerk braucht es einen VPN-Dienst, um den Datenverkehr zu verschlüsseln.
• Alle Geräte, die für die Arbeit genutzt werden, müssen für den Fall eines Einbruchs in das Zuhause abgesichert sein. Dazu gehört die Verschlüsselung der Daten – nicht nur auf dem Rechner, sondern beispielsweise ebenso auf USB-Sticks. Siehe dazu FileVault für Macs und BitLocker für Windows.
• Auch eine Funktion zum Löschen des Smartphones, Tablets oder Laptops aus der Ferne muss vorhanden sein.
• Falls möglich, sollte das Arbeitszimmer zu Hause abschliessbar sein und wichtige Dokumente, Datenträger und Geräte eingeschlossen werden.

Schlusswort

Zuerst ging es in vielen Unternehmen darum, die Arbeitsfähigkeit zu erhalten oder wiederherzustellen. Dass dabei andere Aspekte auf der Strecke bleiben, ist verständlich. Allerdings sollte der potenzielle Schaden eines erfolgreichen Hackerangriffs nicht unterschätzt werden. Insofern ist jetzt die richtige Zeit, das Thema IT-Sicherheit wieder zu priorisieren. Dabei ist es besonders wichtig, die Mitarbeiter einzubeziehen, sie für die Gefahren zu sensibilisieren und ihnen mit klaren Ansagen weiterzuhelfen.