Melden Sie sich zu unserem Newsletter an!
Lust auf interessante Themen und spannende Beiträge rund um IT und IT-Sicherheit? Abonnieren Sie unseren monatlichen Newsletter!
Jetzt anmelden!© Catherina Schurmann, Unsplash
Die Corona-Pandemie hat die Arbeit in vielen Unternehmen in das Homeoffice verlagert. Die IT-Sicherheit wurde dabei aber oft zurückgelassen. Das zeigt auch eine repräsentative Studie des Bundesamts für Sicherheit in der Informationstechnik (BSI). Zu viele Unternehmen – vor allem Kleinst- und Kleinunternehmen – vernachlässigen Cyber-Sicherheitsmaßnahmen.
Viele Unternehmen möchten das Homeoffice auch nach der Pandemie fortführen oder sogar erweitern. Nur wenige von ihnen planen allerdings weitere Sicherheitsmaßnahmen speziell für das Homeoffice. Das kann zur Gefahr werden.
Wir zeigen anhand von sieben Schritten, wie Sie das Homeoffice sicher gestalten können.
1. Firmen-Hardware im Homeoffice nutzen
Am Anfang musste es schnell gehen. Viele Unternehmen mussten ihre Mitarbeitenden möglichst schnell ins Homeoffice schicken, um das Infektionsgeschehen unter Kontrolle zu bringen. Ad hoc getroffene Maßnahmen sollten aber langfristig durch sichere IT-Lösungen ersetzt werden.
Aus Sicherheits- und Datenschutzgründen sollten Sie daher unbedingt Firmen-Hardware nutzen und nicht auf die private Hardware der Mitarbeitenden zurückgreifen. Durch den Einsatz von Firmen-Hardware erhalten Sie passgenaue Lösungen und können Maßnahmen zur IT-Sicherheit besser steuern.
Die Installation von Virenscanner und das regelmäßige Updaten von Software und Betriebssystemen – Maßnahmen, die Sie unbedingt umsetzen sollten – liegen sonst in der Eigenverantwortung der Mitarbeitenden. Das kann zur Gefahr für Ihr Unternehmen werden.
2. VPN-Verbindung einrichten
Das Einrichten einer VPN-Verbindung – auch Virtual Private Network genannt – schützt vor vielen Bedrohungen. Vor allem das Ausspähen von Informationen durch Mitlesen des Datenverkehrs wird so verhindert. Denn VPNs verschlüsseln die Datenkommunikation zwischen zwei Endpunkten. Das können Sie sich ein bisschen wie einen abhörsicheren Tunnel vorstellen.
Greifen Mitarbeitende auf das Firmennetzwerk zu, sollte dafür immer eine VPN-Verbindung hergestellt werden. Bevor ein Zugriff erlaubt wird, sollte immer die Legitimität der Nutzer:innen überprüft werden. Außerdem sollte mindestens ein Passwortschutz vorliegen. Am besten wäre allerdings eine Zwei-Faktor-Authentisierung.
3. Zwei-Faktor-Authentisierung nutzen
Bei der Zwei-Faktor-Authentisierung (2FA) gibt es neben einem Passwort noch ein weiteres Verfahren zur Authentisierung. Vor allem hardwarebasierte Verfahren gelten als besonders sicher und können eine gute Ergänzung zu einem starken Passwort sein. Dabei kann beispielsweise ein Code an das Smartphone der Nutzer:innen gesendet werden. Die Möglichkeiten sind vielfältig.
Der Vorteil: Selbst, wenn Unbefugte Zugriff auf Log-in-Daten erhalten haben, können sie sich bei einer 2FA nicht einloggen. Diese Art der Authentisierung bietet sich vor allem bei VPN-Verbindungen an. Prinzipiell sollte sie aber bei allen Konten und Anwendungen, die diese Möglichkeit bieten, eingesetzt werden.
4. Regelmäßige Updates machen
Egal ob Firmen-Hardware oder private IT – Sie sollten auf jeden Fall regelmäßig Patches und Updates einspielen. Bei Firmen-IT können Sie das zentral managen. Bei privater Hardware geht das leider nicht. In diesem Fall sollten Sie Ihre Mitarbeitenden für die möglichen Gefahren (siehe Hafnium) sensibilisieren und regelmäßig auf zur Verfügung stehende Updates hinweisen.
5. Mobile-Device-Management einsetzen
Werden mobile Endgeräte wie Handys oder Tablets mit Verbindung zum Firmennetzwerk nicht richtig gemanagt, können Sicherheitslücken entstehen – teilweise mit teuren Folgen. Ziel eines Mobile-Device-Managements (MDM) ist daher, definierte Sicherheitsrichtlinien und Konfigurationsparameter auch auf mobilen Endgeräten durchzusetzen.
Außerdem können Sie mobile Endgeräte über ein MDM zentral verwalten, also Apps installieren, updaten oder löschen sowie SIM-Karten sperren. Über das MDM können zusätzlich Rechte vergeben und verwaltet werden. Wichtig ist hier, dass die Mitarbeitenden nur so viele Rechte erhalten wie für die Ausübung ihrer Tätigkeit notwendig ist.
6. Homeoffice-Richtlinie festlegen
Legen Sie klare Regeln fest, wie das Homeoffice gestaltet und mit Unternehmens-IT umgegangen werden soll. So kommt keine Unsicherheit auf und Ihre Mitarbeitenden werden sensibilisiert. An dieser Stelle können Sie beispielsweise Vorgaben zu Passwörtern, Bildschirmsperren und der Verschlüsselung von Datenträgern festhalten.
Außerdem sollten Sie weitere wichtige Fragen klären. Welche Maßnahmen zum Zutritts- und Zugriffsschutz müssen getroffen werden? Wie können Mitarbeitende erreicht werden? Welche Anwendungen dürfen genutzt werden und wie haben sich Mitarbeitende bei IT-Sicherheitsvorfällen zu verhalten? An wen können sich Mitarbeitende bei Support-Fragen wenden?
Zusätzlich können Sie Datenschutz-Richtlinien festlegen. Regeln Sie hier beispielsweise, wie mit Daten umzugehen ist – also wer welche Daten wie mitnehmen darf und wie Datenträger zu vernichten sind.
7. Qualifizierte Dienstleistende fragen
IT-Sicherheit darf nicht halbherzig umgesetzt werden. Nur mit einem professionellen Konzept und einer konsequenten Umsetzung ist Ihr Unternehmen auch geschützt. Das kann nicht jedes Unternehmen neben dem Normalbetrieb leisten. Holen Sie sich daher externe Unterstützung und legen Sie Ihre Cybersicherheit in gute Hände.
Wie die Umfrage des BSI zeigt, gibt es in vielen Unternehmen noch großen Nachholbedarf in Sachen IT-Sicherheit. Das muss sich dringend ändern. Denn Prävention ist immer günstiger und besser als Reaktion auf mögliche Angriffe. IT-Sicherheit sollte dabei von Anfang an mitbedacht werden. Wir unterstützen Sie dabei!
Quellen
Allianz für Cybersicherheit (2021): „Tipps für sicheres mobiles Arbeiten“, Bundesamt für Sicherheit in der Informationstechnik, https://www.allianz-fuer-cybersicherheit.de/SharedDocs/Downloads/DE/BSI/Cyber-Sicherheit/Themen/empfehlung_home_office.pdf?__blob=publicationFile&v=3, letzter Zugriff am 11. Mai 2021.
Allianz für Cybersicherheit (o. J.): „Checkliste zur Sicherheit im Home-Office“, Bundesamt für Sicherheit in der Informationstechnik, https://www.allianz-fuer-cybersicherheit.de/Webs/ACS/DE/Informationen-und-Empfehlungen/Empfehlungen-nach-Angriffszielen/Remote/Home-Office/Checkliste-Home-Office/checkhomeoffice_node.html, letzter Zugriff am 11. Mai 2021.
Bundesamt für Sicherheit in der Informationstechnik (2020): „IT-Sicherheit im Home-Office im Jahr 2020. Unter besonderer Berücksichtigung der COVID-19-Pandemie“, https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Cyber-Sicherheitslage/Lageberichte/Cyber-Sicherheitsumfrage/IT-Sicherheit_im_Home-Office/it-sicherheit_im_home-office_node.html, letzter Zugriff am 11. Mai 2021.
Bundesamt für Sicherheit in der Informationstechnik (2017): „Mindeststandard des BSI für Mobile Device Management“, 11. Mai 2017, https://www.bsi.bund.de/DE/Themen/Oeffentliche-Verwaltung/Mindeststandards/Mobile_Device_Management/Mobile_Device_Management_node.html, letzter Zugriff am 11. Mai 2021.
Bundesamt für Sicherheit in der Informationstechnik (o. J.): „Virtual Private Networks (VPN)“, https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Informationen-und-Empfehlungen/Cyber-Sicherheitsempfehlungen/Router-WLAN-VPN/Virtual-Private-Networks-VPN/virtual-private-networks-vpn_node.html, letzter Zugriff am 11. Mai 2021.
Bundesamt für Sicherheit in der Informationstechnik (o. J.): „Zwei-Faktor-Authentisierung“, https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Informationen-und-Empfehlungen/Cyber-Sicherheitsempfehlungen/Accountschutz/Zwei-Faktor-Authentisierung/zwei-faktor-authentisierung_node.html, letzter Zugriff am 11. Mai 2021.
