Homeoffice als Risiko für die IT-Sicherheit?

Homeoffice - aber sicher

Ob durch erneute pandemiebedingte Verschärfungen oder um als Arbeitgeber attraktiv zu bleiben, die Arbeit im Homeoffice wird Normalität bleiben. Bei Beachtung der vorgestellten Sicherheitsmaßnahmen scheint das Risiko vertretbar. IT-Sicherheitsvorfälle gibt es auch ohne Arbeit von zuhause aus. Wichtig ist es, rechtzeitig die richtigen Sicherheitsvorkehrungen zu treffen und dies gegenüber den Mitarbeitern zu kommunizieren. Übrigens kann die Funktionsfähigkeit von Sicherheitskonzepten auch im Rahmen eines Audits oder eines Penetration-Testings überprüft werden. Durch die Corona-Pandemie ist das Arbeiten im Homeoffice in vielen Branchen zur Normalität geworden. Auch in Bereichen, wo dies zuvor praktisch unmöglich erschien. Mussten Unternehmen zu Beginn des ersten Lockdowns häufig noch improvisieren, um den eigenen Betrieb aufrecht erhalten zu können, haben sich die Arbeitsabläufe inzwischen eingespielt. Nicht selten wird das Homeoffice dauerhaft oder parallel zur Tätigkeit im Firmengebäude angeboten. Daher ist es spätestens jetzt an der Zeit, die IT-Sicherheit an den ausgelagerten Arbeitsplätzen zu betrachten. Für Verantwortliche ist es eine herausfordernde Aufgabe, die unterschiedlichen Voraussetzungen der Mitarbeiter zu berücksichtigen und deren IT-Infrastruktur sicher und komfortabel an das Firmennetzwerk anzubinden. Wir möchten Ihnen einen kleinen Überblick geben, worauf Sie achten sollten.

Homeoffice und IT-Sicherheit: Das sind die Problemfelder

Bei der Arbeit vom heimischen Schreibtisch aus verlassen sensible Daten den Einflussbereich Ihrer IT-Administration. Wie es bei dem einzelnen Mitarbeiter zu Hause bezüglich des Datenschutzes und des unbefugten Zugriffs Dritter aussieht, lässt sich nur schwer nachvollziehen.

Konkrete Gefahren sind:

• Der Verlust von Datenträgern oder mobilen Endgeräten mit enthaltenen Firmendaten durch Diebstahl oder Versehen
• Datenschutzkonflikte durch fehlende Abgrenzung von Heimarbeitsplätzen gegenüber Familienangehörigen und Dritten
• Kompromittierung des Transportweges beim Austausch von Daten zwischen Firmenrechnern und schlecht gesicherten heimischen Netzwerken
• Ausspähen von Daten durch Phishing und Social Engineering, etwa indem sich Kriminelle in Anrufen oder per E-Mail als Mitarbeiter im Homeoffice ausgeben
• Vermischung dienstlicher und privater Daten, wenn aus Bequemlichkeit private Rechner und Cloud-Speicher oder Mailkonten der Mitarbeiter genutzt werden
• Erhöhung der Angriffspunkte für Hacker, wenn das Firmennetzwerk für Zugriffe von außen geöffnet werden muss
• Einbringen von Schadsoftware beim Austausch von Daten zwischen dem Firmennetzwerk und privaten Netzwerken

Sicherheit für das heimische Büro

Das Homeoffice bietet für Arbeitgeber und Mitarbeiter Vorteile. So lassen sich auf diese Weise dauerhaft Ressourcen wie Büroräume einsparen. Die Angestellten hingegen sparen Zeit und Kosten durch den Wegfall von An- und Abfahrtswegen und genießen flexiblere Arbeitszeiten, die sich mit der Kinderbetreuung vereinbaren lassen. Es kann gar zum Kriterium für die Arbeitsplatzwahl werden, ob der Chef Heimarbeit zulässt. Daher ist es gut investierte Zeit, Sicherheitsrichtlinien hierfür zu entwerfen. Dieses sollten schriftlich fixiert und den Mitarbeitern zur Kenntnis gegeben werden.

Enthalten sein sollten folgende Punkte:

1. Verschlüsselung: Es dürfen ausschließlich Endgeräte und Datenträger mit Vollverschlüsselung zum Einsatz kommen. Dabei ist auf die Verwendung als sicher geltender Techniken zu achten, wie zum Beispiel Bitlocker bei Nutzung von Windows-Systemen. Essenziell ist die Wahl eines sicheren Passwortes. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt zurzeit eine Mindestlänge von acht Zeichen. Es sollten Buchstaben in Groß- und Kleinschreibung, Ziffern und Sonderzeichen enthalten sein. Besonders wichtig ist, dass Passwörter nicht in schriftlicher Form in der Nähe des verschlüsselten Datenträgers abgelegt werden.

2. Aufbewahrung von Endgeräten und Datenträgern: Alle IT-Geräte, die Firmendaten enthalten, dürfen nicht unbeaufsichtigt in geparkten Fahrzeugen zurückgelassen werden. In der Wohnung von Mitarbeitern sind Datenträger und Geräte an sicheren Orten zu verwahren. Dabei muss ein Zugriff Dritter grundsätzlich ausgeschlossen sein.

3. Datenschutzvorgaben und Verwendung eigener Endgeräte: Es ist eine grundsätzliche Frage, ob die Notwendigkeit besteht, die Nutzung privater Geräte zuzulassen. Bei vielen Prozessen werden Daten auf dem Rechner zwischengespeichert und nicht zwingend bei einem Neustart gelöscht. Die Gefahr der Vermischung dienstlicher und privater Daten droht jederzeit. Zudem besteht in der Regel keine Kontrollmöglichkeit bezüglich als kritisch geltender installierter Software auf dem Gerät. Wenn irgendwie möglich empfiehlt es sich, nur dedizierte Hardware des Arbeitgebers zuzulassen. Die Nutzung von privatem Cloud-Speicher und von privaten Mail-Accounts sollte grundsätzlich untersagt sein. Nicht zu unterschätzen ist der Standort des privaten Arbeitsplatzes. Dieser muss so gewählt werden, dass Dritte keinen Einblick auf verarbeitete Daten bekommen können.

4. Sichere Anbindung an das Firmennetzwerk: In der Regel besteht die permanente Notwendigkeit, Daten zwischen den externen Mitarbeitern und dem Firmennetzwerk auszutauschen. Dies ist der kritischste Prozess im gesamten Konstrukt. Hier gilt: Unverschlüsselter Datentransport ist tabu. Als absolutes Minimum muss eine Transportverschlüsselung aktiv sein, wenn auf Dienste oder Speicherplätzte zugegriffen wird. Die Anmeldung darf ausschließlich mit einem sicheren Passwort erfolgen und sollte möglichst durch die Zwei-Faktor-Authentifizierung geschützt sein. Hiermit ist ein zusätzliches Sicherheitsmerkmal, etwa die Kurzzeit-PIN einer Authenticator-App, gemeint. Bei dauerhafter Nutzung von Homeoffice-Arbeitsmodellen lohnt in der Regel die Einrichtung eines Virtual Private Network (VPN). Dabei wird eine sicher verschlüsselte Punkt-zu-Punkt-Verbindung zwischen dem Rechner des externen Mitarbeiters und dem Firmennetzwerk aufgebaut. Nach dem Aufbau des sogenannten Tunnels ist der Rechner komplett in das Firmennetz eingebunden und hat damit auch den Zugriff auf alle dort vorhandenen Ressourcen.

5. Updates und Backups: Das Einspielen von Updates und die Erstellung von Backups sind in vielen Firmennetzwerken durch Gruppenrichtlinien geregelt. Bei Nutzung externer Geräte müssen Mitarbeiter unter Umständen selbst dafür sorgen, dass verwendete Betriebssysteme und Software aktuell gehalten werden. Ebenso kann ein manuelles Backup erforderlich werden. Insbesondere, wenn keine Einbindung durch ein VPN erfolgt, sollte dies in entsprechenden Vereinbarungen klar geregelt werden.

6. Notfallplan für IT-Sicherheitsvorfälle: Es empfiehlt sich, im Vorfeld festzulegen, wie bei sicherheitskritischen Vorfällen, etwa einer Virenmeldung, zu verfahren ist. Hierfür sollte ein Ansprechpartner erreichbar sein.

Das BSI bietet auf seiner Webseite Checklisten für die sichere Gestaltung von Homeoffice-Arbeitsplätzen an.

Homeoffice - aber sicher

Ob durch erneute pandemiebedingte Verschärfungen oder um als Arbeitgeber attraktiv zu bleiben, die Arbeit im Homeoffice wird Normalität bleiben. Bei Beachtung der vorgestellten Sicherheitsmaßnahmen scheint das Risiko vertretbar. IT-Sicherheitsvorfälle gibt es auch ohne Arbeit von zuhause aus. Wichtig ist es, rechtzeitig die richtigen Sicherheitsvorkehrungen zu treffen und dies gegenüber den Mitarbeitern zu kommunizieren. Übrigens kann die Funktionsfähigkeit von Sicherheitskonzepten auch im Rahmen eines Audits oder eines Penetration-Testings überprüft werden.