IT-Sicherheit im Home-Office

Erschienen am 16.7.2020 | 12 Minuten zu lesen

IT-Sicherheit im Home-Office: Sicheres Arbeiten auch nach Corona

Die IT-Sicherheit ist in den Zeiten der Digitalisierung unumgänglich und befasst sich mit der Planung, den Maßnahmen und der Kontrolle zum Schutz eines Unternehmens vor den Risiken, die durch den Einsatz von IT- und Telekommunikation entstehen. Keine leichte Aufgabe, denn sowohl die Vertraulichkeit und Integrität der Informationen als auch die Verfügbarkeit aller nötigen Daten muss gegeben sein.

Besonders die aktuelle Situation veranschaulicht uns, wie wichtig ein durchdachtes Security Konzept ist. Zusätzlich haben viele Arbeitgeber und -nehmer das große Potential vom Home-Office entdeckt und möchten darauf auch in Zukunft nicht mehr verzichten. Somit bleibt das Thema IT-Sicherheit im Home-Office auch in Zukunft ein relevantes Thema.

Doch wovor muss man sich überhaupt schützen und worauf sollten Sie achten?

Die Gefahren für die IT-Sicherheit im Home-Office

IT-Sicherheit im Home-Office: Social Engineering
Die größte Schwachstelle der IT-Sicherheit ist der Mensch. Beim Social Engineering wird sich genau diese Schwachstelle zu Nutzen gemacht. Dabei werden unbewusst vertrauliche Informationen aus dem Unternehmen an einen völlig unbekannten Menschen weitergegeben, der sie genau aus diesem Grund kontaktiert hat. Denn ein Social Engineer bringt Menschen dazu, über Dinge zu sprechen, über die er eigentlich gar nicht sprechen wollte bzw. dürfte und sie für seine Zwecke zu instrumentalisieren. Eine Form des Betrugs, die Ihren Mitarbeitern überall in der realen und digitalen Welt begegnen kann und für die Sie und Ihre Mitarbeiter eine Sensibilität generieren sollten.

IT-Sicherheit im Home-Office: Phishing

Bei den Phishing Mails werden gezielt E-Mails mit bösartigen Inhalten an Ihre Mitarbeiter gesendet. Öffnen diese einen Dateianhang oder einen Link in einer solchen Mail, verschafft sich ein Hacker spielend Zugriff auf Ihr Unternehmensnetzwerk. Nicht umsonst ist das Phishing für über die Hälfte der kompromittierten Unternehmensnetzwerke verantwortlich.

IT-Sicherheit im Home-Office: Ransomeware

Hier werden sensible und wichtige Daten des Unternehmens gekonnt verschlüsselt und erst wieder zugänglich gemacht, wenn das Unternehmen ein Lösegeld bezahlt hat. Ob die Daten dann jedoch tatsächlich freigegeben werden ist jedoch unsicher. In diesem Fall bleiben die Daten dauerhaft unbrauchbar.

IT-Sicherheit im Home-Office: Mobile Endgeräte

Besonders im Home-Office sind ihre Mitarbeiter auf Ihr Smartphone angewiesen, um den sozialen Kontakt aufrechtzuhalten. Auf den mobilen Geräten befinden sich mittlerweile viele sensible Daten: Von sensiblen E-Mails bis hin zu wichtigen Passwörtern. Hier hilft ein Mobile Device Management System (MDM), um die IT-Sicherheit auch mobil sicherzustellen.

Das waren nur ein paar Bedrohungen, die Ihre IT-Sicherheit erheblich gefährden. Besonders die IT-Sicherheit im Home-Office stellt Sie vor ganz neue Herausforderungen. Doch wo fängt man an?

Mehr IT-Sicherheit im Home-Office dank Sicherheitsanalyse und -check

Eine mögliche Lösung stellen kostenlose Homeoffice-Notfall Checks dar, um einen ersten Überblick zu bekommen. Dabei werden Sie Step by Step an die elementaren Sicherheitsaspekte herangeführt, die Ihre IT-Sicherheit im Home-Office optimieren können.

Es empfiehlt sich immer, einen Security-Experten heranzuziehen. Jedoch ist der Test ein spannender und praktischer Start, um sich selbst einen ersten Überblick zu verschaffen. Und? Haben Sie an alles gedacht? Wir helfen Ihnen auf die Sprünge:

 

Testen Sie Ihre IT-Security auf Herz und Nieren: 7 Tipps für Ihre IT-Sicherheit im Home-Office

IT-Sicherheit im Home-Office: Systemzugang

Um überhaupt im Home-Office arbeiten zu können, benötigt Ihr Mitarbeiter einen Systemzugang. Dieser ermöglicht einen direkten Zugriff vom Home-Office auf das unternehmenseigene System. Doch bereits hier müssen einige Aspekte beachtet werden:

  1. Sind alle Programme und Zugänge im Home-Office verfügbar?
  2. Können Sie einen Ausweichstandort für den Krisenfall bieten?
  3. Sind Ihre Informationsressourcen über die Cloud erreichbar und dabei gut geschützt, z.B. durch Multi-Faktor-Authentifizierung?
  4. Reicht die Anzahl der Zugänge für alle Mitarbeiter aus?

 

Hinweis: Was ist Multi-Faktor-Authentifizierung?
Hierbei handelt es sich um Anmeldeverfahren, bei denen der Anwender sich über verschiedene Faktoren authentifizieren muss, dies sind z.B. der Faktor „Wissen“ (Passwort, PIN etc.), der Faktor „Biometrie“ (Fingerabdruck etc.) oder der Faktor „Besitz“ (Gerät zum Erzeugen oder Empfang von Einmalpasswörtern etc.).

 

Jetzt haben wir ein grundsätzliches Verständnis davon erlangt, wie Ihre Mitarbeiter im Home-Office einen sicheren Zugang zu Ihren Systemen und Daten generieren können. Doch wie können diese Daten übertragen werden?

IT-Sicherheit im Home-Office: Datenübertragung

Sie sollten sich überlegen, wie der Datenaustausch zwischen Mitarbeitern, Dienstleistern und Kunden stattfinden soll. Hier gibt es drei wesentliche Möglichkeiten: Public-, Private-, Hybrid- und die Multi-Cloud.

Public Cloud

Bei einer Public Cloud liegen Ihre Daten auf öffentlichen Servern und die Zugänge werden an verschiedene Interessengruppen vergeben. Hierbei ist zu beachten, dass jegliche Interessengruppen wie Unternehmen, Privatpersonen, Behörden etc. Ihre Daten abspeichern. Somit befinden sich auf den Public Clouds Fotos vom Urlaub bis hin zu sensiblen Firmendaten.

    1. Vorteile:
      1. Kann schnell und individuell eingerichtet werden
      2. Speicherplatz ist günstig
    2. Nachteil:
      1. Unklare Verteilung der Daten
      2. Server befinden sich in verschiedenen Ländern, deren Datenschutzbestimmungen anders als in Deutschland sein können

 

Tipp: Wählen Sie nur Anbieter von Public Cloud Diensten, deren Serverstandorte transparent kommuniziert werden.

Private Cloud

Die Private Cloud stellt die individuelle und sicherere Cloud Lösung dar, denn Ihnen steht Ihr eigener „gesonderter“ Server zur Verfügung.

    1. Vorteil:
      1. Daten sind geschützt
      2. Kein Zugriff für weitere Kunden
    2. Nachteil:
      1. Oft sehr teuer
      2. Nicht so schnell und flexibel bei der Anpassung

 

Hybrid Cloud

Bei dieser Mischform aus Private- und Public-Cloud werden die Vorteile beider Cloud-Modelle genutzt und in einem gemeinsamen Konzept vereint. Dabei werden datenschutzkritische Prozesse in die Private- und datenunkritische Prozesse in die Public-Cloud geladen. Somit wird die Private-Cloud durch die Public-Cloud erweitert.

  • Vorteil:
    • Hohe und schnelle Flexibilität bei sich ändernden Anforderungen
    • Günstige und flexible Kostenmodelle
    • Sicherheit, Datenschutz und Compliance
    • Kurzfristige Skalierbarkeit der Services
    • Optimierung von Unternehmensprozessen
  • Nachteil:
    • Steigende Komplexität beim gleichzeitigen Einsatz
    • Komplexeres Management
    • Risiko, dass sicherheitsrelevante Daten in der falschen Cloud gespeichert werden
    • Aufteilung der Daten

Multi Cloud

Bei einer Multi-Cloud werden im Vergleich zur Hybrid-Cloud mehrere verschiene Cloud-Anbieter parallel genutzt und zu einer aus Anwendersicht praktischen großen Cloud vereint. Wie bei der Hybrid-Cloud sind hier Public- als auch Private-Clouds möglich. Dank einer einheitlichen Managementoberfläche entsteht eine gemeinsame Plattform.

  • Vorteil:
    • Hohe Unabhängigkeit von einzelnen Providern
    • Jeweilige Service kann flexibler zu dem am besten geeigneten Cloud-Anbieter und -Dienst vergeben werden
    • Hohe Ausfallsicherheit
  • Nachteil:
    • Steigende Komplexität bei mehreren Dienstleistern
    • Schnittstellen können Fehlerquellen generieren
    • Aufwand für die Verwaltung und Abrechnung
    • Kein einheitliches Datenschutz- und Datensicherheitskonzept
    • Abgleich der Compliance Richtlinien wird erschwert

Die IT-Sicherheit ist ein fortlaufender Prozess. Was das für Sie bedeutet, erfahren Sie im nächsten Abschnitt.

 

IT-Sicherheit im Home-Office: Systemsicherheit


Die Systemsicherheit definiert, wie hoch die Sicherheit Ihres informationstechnischen Systems ist. Hier sollten Sie an folgendes denken:

  1. Installieren Sie regelmäßig Updates für alle Betriebssysteme und Anwendungen, achten Sie dabei auf eine zentrale Berichterstattung, um die Installation der Updates auch zu einem späteren Zeitpunkt nachvollziehen zu können und Sicherheitslücken zu entdecken.
  2. Nehmen Sie die Überwachung und Berichterstattung über den Zustand von Systemressourcen ernst und halten Sie diese regelmäßig fest.

 

Tipp: Die IT-Sicherheit ist ein laufender Prozess. Protokollieren, speichern und werten Sie alle Tätigkeiten, Systemergebnisse, -störungen und -vorfälle regelmäßig aus. Nur mit einer regelmäßigen Protokollierung und Auswertung kann Ihre IT-Sicherheit auch langfristig sichergestellt werden.

 

Doch welche Aspekte müssen insbesondere im Home-Office beachtet werden? Wir klären auf.

 

IT-Sicherheit im Home-Office: Telearbeit

Besonders die Telearbeit ist im Kontext der IT-Sicherheit im Home-Office nicht zu unterschätzen. Denn diese definiert alle Arbeitsformen, welche außerhalb des Bürogebäudes stattfinden. Im November 2016 wurde mit der Anpassung der Arbeitsstättenverordnung (ArbStättV) der Begriff der Telearbeit erstmals gesetzlich definiert und damit wird von einer generellen Zulässigkeit ausgegangen. In § 2 Abs.7 ArbStättV heißt es:

„Telearbeitsplätze sind vom Arbeitgeber fest eingerichtete Bildschirmarbeitsplätze im Privatbereich der Beschäftigten, für die der Arbeitgeber eine mit den Beschäftigten vereinbarte wöchentliche Arbeitszeit und die Dauer der Einrichtung festgelegt hat.“

Hier ist es daher besonders wichtig, Regelungen für Orte, Bedingungen und Sicherheitsbestimmungen mit Ihren Mitarbeitern zu besprechen. Nicht jeder Arbeitsplatz ist für die Arbeit im Home-Office geeignet, denn schnell können sensible Daten an die Öffentlichkeit gelangen.

Wie vorab bereits erwähnt, muss auch hier definiert werden, wie auf die Daten zugegriffen werden kann. Hier sollten Sie sichere Kommunikationswege zur Verfügung stellen.

Doch wie können Sie regeln, wer welche Zugriffe erhält?

IT-Sicherheit im Home-Office: Benutzerorganisation

Die Benutzerorganisation beschreibt die Vergabe der Zugänge und Zugriffe im Unternehmen. Hier wird also definiert, wer welchen Zugriff im Unternehmen hat. Es empfiehlt sich, einen zentralen, hochverfügbaren Benutzer- und Berechtigungsverzeichnisdienst anzulegen. Hier können wir Ihnen LDAP und Microsoft AD empfehlen.

Dies ermöglicht einen guten Überblick. Zusätzlich sollten Ihre Mitarbeiter sicherstellen, dass alle relevanten Kontaktdaten auch ohne Verbindung im Home-Office verfügbar sind.

Nun kommen wir zu einer der größten Sicherheitslücken. Ob Sie es glauben oder nicht: Passwörter.

IT-Sicherheit im Home-Office: Passwortverwaltung

Die Verwaltung der Passwörter stellt tatsächlich eine der größten Sicherheitslücken dar. Oft werden die gleichen Passwörter verwendet, zu schwache Zeichen gewählt oder Passwörter in ungeschützten Bereichen versendet. Weisen Sie Ihre Mitarbeiter an, „gute Passwörter“ zu verwenden.

„Gut“ ist ein Passwort, wenn es möglichst lang (mind. 8, besser 12 Zeichen), möglichst komplex (Groß- und Kleinbuchstaben, Ziffern, Sonderzeichen) und nicht zu erraten ist (keine Namen, Orte, Hobbies, Begriffe aus Wörterbüchern etc.). Zudem sollte jedes Passwort nur für ein System bzw. eine Anwendung verwendet werden.

Geben Sie Ihren Mitarbeitern Werkzeuge an die Hand, um die daraus resultierende Anzahl schwer zu merkender Passwörter sicher zu verwalten.

Nicht nur die internen Infrastrukturen sollten für die IT-Sicherheit sensibilisiert werden. Auch externe Lieferanten stellen eine potenzielle Sicherheitslücke dar.

Doch wie können Sie regeln, wer welche Zugriffe erhält?

IT-Sicherheit im Home-Office: IT-Lieferketten


Kommen wir zu dem letzten Punkt: externe Faktoren, die eine Sicherheitslücke darstellen könnten und oft vergessen werden. Hierzu zählen Lieferanten oder Dienstleister, welche Zugriffe auf Ihre Systeme benötigen, um eine Zusammenarbeit zu ermöglichen.

Stellen Sie sicher, dass Sie vor Beginn der Zusammenarbeit Vereinbarungen zur Vertraulichkeit, Integrität und Verfügbarkeit abschließen. Besonderes Augenmerk sollten Sie dabei auch auf den Datenschutz legen. Auch sollten Sie Notfallszenarien besprechen und erproben. Je sensibler die Daten desto wichtiger sind diese Maßnahmen.

Es könnte sein, dass Ihr Dienstleister eine andere Vorstellung von IT-Sicherheit hat und nicht die gleichen Maßnahmen getroffen hat. Hier ist Transparenz gefragt. Überprüfen Sie Ihre Lieferanten und Dienstleister hinsichtlich der IT-Sicherheit regelmäßig, zum Beispiel in Form von Audits.

Tipp: Aktualisieren und dokumentieren Sie alle wichtigen Kontaktdaten regelmäßig, damit Sie auch im Notfall alle Lieferanten und Dienstleister kontaktieren können.

Fazit der IT Sicherheit im Home-Office

Dies ist lediglich eine kurze Liste mit Maßnahmen, die Sie treffen sollten, um eine Grundsicherheit und eine Sensibilität in Ihrem Unternehmen zu schaffen. Konnten Sie alle Punkte mit „ja“ beantworten? Wir empfehlen Ihnen unseren kostenlosen Homeoffice- Notfall Check, mit dem Sie in nur 10 Minuten die IT-Sicherheit Ihres Unternehmens evaluieren können.

Fest steht, dass das Home-Office auch nach der Coronazeit erhalten bleiben wird. Daher ist es wichtig, jetzt zu handeln, Sicherheitslücken zu schließen und die IT-Sicherheit als einen fortlaufenden Prozess zu verstehen.

Die IT-Sicherheit zu unterschätzen kann am Ende teurer sein, als sich ein sinnvolles und durchdachtes Sicherheitskonzept erstellen zu lassen. Wir helfen Ihnen gerne dabei.

 

 

7P Marketing
7P Marketing

Diesen Artikel teilen:

Das könnte Sie auch interessieren: