Arbeiten von zuhause aus? Aber sicher!

bei

 / 14. April. 2021

Eine Unternehmens-IT ist nur so sicher wie ihre schwächsten Glieder. Unglücklicherweise birgt Remote Work in Corona-Zeiten gleich zwei Schwachpunkte: Viele Geräte im Homeoffice sind nicht ausreichend gegen Angriffe geschützt, und die Sorglosigkeit der Mitarbeiter in der häuslichen Umgebung erzeugt zusätzliche Angriffsfläche. Rangee, Anbieter von Thin- und Zero Clients, erklärt, wie sich die Arbeit von zuhause aus dennoch sicher gestalten lässt.

Viele Menschen verfügen privat über eine gute IT-Ausstattung. Das kam vielen Unternehmen in der Corona-Pandemie sehr gelegen, denn so mussten sie sich um die IT-Infrastruktur ihrer Mitarbeiter im Homeoffice nicht kümmern. Aus dem Blickwinkel der IT-Sicherheit ist das aber keine gute Idee, denn die private Ausstattung erfüllt die hohen Sicherheitsanforderungen im Unternehmensnetzwerk in aller Regel nicht. Die folgenden sieben Maßnahmen helfen dabei, die IT-Sicherheit auch im Homeoffice zu verbessern.

  1. Bewusstsein schärfen. Der größte Risikofaktor in der IT-Sicherheit ist und bleiben die Menschen: Sie klicken auf Links, die Malware installieren oder auf kompromittierte Webseiten führen und vernachlässigen oft zugleich den Schutz ihrer IT. Umso wichtiger ist es, dass Unternehmen ihre Mitarbeiter immer wieder auf typische Schwachstellen und Angriffsszenarien hinweisen, um ihre Aufmerksamkeit für das Thema zu steigern, und die Mitarbeiter zu den wichtigsten Sicherheitsvorkehrungen anzuhalten. Es ist grundsätzlich ziemlich einfach: Ein gewisses Maß an Misstrauen und Vorsicht ist der beste Schutz vor Angriffen.
  2. Sicherheitsmaßnahmen der IT verbessern. Es ist natürlich nicht allein die Aufgabe der Mitarbeiter, Geräte, Daten und Anwendungen vor Angriffen zu schützen, sondern auch der Job der IT-Abteilung. Die konsequenteste Methode dafür ist „Zero Trust“: Hier schützt die IT firmeneigene Geräte, Anwendungen, Netzwerke und Daten so, als handelten die Mitarbeiter gänzlich verantwortungslos. Bei Zero Trust geht es aber nicht darum, den eigenen Mitarbeitern zu misstrauen. Ziel ist vielmehr, die Mitarbeiter von der Verantwortung für die IT-Sicherheit möglichst umfassend zu befreien – durch Default-Sicherheitseinstellungen bei Geräten, Anwendungen und Daten, die sich auch durch Nachlässigkeit nicht umgehen lassen.
  3. Keine privaten Geräte erlauben. Es mag verlockend sein, den Mitarbeitern im Homeoffice die Nutzung eigener Geräte zu gestatten, denn es ist einfacher und billiger. Allerdings können Unternehmen auf privaten Geräten keine Sicherheitsrichtlinien durchsetzen und so für ausreichende Sicherheit sorgen. Bei Firmenrechnern kann die IT dagegen Maßnahmen für „Security by default“ ergreifen, also zum Beispiel das Öffnen oder Drucken bestimmter Dokumente für bestimmte Gruppen von Mitarbeitern von vorneherein ausschließen. Noch ein Argument gegen die Nutzung von Privatgeräten sind USB-Anschlüsse, denn USB-Speicherlaufwerke sind eins der Einfallstore für Malware, die damit unbemerkt auf einen Rechner gelangen kann. IT-Administratoren können die USB-Anschlüsse von Firmengeräten für externe Laufwerke sperren, so dass dieser Angriffspunkt geschlossen wird. Auf privaten Geräten haben sie diese Möglichkeit nicht. Unternehmen sollten daher im Homeoffice nur firmeneigene Geräte erlauben, die von der IT mit den notwendigen Schutzmaßnahmen abgesichert werden können.
  4. Zwei-Faktor-Authentifizierung einführen. Es gibt immer wieder Diskussionen um die Verwendung von Passwörtern, um sich an Rechnern und in Netzwerken sicher anzumelden. Entweder sind sie zu einfach („12345678“) und damit zu unsicher, oder zu kompliziert („h$<L8a#t{Hs}?ML{“), so dass sie sich niemand merken kann. Die bessere Möglichkeit für eine sichere Anmeldung ist die Zwei-Faktor-Authentifizierung, bei der das Anmelden über ein Passwort mit einer zweiten Maßnahme ergänzt wird. Das kann zum Beispiel ein Fingerabdruck oder ein Iris-Scan sein, die Bestätigung einer Anmeldung per SMS oder über eine TAN. Dann ist es fast egal, wie gut das Passwort ist; ohne das zweite Merkmal kommt niemand unbefugt ins Netz.
  5. Keine unsicheren Verbindungen zulassen. Mitarbeiter brauchen auch vom Homeoffice aus den Zugriff auf Daten im Unternehmensnetzwerk. Ein virtuelles privates Netzwerk (VPN) hilft als verschlüsselter Kommunikationstunnel zwischen Arbeitsgerät und Firmennetzwerk, diese Daten sicher zu übertragen. So haben Außenstehende keine Chance, die Daten abzugreifen oder zu manipulieren. Grundsätzlich können auch offene Internetverbindungen zwischen Homeoffice und Unternehmen genutzt werden, allerdings nur dann, wenn die Router zuhause mit starker Verschlüsselung vor unbefugten Zugriffen geschützt sind. Die älteren Verschlüsselungsstandards WEP und WPA bieten diesen Schutz nicht. Stattdessen sollten Unternehmen ihre Mitarbeiter dazu drängen, die starken WLAN-Verschlüsselungen WPA2 oder WPA3 zu nutzen, die sich im Router einstellen lassen. Schließlich muss auch der Router selbst vor unbefugten Zugriffen geschützt werden. Ein sicheres Passwort ist hier also Pflicht, zumal Standardrouter keine Zweifaktor-Authentifizierung anbieten und die Default-Passwörter bei Hackern bekannt sind.
  6. Regelmäßiges Patches fordern. Cyberkriminelle gehören zu den besten Kennern von Schwachstellen in IT-Systemen, Geräten und Programmen, denn sie suchen systematisch nach diesen Schwachstellen, um sie für Angriffe auszunutzen. Die Hersteller von Hard- und Software müssen jederzeit dagegenhalten und wenden daher einen beträchtlichen Teil ihrer Arbeit dafür auf, Schwachstellen vor den Hackern zu entdecken und zu schließen – über Updates und Sicherheits-Patches. Das unmittelbare Aufspielen solcher Patches ist daher für die Mitarbeiter im Homeoffice unbedingt Pflicht, und die IT-Abteilung sollte die Kollegen regelmäßig an diese Aufgabe erinnern.
  7. Nur sichere Cloud-Dienste zulassen. Die Cloud bietet über das Internet leicht zugängliche Datenspeicher und Anwendungen, die besonders dann attraktiv für die Nutzung im Homeoffice sind, wenn die IT-Infrastruktur der Firma nur umständliche oder unzureichende Lösungen bietet. Hier sollte die IT-Abteilung genau prüfen, welche Angebote zulässig sind, und ihre Mitarbeiter auf diese Anwendungen hinweisen. Verschlüsselte Datenübertragung, eine mögliche Integration der Cloud-Anwendungen in einen VPN-Tunnel oder die datenschutzkonforme Speicherung personenbezogener Daten sind hier wichtige Kriterien, zumal besonders Verstöße gegen den Datenschutz für Unternehmen richtig teuer werden können.

 

Über den Autor / die Autorin:


Ulrich Mertz ist Gründer und Geschäftsführer von Rangee. Nach einem BWL- und Maschinenbaustudium an der RWTH Aachen gründete er 1999 einen IT-Dienstleister, aus dem 2004 die Rangee GmbH hervorging. Diese entwickelt und vertreibt Thin-Client- und Zero-Client-Lösungen.