IT Security im Home Office – Was ist zu beachten?

news

Bestimmt haben Sie im letzten Jahr verschiedene Empfehlungen zur IT-Sicherheit im Home Office gelesen. Wir haben uns diese Empfehlungen angesehen und möchten noch einige hilfreiche Punkte hinzufügen.

Foto zeigt Laptop und Mobilgerät zum Thema Ausstattung im Home-Office - SEC Consult

 

Tipps für Mitarbeiter: Wie kann jeder Einzelne für mehr Sicherheit im Home Office sorgen?

Auch Mitarbeiter sollten sich, während sie von zu Hause aus arbeiten, aktiv um darum bemühen, die IT-Sicherheit des Unternehmens zu bewahren. Nachfolgend finden Sie dazu einige essentielle Tipps.

1. Richtlinien

Erfragen Sie, ob es eine aktuelle Sicherheitsrichtlinie („Security Policy“) für Telearbeit im Unternehmen gibt und welche Vorgaben Sie beinhaltet.

2. Geräte

Informieren Sie etwaige Vorgesetzte und die IT-Abteilung über elektronische Geräte, die vom Arbeitsplatz aus dem Firmenbüro zur Verwendung im Home-Office nach Hause entnommen wurden. Erkundigen Sie sich über etwaige Sicherheitsvorkehrungen.

3. Updates

Prüfen Sie täglich, ob es für das Betriebssystem und jegliche installierte Software neue Updates gibt und installieren Sie diese, bevor Sie mit der Arbeit beginnen.

4. Internetverbindung

Wenn Sie vertrauliche Informationen über das Internet verarbeiten, ist eine sichere Verbindung wie z.B. über ein VPN oder spezielle Geräte nötig, um die sichere Datenübertragung zu gewährleisten. Wenden Sie sich hier unbedingt an Ihre IT-Abteilung.
Wenn Ihr Unternehmen eine Datenkarte zur Verfügung stellt, ist aus sicherheitsgründen folgende Verbindungsreihenfolge empfehlenswert:

Datenkarte => privates WLAN => mobiler Hotspot

Schalten Sie nach Möglichkeit andere Geräte, die ebenfalls in Ihrem WLAN verbunden sind, aus.
Sicherheitsbewusste Mitarbeiter können sonst auch das folgende Setup verwenden:

privates WLAN => Datenkarte => mobiler Hotspot

5. Kommunikation

Falls es eine interne Richtline zur Informationsklassifizierung gibt, dürfen Dokumente mit einer bestimmten Klassifizierung, z.B. „intern“, „vertraulich“ und „streng vertraulich“, nur über verschlüsselte E-Mails oder verschlüsselte Zip-Dateien über einen zweiten Kanal gesendet werden (z.B. separate SMS für das Zip-Passwort). Diese Methode erfordert natürlich eine vorherige telefonische Vereinbarung.

Eine sichere E-Mail-Kommunikation kann mithilfe der S/MIME- oder PGP-Verschlüsselung erreicht werden.

Wenn keine Richtlinie zur Klassifizierung von Informationen verfügbar ist, erkundigen Sie sich bei Ihrem Vorgesetzten, wie die Einhaltung der DSGVO in die Telearbeit einbezogen werden kann.

6. Physischer Schutz

Klare Kommunikation ist der Schlüssel, insbesondere mit den Menschen, die im selben Haus oder in derselben Wohnung leben. Sie sollten über die Bedeutung des Datenschutzes, der DSGVO und Ihrer Verpflichtung gegenüber dem Unternehmen informiert werden. Sie können das Risiko auch aktiv verringern, indem Sie den Bildschirm jedes Mal sperren, wenn das Gerät unbeaufsichtigt bleibt.

Schützen Sie Dokumente vor Dritten, indem Sie Unterlagen beim Verlassen des Arbeitsplatzes an einem sicheren Ort aufbewahren.

Schließen Sie externe Medien und Geräte nur dann an Ihren Arbeitscomputer an, wenn diese zuvor von der IT genehmigt wurden. Dies gilt auch für USB-Laufwerke jeglicher Art.

7. VPN oder kein VPN

Es gibt verschiedene Quellen zu VPNs, und unser letzter Artikel zeigte bereits die vielfältigen Lücken und Probleme bei der Integration eines VPN-Dienstes in die Telearbeit.

Wenn Internet- oder VPN-Dienst wegen eines Ausfalls nicht zur Verfügung stehen, können die Daten nach Absprache mit dem Vorgesetzten und der IT-Abteilung in Ausnahmefällen lokal gespeichert werden. Regelmäßige Backups sind empfehlenswert. Die Daten sollten spätestens am Tagesende auf sicherem Wege in das Unternehmensnetzwerk übertragen werden. Lokale Kopien müssen ggf. mit Hilfe der IT-Abteilung auf sichere Weise gelöscht werden, um etwaigen Anforderungen der DSGVO zu entsprechen.

8. Home-Office Software

Software für die Telearbeit muss zunächst von der IT-Abteilung geprüft werden. Dazu zählen auch die Vertrauenswürdigkeit der Anbieter und Bezugsquellen im Internet. Nutzen Sie nur die intern bereitgestellten Links zu den Softwaredownloads, um sicherzustellen, dass es sich nicht um Schadsoftware handelt.

Illustration von Zahnrädern mit Icons zum Thema Home-Office - SEC Consult

9. Sicherer Kommunikationskanal

Internetbetrüger geben sich oft als Geschäftsführer oder Abteilungsleiter eines Unternehmens aus, weil die Anordnungen von Mitarbeitern selten hinterfragt werden. Beispiele hierfür sind CEO-Betrug und Deep-Fake-Voice-Betrug. Wichtige Transaktionen und Informationsübertragungen sollten daher über einen sicheren Kanal bestätigt werden. Dieser Kanal sollte allen erforderlichen Mitarbeitern bereits bekannt sein und zu Überprüfungszwecken verwendet werden.

10. Anti-Viren Schutz

Halten Sie in Absprache mit der IT-Abteilung auch die installierte Version der Antivirensoftware auf dem aktuellsten Stand.

11. Private Verwendung

Firmengeräten und Medien dürfen ohne vorherige schriftliche Genehmigung nicht für private Zwecke genutzt werden. Wechseln Sie für derlei Dinge besser zu einem privaten Gerät.

Foto zeigt Mann vor Bildschirmen und suggeriert Arbeit im Home-Office - SEC Consult

Tipps für Manager: was brauchen Mitarbeiter um die IT-Sicherheit bei der Telearbeit zu erhöhen?

Unternehmensführung ist in Krisenzeiten eine große Herausforderung. Es braucht einen klaren Aktionsplan und eine gute Strategie. Hier einige Tipps für Manager:

  1. Steigern Sie das Sicherheitsbewusstsein Ihrer Mitarbeiter indem Sie einen sicheren Kommunikationskanal bereitstellen.
  2. Verwenden Sie bewährte Sicherheitsmethoden und geben Sie keine Informationen preis, bei denen Benutzer auf einen Link klicken müssen (um das Phishing-Risiko zu verringern).
  3. Führen Sie Aufzeichnungen über Geräte, die extern verwendet werden. Bestimmen Sie den Zeitraum für die externe Verwendung anhand der Kritikalität und überprüfen Sie diese regelmäßig.
  4. Geräte mit einer bestimmten Kritikalität sollten standardmäßig verschlüsselt werden.
  5. Hochsensible Informationen sollten nicht übertragen bzw. offline verarbeitet werden. Die vorherige schriftliche Zustimmung eines Vorgesetzten sollte obligatorisch sein.
  6. Weisen Sie alle Mitarbeiter in die nötigen Schritte ein, die im Falle eines Sicherheitsproblemes notwendig sind. Eine gute Zusammenarbeit im Ernstfall ist notwendig, um das Risiko nicht nach außen dringen zu lassen.

 

Das deutsche BSI bietet eine Zusammenfassung der Themen, die besonderer Aufmerksamkeit bedürfen, wenn Arbeitgeber die Einführung von Telearbeit planen:

  • Regelungen für Telearbeiter / Sicherheitsrichtlinie für die Telearbeit
  • Sensibilisierung der Telearbeiter
  • Zutritts- und Zugriffsschutz
  • Sicherheitstechnische Anforderungen an die für die Telearbeit eingesetzten IT-Systeme / Härtung der eingesetzten IT-Systeme
  • Verschlüsselung von tragbaren IT-Systemen und Datenträgern
  • Nutzung von Bildschirmschutzfolien
  • Sicherer Remote-Zugriff auf das Netz der Institution
  • Datensicherung
  • Zeitnahe Verlustmeldung
  • Support für Telearbeitsplätze
  • Arbeiten mit fremden IT-Systemen/Netzen
  • Entsorgung von vertraulichen Informationen
  • Umgang mit dienstlichen Unterlagen bei erhöhtem Schutzbedarf am Telearbeitsplatz
  • Eindeutige Verifizierung
  • Unambiguous verification
  • Vorsicht Phishing

Alle unsere Sicherheitsüberprüfungen für Home-Office/Telearbeit können aus der Ferne durchgeführt werden. Sowohl Mitarbeiter als auch unsere Sicherheitsexperten bleiben damit geschützt

Möchten Sie die Cybersicherheit Ihrer Telearbeitsplätze mit den Experten von SEC Consult verbessern?

Mehr zum Thema