Sicherheit für Büro und Homeoffice Keine Abstriche bei der IT-Sicherheit im Home-Office

Autor / Redakteur: Gerald Beuchelt / Peter Schmitz

IT-Administratoren stehen vor der Aufgabe, Netzwerkstruktur und Sicherheitsanwendungen flexibel zu gestalten und an die Bedürfnisse verteilt arbeitender Teams anzupassen. Das Personal soll jederzeit und von überall sicher auf die für sie notwendigen Geschäftsinformationen zugreifen können. Diese Anforderung wird die IT dauerhaft begleiten, denn der hohe Anteil der Fernarbeit bleibt durch die Corona-Pandemie bestehen.

Firmen zum Thema

Ein Großteil der Sicherheitsmaßnahmen für traditionelle Büroumgebungen ist auch im Homeoffice anwendbar, ohne die Arbeitsprozesse unnötig einzuschränken.
Ein Großteil der Sicherheitsmaßnahmen für traditionelle Büroumgebungen ist auch im Homeoffice anwendbar, ohne die Arbeitsprozesse unnötig einzuschränken.
(Bild: gemeinfrei / Pixabay )

Viele Mitarbeiter in Büroberufen arbeiten noch immer von zuhause, andere hingegen bereits wieder am Arbeitsplatz oder sogar von unterwegs. Auf diese Situation müssen Unternehmen sich einstellen. IT-Abteilungen müssen auch im Heimbüro die allgemeinen Sicherheitsstandards durchsetzen, um Einfallstore für Hacker und Malware so klein wie möglich zu halten. Ein Großteil der Sicherheitsmaßnahmen für die traditionelle Büroumgebung ist auch im Home-Office anwendbar, ohne die Arbeitsprozesse unnötig einzuschränken. Letzten Endes kommt es aber auf die Mitarbeiter an: Sie sollten auch zuhause Mails und Datei-Downloads überprüfen. Allerdings gibt es Aspekte, die Mitarbeiter häufig unterschätzen, wenn sie am eigenen Schreibtisch arbeiten.

Problem 1: Passwörter und Authentifizierung

Sicheres Passwortverhalten spielt eine große Rolle, insbesondere wenn es um die sichere Nutzung von Konten geht. Mitarbeiter agieren bei der Wahl von Passwörtern zunächst in ihrem eigenen Ermessen. Leider verwenden sie aber häufig zu kurze und schwache Passwörter oder nutzen sie über mehrere Accounts hinweg, um sich nicht unterschiedliche Zugangsdaten merken zu müssen. IT-Administratoren sind aber nicht nur dafür verantwortlich, den Zugang der Mitarbeiter zu Arbeitsanwendungen zu verwalten, sondern auch dafür, das Unternehmensnetzwerk vor schwachen persönlichen Passwörtern der Mitarbeiter zu schützen. Administratoren sollten daher eine Lösung zur Verwaltung von Unternehmenspasswörtern implementieren, die ihnen die nötige Kontrolle bietet und gleichzeitig benutzerfreundlich genug für die Mitarbeiter ist, um die tägliche Arbeit zu erledigen.

Zu den weiteren sicherheitstechnischen Möglichkeiten gehört die Zwei- oder Multi-Faktor-Authentifizierung (MFA) für das Account- und Zugriffsmanagement, um die Identitäten der (Remote-) Mitarbeiter zusätzlich abzusichern und zu bestätigen. Dabei wird die klassische Passwort-Abfrage um zwei oder mehr identitätsgesteuerte Anmeldedaten erweitert – etwa einen zusätzlich generierten Code auf dem Smartphone oder den Abgleich von Standort oder IP-Adresse. Damit lässt sich verhindern, dass nicht-autorisierte Nutzer von fremden Standorten, Geräten oder Netzwerken auf die Mitarbeiter-Accounts zugreifen. Die Implementierung einer biometrischen MFA-Lösung bietet Mitarbeiern eine einfach zu bedienendes Access-Management, mit dem Unternehmenszugänge gleichzeitig schnell gesperrt werden können, sodass das Risiko einer Datenverletzung im Zeitalter von Fernarbeit minimiert ist.

Problem 2: Sichere Teilnahme an Videokonferenzen

Die Zusammenarbeit mit den verteilten Kollegen führt zum vermehrten Einsatz von online-einsetzbaren Kollaborations-Tools. Verteilte Teams nutzen für die interne wie externe Kommunikation in der Regel Videokonferenzen. Allerdings können unerwünschte Anwender an den Gesprächen teilnehmen, wenn keine geeigneten erweiterten Schutzmaßnahmen aktiviert sind – etwa die Funktion „Besprechung sperren". Denn auch virtuelle Meetings verfügen mittlerweile über Passwortfunktionen, die sicherstellen, dass nur Personen an einem Meeting teilnehmen können, die den Code kennen.

Oft werden in virtuellen Meetings zwischen Mitarbeitern und Kunden auch Dateien ausgetauscht oder über den Bildschirm zur Ansicht geteilt. Nehmen nicht-autorisierte Nutzer teil, können sie leicht interne Informationen abgreifen. Um unberechtigte Datei-Downloads zu verhindern, kann der Host eines Meetings Richtlinien festlegen, welche Inhalte mit wem geteilt werden sollen und wie lange sie zur Ansicht zur Verfügung stehen sollen.

Problem 3: Heim-IT – Router, private oder nicht verwaltete Endgeräte

In der Büroumgebung kümmert sich der IT-Administrator darum, dass Software-Updates ausgeführt werden, Hardware und Netzwerke funktionieren und die Sicherheits-Tools immer auf dem neuesten Stand sind. Arbeiten Mitarbeiter im Home-Office, haben sie nur einen eingeschränkten kontrollierenden Zugriff. Hier stehen die Remote-Mitarbeiter selbst in der Verantwortung, den heimischen Router, den privaten Computer mit Zugriff auf die Unternehmens-IT sowie das Betriebssystem und Antiviren-Software regelmäßig zu aktualisieren und an die IT-Anforderungen des Arbeitgebers anzupassen. Vor allem bei der Nutzung privater Endgeräte ist es unerlässlich, sich mit der IT-Abteilung zumindest über den geeigneten Schutz abzusprechen. Regelmäßige Updates enthalten Sicherheits-Patches, um bekannt gewordene Sicherheitslücken in Systemen zu schließen. Das erschwert Hackern oder Bots den Zugriff auf drahtlose Heimnetzwerke und über diesen Umweg auf die Unternehmens-Netzwerke und -Daten.

In den eigenen vier Wänden sollten dieselben Sicherheitsmaßnahmen gelten wie im Büro. IT-Administratoren haben viele Möglichkeiten, um die Arbeit von zuhause genauso abzusichern, ohne die Benutzerfreundlichkeit zu stark einzuschränken. Tools wie Passwortmanager oder MFA-Lösungen helfen, den Zugriff auf Daten und Anwendungen zu beobachten. Zusätzliche Sicherheitsfunktionen für Kommunikations-Tools und Videokonferenzlösungen sorgen für eine sichere Zusammenarbeit der verteilten Teams und Mitarbeiter. IT-Teams müssen die Mitarbeiter immer wieder ermutigen, die besten Praktiken im Bereich der Online-Sicherheit zu nutzen. Das Bewusstsein dafür schaffen sie mit kurzen IT-Sicherheitsschulungen. So werden potenzielle Sicherheitsrisiken auch am privaten Schreibtisch minimiert, und die reibungslose Zusammenarbeit der Mitarbeiter mit mobilen Endgeräten und Unternehmensanwendungen bleibt garantiert.

Über den Autor: Gerald Beuchelt ist CISO bei LogMeIn.

(ID:47031840)