Suchen

Homeoffice und IT-Sicherheit Sicher arbeiten in den eigenen vier Wänden

| Autor / Redakteur: Gerald Beuchelt / Peter Schmitz

Dynamische Mitarbeiter, die permanent von verschiedenen Orten und Geräten aus agil zusammenarbeiten – das Ergebnis vieler auf Jahre ausgelegter Digitalisierungs­initiativen wurde durch das Corona-Virus zwangsweise vorweggenommen. Damit verbunden sind erhebliche Auswirkungen auf die IT-Sicherheit. Security-Aufklärung, Vermeidung von Schatten-IT und Passwort-Hygiene sind gerade jetzt wichtig.

Firmen zum Thema

Die neue Home-Office-Kultur stellt die IT-Sicherheit vor Herausforderungen.
Die neue Home-Office-Kultur stellt die IT-Sicherheit vor Herausforderungen.
(Bild: gemeinfrei / Pixabay )

Der Wandel von einer Präsenzkultur im Büro mit gelegentlichem Home-Office zur völlig „Remote“ arbeitenden Belegschaft stellt viele Unternehmen vor große Herausforderungen. So müssen sich Teams aus den Bereichen IT beziehungsweise IT-Sicherheit, Personalwesen sowie operative Einheiten sehr eng abstimmen, um einen reibungslosen und vor allem sicheren Geschäftsablauf zu gewährleisten. In dieser Situation zahlt es sich aus, frühzeitig die Mitarbeiter in Richtung „Cyber Smart“-Verhalten weitergebildet zu haben. Eine solche Sicherheitskultur ist gerade jetzt unabdingbar. Schließlich sind Unternehmen heute auf eine Vielzahl an Technologien rund um Remote-Arbeitsräume, Videoanrufe, Online-Besprechungen und virtuelle IT-Helpdesks angewiesen. Diese können nur dann sicher betrieben werden, wenn sich alle Beteiligten der Sicherheitsproblematik bewusst sind und mit gesundem Menschenverstand die entsprechenden Richtlinien umsetzen.

Das gilt insbesondere, weil schnell eine Schatten-IT entsteht: Mitarbeiter im Home Office nutzen eigene Anwendungen oder Apps. Meist geschieht das, weil sie die entsprechenden Tools gewohnt sind oder weil sie die unternehmenseigenen Angebote zu kompliziert finden. So entstehen neue Angriffspunkte.

Aufklärung – nötiger denn je

Aktuell müssen Unternehmen die Mitarbeiter nicht nur über die Risiken rund um Corona informieren, sondern auch Botschaften zum Thema IT-Sicherheit verbreiten. Neben einer Informationsseite kann dazu ein permanent bespielter Kommunikationskanal dienen. Grundsätzlich spielt derzeit Aufklärung – auch in Sicherheitsfragen ¬– eine wichtige Rolle.

Den Mitarbeitern sollte auch eine Anleitung zur sicheren Nutzung von Videokonferenz-Software zur Verfügung gestellt werden. Gerade rund um Videokonferenz-Software gab es in den vergangenen Wochen einige Meldungen über virtuelle Konferenzen, in die sich ungebetene Besucher eingeschleust hatten. Umso wichtiger ist es, die Mitarbeiter dazu zu bringen, die entsprechenden Sicherheitsfunktionen der genutzten Software auch zu verwenden. Dazu gehören nur einmalig verwendete Besprechungs-URLs und ein starker Passwortschutz, aber auch die Möglichkeit, eine Besprechung unkompliziert zu sperren und akustische und visuelle Warnungen zu erhalten. Den Mitarbeitern können dabei Anleitungen zur sicheren Nutzung von Videokonferenz-Systemen von großem Nutzen sein. Das Ziel sollte sein, die Mitarbeiter zu kompetenten „Türstehern” ihrer eigenen Besprechungen auszubilden. Entscheidend ist, dass Unternehmen ganz konkret auf sichere Business-Lösungen mit transparenten Datenschutzregelungen setzen.

Besonders für Konto-Administratoren ist es vor diesem Hintergrund wichtig, zu überprüfen, ob Standardeinstellungen tatsächlich in Ordnung sind. Oft sind zusätzliche Sicherheits- und Datenschutzfunktionen verfügbar, allerdings nicht standardmäßig aktiviert. All diese Sicherheitsmaßnahmen sind jedoch wichtig, da die Pandemie bereits Gegenstand einer aggressiven Welle böswilliger Cyber-Angriffe geworden ist, wie wirksamer Cyberangriffe via Phishing. Deshalb ist die transparente Kommunikation mit den Mitarbeitern einer der wichtigsten Faktoren, um diese einzudämmen. Die Einbeziehung und Aufklärung der inzwischen großen Gruppe von Mitarbeitern im Home-Office ist eine weitere wichtige Säule der "neuen" Sicherheitskultur.

IT-Teams können Sicherheitsschulungen und Sensibilisierungs­programme nutzen, um "cyberintelligentes" Verhalten nicht nur am Arbeitsplatz, sondern auch zu Hause zu fördern. Die Sicherheit Ihrer Organisation sollte unter allen Umständen eine Priorität sein, aber sie wird umso wichtiger, je mehr die Arbeit an entfernten Standorten zur Norm wird.

Passwort-Hygiene kommt nun zum Tragen

Ein weiterer wichtiger Aspekt, um die Remote Workforce zu schützen, ist die Stärkung der Passwort-Hygiene. Gemeint ist damit die Unsitte, Passwörter nie zu ändern, dasselbe Passwort für mehrere Dienste zu benutzen oder schlicht mit zu schwachen Passwörtern zu agieren. Die Gefahren, dadurch Opfer eines Hackers zu werden, sind groß. Das Verhalten der User gegenüber Passwörtern hat sich in den letzten Jahren – so die aktuelle LastPass Studie „Psychologie der Passwörter“ sogar eher verschlechtert. Vor diesem Hintergrund lohnt die Einführung eines Passwort-Managers. Er kann schnell, nahtlos und einfach in einen Workflow integriert werden. Gute Lösungen arbeiten mit einer Multifaktor-Authentifizierung, die zusätzliche Sicherheit gerade dann bringt, wenn sich Mitarbeiter von unterschiedlichen Standorten aus einloggen. Der Passwort-Manager zahlt sich in dieser Hinsicht gleich zweifach aus, denn er generiert und speichert einzigartige Passwörter für jeden Login. Der Username und die Passwörter landen dabei in einem „Safe“ wo sie verschlüsselt und organisiert werden.

Schatten-IT kommt auch schnell zum Vorschein, wenn Leute aus der Ferne arbeiten: Die Mitarbeiter versuchen nur, ihre Arbeit zu erledigen. Dabei werden sie Apps nutzen, die ihnen dabei helfen. Dadurch entstehen neue Angriffspunkte, die ein IT-Sicherheitsteam in den Griff bekommen muss. Single Sign-On (SSO) gibt IT-Teams die Kontrolle, um zu verwalten, welche Mitarbeiter Zugriff auf welche Anwendungen haben. Die IT-Abteilung kann einer Einzelperson oder einer Gruppe von Benutzern den Zugriff auf eine Unternehmensanwendung gewähren, wobei alle wissen, welche Benutzer sich anmelden, und den Zugriff bei Bedarf flexibel widerrufen können. In Verbindung mit der Passwortverwaltung werden so alle Zugangspunkte zum Unternehmensnetzwerk gesichert.

Sicherheit und Datenschutz als Gütesiegel

Unternehmen, die ihre Belegschaft ins Home-Office geschickt haben, müssen nicht nur zusätzliche Hardware, sondern auch digitale Upgrades einführen. Sie müssen sicher sein, dass die von ihnen eingesetzten Lösungen für Collaboration, Remote Access Services und Identitätsmanagement über die erforderlichen Sicherheitsmaßnahmen verfügen. Das setzt voraus, dass die Lösungen den vorgeschriebenen Sicherheits- und Datenschutzpraktiken entsprechen, wie sie die DSGVO vorsieht. Eine C5 Zertifizierung wie sie beispielsweise das Bundesamt für Sicherheit in der Informationstechnik (BSI) für Cloud-Provider vergibt, sind ein Gütesiegel für UCC oder Identitätslösungen aus der Cloud. Das ist ein klarer Hinweis für Nutzer, dass sie diese Lösungen sicher und datenschutzkonform verwenden können.

Chance auf eine neue Cybersicherheit

COVID-19 stellt Unternehmen vor sehr viele Herausforderungen, ist aber auch eine Chance, die eigene Perspektive auf Cybersicherheit, IT-Infrastruktur und Sicherheitskultur zu schärfen. Langfristig werden Unternehmen mit einer flexiblen, agilen Sicherheitsphilosophie und schneller Adaptionsfähigkeit davon profitieren. Es geht jetzt darum Sicherheit zu "straffen" und ein Modell zu entwickeln, das für Justierung offenbleibt.

Über den Autor: Gerald Beuchelt ist CISO von LogMeIn / LastPass.

(ID:46652751)