Grundlagen der Home-Office-Sicherheit
Von zu Hause aus sicher arbeiten
Nach wie vor arbeitet eine große Zahl der deutschen Angestellten von zu Hause aus. Das teils mit Consumer-Hardware und -Software bestückte Home-Office erweist sich dabei schnell als Sicherheitsrisiko für die Unternehmens-IT. Doch mit geeigneten Tools können sich Unternehmen wirksam gegen einige zentrale Risiken des verteilten Arbeitens wappnen.
Eine der größten Gefahren im Home-Office sind Angriffe aus dem Internet. Denn Hacker nutzen den aktuellen Informationsbedarf in der Corona-Krise verstärkt aus. Über gefälschte Websites, E-Mails oder Grafiken, die aus scheinbar vertrauensvollen Quellen stammen, schleusen die Angreifer Malware auf Rechner ein. Doch auch vor Corona galt schon: Die meisten Hackerangriffe gelangen über das Internet auf Rechner und in das Unternehmensnetz. Den besten Schutz vor solchen Angriffen bietet ein virtueller Browser. Er isoliert alle potenziell gefährlichen Aktivitäten. Der Nutzer arbeitet mit einer vom Betriebssystem separierten Maschine und bewegt sich sozusagen in einer virtuellen „Surfumgebung“. Jeder Browser-Start versetzt den Browser in seinen Ausgangszustand zurück. Am sichersten ist dabei eine vollvirtualisierte Surfumgebung. Eine solche Lösung trennt die Netzwerke konsequent.
Datenschutz in der Cloud
Cloud-Anwendungen erleichtern die gemeinsame Arbeit von mehreren Standorten erheblich. Doch Unternehmen geben dabei die Kontrolle über den Schutz ihrer Daten ab – und das, obwohl die Schutzmechanismen der Cloud-Anbieter den hohen Sicherheitsanforderungen vieler deutscher Unternehmen nicht genügen. Damit drohen Datenspionage und Compliance-Verletzungen. Hinzu kommt: Die Mehrzahl der Cloud-Anbieter sitzt im Ausland. Dort geltende Regelungen sind oft nicht mit der EU-DSGVO vereinbar. Der europäische Gerichtshof hat dies in seiner Entscheidung vom 16. Juli bestätigt und das Datenschutzabkommen Privacy Shield zwischen der EU und den USA für ungültig erklärt. Der Grund: Die US-Sicherheitsbehörden haben weitreichende Befugnisse zur Überwachung „ausländischer Kommunikation“. Der Cloud-Act (Clarifying Lawful Overseas Use of Data) etwa verpflichtet US-amerikanische Cloud-Provider, den US-Behörden Zugriff auch auf nicht in den USA gespeicherte Daten zu gewähren – und macht die DSGVO damit unwirksam.
Die Lösung für dieses Problem ist ein datenzentrischer Schutz: Datenzentrische IT-Lösungen generieren einen Platzhalter und stellen diesen in die Cloud. Der Platzhalter enthält Metadaten, die beispielsweise Auskunft darüber geben, wie die Datei heißt und wer sie öffnen darf. Die Benutzer geben die Originaldatei dabei nicht in fremde Hände, sondern legen sie auf dem Server des Unternehmens oder einem anderen beliebigen Speicherort ab. Nur autorisierte Nutzer können über ein differenziertes Anmeldesystem über diesen „Dummy“ auf das Original zugreifen.
Eine WLAN-Verbindung erleichtert die Arbeit im Home-Office ungemein. Ob in der Küche, im Wohn- oder Gästezimmer: Werktätige können ihren Arbeitsplatz flexibel einrichten – ohne lästige Kabel. Eine WLAN-Verbindung ist allerdings auch ein Sicherheitsrisiko. Denn Funknetzwerke bieten Hackern die Möglichkeit, auf Daten zuzugreifen. Hacker können zudem Computerviren und Trojaner über schlecht oder nicht gesicherte WLANs in ein System einspeisen. Spätestens wenn Mitarbeiter von zu Hause aus arbeiten, sollten sie das Standard-WLAN-Passwort durch ein neues, starkes Passwort ersetzen. Weiteren Schutz bietet eine Verschlüsselung. Dabei sollten Anwender stets die aktuelle WPA2-Verschlüsselung aktivieren.
Unternehmen sollten zudem sichere Kommunikationskanäle nutzen, um die Tablets, Smartphones oder PCs der Mitarbeiter im Home-Office an das Unternehmensnetzwerk anzubinden. Andernfalls können Angreifer Informationen abhören oder manipulieren. Empfehlenswert sind gesicherte Tunnel per VPN (Virtual Private Network).
Ein zentraler Schwachpunkt im Home-Office ist der Mensch. Mitarbeiter öffnen Phishing-E-Mails, laden gefährliche E-Mail-Anhänge herunter, verraten nichtsahnend ihre Zugangspasswörter an Unbefugte, die sich am Telefon als IT-Dienstleister ausgeben, und verbummeln wichtige Sicherheits-Updates. Im Home-Office – wenn der IT-Administrator weit weg ist – ist die Verantwortung des Einzelnen besonders groß. Neben der richtigen IT-Sicherheitstechnik ist eine Schulung und Sensibilisierung der Mitarbeiter daher ausschlaggebend für die IT-Sicherheit im Unternehmen.
Mitarbeiter sensibilisieren
Ein wichtiges Schulungsthema sind Passwörter. Denn Standardpasswörter sind einfach zu knacken und „1234“ oder „Password“ bieten gar keinen Schutz vor Hackern. Gute Passwörter sind Passphrasen, wie „Wir verschlüsseln Datenträger!“ oder „keine-Zellen-in-Excel-verbinden“. Solche Sätze sind leicht zu merken und zu tippen, aber schwierig zu knacken. Anwender sollten diese um Symbole, Zahlen oder Großbuchstaben ergänzen. Um nicht den Überblick zu verlieren, ist es hilfreich, einen Passwort-Manager zu nutzen.
Mitarbeiter sollten zudem keine USB-Speichergeräte nutzen. Diese sind zwar praktisch, wenn es um die Weitergabe größerer Datenmengen geht. Auch beim dezentralen Arbeiten im Home-Office ist der USB-Stick beliebt. Häufig nutzen Mitarbeiter allerdings Sticks, deren Ursprung niemand mehr kennt. Auf diese Weise kann Malware auf die Unternehmensrechner gelangen.
Des Weiteren sollten Unternehmen ihre Mitarbeiter darüber informieren, dass sie keine privaten Daten und Anwendungen auf ihren Dienstrechnern speichern dürfen. Denn bei einem Gerätewechsel – zum Beispiel bei einem Ausfall des Mitarbeiters durch Krankheit – unterliegt das Gerät in diesem Fall dem Datenschutz. Streng genommen darf der Arbeitgeber nur nach expliziter Freigabe durch den Mitarbeiter auf das Endgerät zugreifen, solange private Daten darauf liegen. Hinzu kommt, dass private Downloads häufig aus unsicheren und damit riskanten Quellen stammen und daher eine Gefahr für die Unternehmens-IT darstellen können.
- Von zu Hause aus sicher arbeiten
- Sichere Kommunikation
Lesen Sie mehr zum Thema
