Warum soll’s im HomeOffice Cyber-unsicherer sein?
Nach etlichen Monaten in der Pandemie haben sich diejenigen, die im HomeOffice arbeiten an dessen Vorzügen gewöhnt, oder sehnen sich an ihren Arbeitsplatz und die Kollegen zurück (oder beides). Und wie steht’s um die Cybersicherheit? Natürlich ist (bei Vielen) nichts passiert, oder man hat es nur noch nicht mitbekommen.
Dabei sind Home-Officer jetzt ein begehrtes Ziel. Warum? Das erklären wir in diesem Beitrag.
Eines vorweg. Wir werden in diesem Beitrag die Themen Datenschutz, Datensicherheit & Cybersecurity einfach als ein großes Ganzes betrachten, um die wichtigsten Aspekte besprechen zu können.
Die Herangehensweise der Firmen war komplett unterschiedlich. Alle, die schon Mobile Worker hatten, konnten das Konzept einfach erweitern. Die Angestellten bekamen die Desktop-Geräte mit nach Hause. Andere wiederum arbeiteten mit ihren privaten Geräten.
Natürlich gab es gute Gründe so zu reagieren. Das Budget für neue Geräte war nicht da oder Hardware war so schnell nicht lieferbar. Den Cyberkriminellen ist das aber egal. Folgende Faktoren erhöhen nun das Risiko.
Die Heim-IT-Infrastruktur
Wer kennt das? Man besorgt sich ein neues Device oder Software. Nach Installation freut man sich, dass es endlich funktioniert und greift es nicht mehr an. Entweder vergisst man darauf oder will jaaa nichts kaputt machen. (Das passiert übrigens nicht nur zu Hause, sondern auch in Unternehmen). Diese Geräte (wie zB Webcam, Babyphone, NAS oder Smart Home Devices) sind dann mit dem Internet verbunden und bieten gute Einfallstore für Hacker.
Als Arbeitgeber kann man nicht kontrollieren wie viele solcher Devices die Mitarbeiterin/der Mitarbeiter hat und ob die entsprechend gesichert sind. Von diesem Gerät kann sich ein Angreifer Zugang auf das Firmennotebook verschaffen.
Aber ihr nutzt ja VPN, Firewalls & Co?
VPN hilft in diesem Fall gar nichts. Firewalls, Antivirus & Co nur dann, wenn die Verwaltung auch remote erfolgt.
Verwenden des privaten PCs
Am besten noch den Gaming PC der Kids. So provokant das jetzt klingen mag, aber da könnt ihr eure Firmendaten gleich in einer öffentlichen Bibliothek aufbewahren.
Über die vielen kleine Apps, die installiert sind, oder Websites, die angesurft werden, habt ihr keine Handhabe.
Die Distanz zur internen IT-Abteilung
Hier gibt’s zwei Aspekte:
- Wenn es Probleme mit dem PC gibt, geht man im Büro mal schnell zum Helpdesk oder zum IT-Team und holt sich dort Rat und Hilfe. Oder ein kurzes Gespräch mit der Kollegin/dem Kollegen, wenn etwas Komisches am PC passiert. Wie läuft das zu Hause? Erreicht man den Servicedesk überhaupt?
Traut man sich Probleme überhaupt zu melden? Man könnte doch einen Freund bitten einen Blick aufs Firmengerät zu werfen … - Der zweite Punkt ist die Verwaltung der Geräte, wenn sie nicht im Firmen Netz sind. Sind dann die User selbst verantwortlich für Updates & Datensicherung?
Man (der Arbeitgeber) verliert den Überblick über den Zustand der Endgeräte. Und die Endgeräte sind nicht mehr verwaltet (dh eventuell kein Update oder der Antivirus funktioniert nicht) und die User werden wieder kreativ und finden eigene Lösungen.
Datenaustausch
Wie soll ich denn die Daten mit den Kollegen austauschen? Übers VPN einwählen und auf den Firmenserver legen? Das dauert lange, oder es gibt immer wieder Verbindungsprobleme (Link zum Blog Telework monitoring)? Also warum nicht schnell über Whatsapp oder WeTransfer schicken?
Wenn öffentliche Tools zum Datenaustausch verwendet werden, kann nicht sichergestellt werden, wohin die Daten gehen. Da geht es auch gar nicht um mutwillige Angriffe, sondern auch um versehentliches Weiterleiten.
Die 5 wichtigsten Maßnahmen aus unserer Sicht
- Keine Privatgeräte verwenden.
Die Firma hat keine Möglichkeit zu überprüfen welche Software darauf installiert ist und welche Wege die Firmendaten nehmen. BYOD (Bring Your Own Device) und Datenschutz lassen sich nur mit großen Mühen miteinander vereinbaren.
Alternativen sind:
Firmennotebooks: Optimal ist natürliche eine zentrale Verwaltung der Geräte. Wenn das kurzfristig nicht möglich ist, bringt aber auch schon die Trennung vom Privatgerät einen großen Sicherheitsvorteil.
Oder Remotedesktop Zugänge: Microsoft Remote Desktop Services oder Citrix sind hier sicher die bekanntesten Vertreter. Die Zugänge sollten so eingerichtet sein, dass keine Daten auf das private Endgeräte kommen können & umgekehrt. - Gute Usability für den Informationsaustausch
Wenn es darum geht die Prozesse zu Gunsten einfacher Handhabung zu „optimieren“, werden User oft sehr kreativ. Warum zuerst ins Firmennetzwerk verbinden und dann die Daten mühsam hochladen über ein Tool, das schon vorher langsam war. Da gehen die Daten schon mal einen kürzeren Weg über Dropbox, WeTransfer & Co.
Hier sollten Lösungen geschaffen werden, wie beispielsweise private Cloud-Lösungen zum Dateiaustausch oder Webportale (Kollaborationssysteme), die im Firmennetzwerk sind und vom HomeOffice gleich gut zu bedienen sind und die Sicherheit der Daten gewährleisten. - Sichere Verbindungen ins Firmennetz
VPN kennen viele Privatanwender – zumindest, wenn es darum geht anonym zu surfen, oder zB an Filme & Serien zu kommen, die in der eigenen Region nicht verfügbar sind.
So soll der Zugriff aufs Firmennetzwerk auch über VPN erfolgen. Aber bitte wieder auf keinen Fall am privaten Rechner installieren!
Auch der Zugriff auf Web-Portale & Mail-Server sollte durch VPNs erfolgen. - Multifaktor Authentifizierung
Ist der Zugriff auf Firmen Web-Portale oder Mail-Server von extern ohne VPN gewünscht. Sollte zumindest eine Zweifaktor-Authentifizierung implementiert werden.
Das gleiche gilt für Remote-Desktop Verbindungen. - Backup – Backup – Backup
Im HomeOffice sollten die User auch selbständig Backups der Daten durchführen. Nachdem der IT-Support vielleicht nicht so gut zur Verfügung steht, oder doch mehr Daten lokal gespeichert werden, rettet einem ein Backup (Link) vielleicht den Tag.
Die Sicherung bitte lokal auf eine USB-Disk oder nur auf einen von der Firma freigegebenen Cloud-Speicher.
Wenn Ihr noch Fragen habt, stehen wir euch gerne mit Rat & Tat zur Seite. Ihr könnt uns am einfachsten über unser Kontaktformular erreichen.