So bleiben Sie auch im Homeoffice sicher
Aufgrund der Coronakrise haben viele Unternehmen ihre Mitarbeiter ins Homeoffice geschickt. Da dies schnell und ohne grosse Vorbereitungszeit passieren musste, wurde die IT-Security dabei oft vergessen. Wie man trotz Homeoffice sicher arbeiten kann, sagen ISG, PWC, Eset, G Data und das Nationale Zentrum für Cybersicherheit.
Das Coronavirus ist da und plötzlich arbeitet ein Grossteil der Schweiz im Homeoffice. Weil die Lage so akut ist, sehen sich viele Firmen gezwungen, möglichst rasch zu handeln. Laut dem Beratungsunternehmen ISG führt dies jedoch dazu, dass in gewissen Fällen teuer gekaufte IT-Lösungen, welche die Mitarbeiter im Büro schützen sollten, einfach umgangen werden. Alleine in der Schweiz riss diese Umstellung 8000 grosse Löcher in die IT-Abwehr von Firmen, wie Sie hier nachlesen können.
Viele der aufgrund der Covid-19-Pandemie entstandenen Homeoffice-Umgebungen wurden in der Eile nicht auf ihre Sicherheit geprüft. Um dem entgegen zu wirken, publizierten Unternehmen wie ISG, PWC, Eset, G Data aber auch das Nationales Zentrum für Cybersicherheit Tipps für mehr Sicherheit im Homeoffice.
Zu den offensichtlicheren Risiken gehören die wohl deutlich höhere Auslastung der von Unternehmen genutzten Bandbreiten, IT-Services und der IT-Infrastruktur. Aus diesem Grund sei es wichtig, Prioritäten zu setzen, empfiehlt PWC.
Unternehmen sollten genau prüfen, welche Bereiche und Prozesse nun priorisiert werden müssen. Eventuell bedeute dies auch, dass weniger wichtige Services und Benutzergänge gesperrt werden müssen, um die wichtigeren zu entlasten.
Mehr Homeoffice, mehr Aufwand
Die gestiegene Anzahl Mitarbeiter im Remote oder Homeoffice bedeutet auch einen grösseren Aufwand und eine gestiegene Komplexität beim Network Monitoring, schreibt ISG. Dies führe unweigerlich dazu, dass die Anzahl Sicherheitsvorfälle im Unternehmen zunehmen werden – sowohl versehentliche als auch absichtliche. Ein Umstand, den Hacker gemäss dem Beratungsunternehmen wohl sehr genau beobachten werden.
Wie die Bedrohungslage in Zeiten des Coronavirus konkret aussieht, schildert das Nationale Zentrum für Cybersicherheit (NCSC): Angreifer könnten die aktuelle Situation ausnutzen, um mit verschiedenen Methoden Zugriff auf Unternehmensnetzwerke zu erhalten. Dazu zählten etwa Angriffe auf ungesicherte Gateways und Passwort-Verzeichnisdienste, Brute-Force-Attacken oder auch Malware und Phishing-Techniken.
Phishing? Brute Force? Was war schon wieder was? Das IT-Security-Glossar gibt einen schnellen Überblick über die gängigsten Begriffe rund um Cybercrime und IT-Security.
Das NCSC empfiehlt daher, für jeden Dienst ein eigenes starkes Passwort sowie einen zweiten Faktor für die Benutzeridentifizierung zu verwenden. Kryptosticks, Smartcards oder hardwarebasierte Einmalpasswörter (OTP) wie RSA-Tokens oder MobileID seien hier gute Lösungen. Falls dies nicht möglich sei, könne man auch auf software-basierte Lösungen wie etwa den Google Authenticator zurückgreifen.
Prüfen, woher der Traffic kommt
Die Unternehmen sollten ferner die Logdaten der Geräte mit Fernzugriff laufend auf Anomalien prüfen. Wenn die meisten Mitarbeiter in der Schweiz tätig sind, wäre etwa eine ausländische IP-Adresse verdächtig. Auch IP-Adressen aus Tor-Netzwerken sollten überprüft werden. Die IT-Verantwortlichen eines Unternehmens sollten die genutzten PCs auch aus der Ferne aktualisieren und im Notfall neu aufsetzen können. Dies sollte schon vor dem Ernstfall geplant und geprobt werden.
ISG empfiehlt ebenfalls aus Sicherheitsgründen, dass Mitarbeiter sofern möglich immer vom Unternehmen zur Verfügung gestellte Geräte nutzen sollten. Endpoint Protection, also Antivirenlösungen Firewalls und Co., sollten Vorschrift – nicht fakultativ – sein für Mitarbeiter im Homeoffice.
PWC schlägt vor, diesbezüglich verbindliche Richtlinien für Mitarbeiter zu erarbeiten. Das sollten Unternehmen laut der Beratungsfirma eines beachten: "Keep it simple". Um den Supportaufwand gering zu halten, empfiehlt PWC, auf die bereits in Windows zur Verfügung stehenden Standardanwendungen zurückzugreifen. Dazu zählen etwa Windows Defender und Windows Firewall.
Ein guter Tipp, wenn die Mitarbeiter selber für ihre IT-Security verantwortlich sind. Wenn die IT-Security aber vom Unternehmen geregelt wird auf Geräten, die das Unternehmen zur Verfügung stellt, sollte die Cyberabwehr nicht bloss auf dem Niveau von Standardanwendungen dümpeln.
Der Faktor Mensch
Genauso wichtig wie die technologischen Aspekte sind jedoch auch die Mitarbeiter selbst. Sie müssen entsprechend sensibilisiert werden, wo und wie sie arbeiten und was das genau bedeutet. Dazu zählt auch, sie über die Gefahren öffentlicher WLAN-Hotspots aufzuklären, sagt ISG. Auch müssen sie darauf hingewiesen werden, dass sie unterwegs mehr und besser auf ihre Geräte achten müssen, als etwa daheim oder im Büro.
Der deutsche Sicherheitsanbieter G Data bietet zu diesem Zweck kostenlose Onlinekurse an, um Angestellte fit für das sichere Arbeiten im Homeoffice zu machen. Mehr Informationen dazu finden Sie auf der Website von G Data.
Die Sensibilisierung der Mitarbeiter sollte auch die Kommunikation untereinander thematisieren. Überlässt man die Wahl der Tools den Mitarbeitern, entscheiden sich diese wohl für Apps und Plattformen, die sie auch im Alltag nutzen. Diese könnten aber den Sicherheits- und Datenschutzanforderungen der Firma nicht genügen.
"Von der Verwendung der Videotelefoniefunktion von WhatsApp und dem Facebook Messenger raten wir bei unternehmenskritischen Gesprächen ab, da der Facebook Konzern sich vorbehält, einzelne Gespräche auszuwerten. Sie möchten sicherlich nicht, dass Firmeninterna mit Facebook geteilt werden", rät etwa der slowakische IT-Security-Anbieter Eset.
Auch die rechtlichen Aspekte beachten
Ähnliches gelte auch für die Privatanwenderversionen von Skype. Bei kritischen Gesprächen sollten Firmen daher auf verschlüsselte Dienste wie etwa Threema, Signal, Telegram und Co. zurückgreifen.
Woran viele Unternehmen vielleicht nicht denken, ist, dass Homeoffice auch rechtliche Aspekte betrifft. Die meisten Mitarbeiter werden sich vermutlich zwar brav an die Regeln halten, schreibt ISG.
Dennoch sollten Unternehmen ihre Sourcing-Verträge jetzt genauer ansehen. Dabei sollten sie vor allem auf Standortbestimmungen und Datenschutzregeln achten. Insbesondere sollten sie prüfen, ob ihre Cyberversicherung gewisse Ausschlussklauseln beinhaltet für Mitarbeiter im Remote- oder Homeoffice.
Weitere Informationen
-
Den vollständigen Leitfaden (inklusive ausführlichen Tipps zu den einzelnen Lösungen für Homeoffice) von PWC finden Sie hier.
-
Den ausführlichen Leitfaden des NCSC können Sie hier nachlesen.
Infinigate Schweiz reorganisiert MSP-Bereich
Cyberkonferenz an der EPFL lädt zum Capture-the-Flag-Turnier
Passkeys – das Ende der Passwörter?
Tool rüstet Raspberry Pi zu Cybercrime-Werkzeug für Anfänger auf
Gil Shwed über Rücktritt, Cybercrime und KI
United Security Providers bekommt neuen Chef
In Österreich wäre die Krosse Krabbe dran
Forschende kreieren Exploits per GPT-4
Wenn der Zufall Betrügern in die Hände spielt
