Wie man gemäss Terreactive auch im Homeoffice sicher arbeitet

Cybersecurity

Das Coronavirus kommt – und plötzlich arbeiten (fast) alle im Homeoffice. Zu plötzlich mancherorts. Da die Umstellung schnell und ohne grosse Vorarbeit geschehen musste, wurde die IT-Security vielerorts vergessen. Wie man trotz Homeoffice seine Angestellten schützen kann, sagt Urs Rufer, CEO von Terreactive.

Urs Rufer, CEO von Terreactive. (Source: stefanie fretz)

Wie lautet Ihr Top-Tipp, wie Mitarbeitende auch von daheim aus sicher arbeiten können?

Urs Rufer: Sicherheit lässt sich nie durch eine einzige Massnahme erreichen. Je nach Geschäft, Arbeitsmethoden und technischer Umgebung sind unterschiedliche Risiken vorhanden. Mit Homeoffice entstehen neue Anforderungen, die in den Risikomanagement-Prozess einfliessen müssen. Risikobetrachtung wie auch Gegenmassnahmen müssen zeitnah erfolgen.

Was ist das grösste Risiko, wenn so plötzlich so viele Mitarbeitenden ins Homeoffice wechseln?

Aus dem Risikomanagement-Prozess gehen neue Gefahren hervor: geänderte Arbeitsweise, Hackerangriffe auf Homeworker und der teilweise Kontrollverlust über die IT der Mitarbeitenden. Auch gefährlich: Abteilungen drängen ins Homeoffice, für die diese Arbeitsform bisher nicht vorgesehen war. Ist das Sicherheitskonzept des Fernzuganges zu restriktiv, könnte die Weisung erfolgen, es rasch zu lockern. Unter Zeitdruck führt dies zu Kompromissen, die das Risiko erhöhen. Weiteres Risiko: Telearbeiter, die sich nicht bewusst sind, dass ihr Heimnetz nicht den gleichen Schutz bietet wie der Firmenarbeitsplatz.

Welche technischen Sicherheitsmassnahmen sind unabdingbar im Homeoffice?

Das hängt von der Art des Fernzuganges ab. Die Anbindung direkt ans Firmennetz per VPN bedingt starke Authentisierung und einen kryptografisch gesicherten Kanal, wobei zwingend nicht nur die Authentizität des firmenseitigen Endpunktes, sondern auch diejenige des Arbeitsgeräts verifiziert werden muss. Bei der Anbindung mittels VDI (Virtual Desktop Infrastructure) reicht in der Regel eine starke Authentisierung des Teilnehmers.

Was müssen Unternehmen bei der Sensibilisierung ihrer Mitarbeitenden besonders beachten?

Im Homeoffice gelten die gleichen Verhaltensregeln wie für alle Arbeiten ausserhalb des Firmennetzes. Rückzug beim Telefonieren. Vorsicht beim Teilen von Inhalten bei Videokonferenzen. Anweisungen, über welche Kanäle kommuniziert wird und welche Kanäle als authentisch und autoritativ – oder eben nicht – angesehen werden und wie in Zweifelsfällen die Authentizität verifiziert werden soll.

Welche rechtlichen Aspekte gilt es beim Homeoffice zu beachten?

Rechtliche Aspekte mit Bezug zur Sicherheit gibt es bei BYOD (bring your own device), wenn der Arbeitgeber verlangt, dass auf dem Privatgerät ein Agent zur Compliance-Überwachung und/oder ein Endpoint-Security-Produkt installiert wird. So hält ein schriftliches Remote-Access-Agreement den Mitarbeitenden zur Einhaltung von Sorgfaltspflicht und Policy an und bietet konkrete Hilfe in Form einer Anleitung, was zu tun ist.

Die Antworten der übrigen Podiumsteilnehmer:

Marcus Griesser, SBB: "Kein Datenaustausch von geschäftlichen Daten auf privaten Heimnetzwerk-Infrastrukturen."
Enrico Lardelli, GKB: "Entscheidend ist der Appell an die Selbstverantwortung und an den gesunden Menschenverstand."
Max Klaus, Melani: "Der Zugriff sollte ausschliesslich mittels VPN-Tunnel und einer Zwei-Faktor-Authentifizierung erfolgen. "
Cornelia Lehle, G Data: "Firmendaten haben auf Privatgeräten nichts zu suchen."
Sonja Meindl, Check Point: "Unternehmen sollten sichergehen, wer Zugriff auf welche Informationen hat."
Andreas Rieder, Ispin: "Wichtig ist, die im Homeoffice geleistete Arbeit nicht zu verlieren."
Michael Rothmund, All for One Group: "Digitale Transformation kann nur funktionieren, wenn auch die Cybersecurity mittransformiert wird."
Simon Schneiter, Ensec: "Erklären Sie Ihren Mitarbeitenden auch, weshalb sie sich so verhalten sollen!"
Rainer Schwegler, Eset: "Es fehlt oft am richtigen Equipment."