Ortsunabhängiges Arbeiten wird mehr denn je in Anspruch genommen. Wenn aber immer mehr Menschen von zu Hause arbeiten, birgt das auch Sicherheitsrisiken. Was müssen Unternehmen beachten? Was ist auf Client-Seite wichtig? Und worauf kommt es an, wenn keine Unternehmens-, sondern private Systeme im Einsatz sind? Wir verraten, was in puncto Homeoffice wichtig ist, damit auch aus den eigenen vier Wänden sicher gearbeitet werden kann.
Besonders Büroarbeit ist längst nicht mehr an einen physischen Raum gebunden. Vielmehr ist sie durch wechselnde Arbeitsfelder definiert, die jederzeit und überall entstehen können. Die steigende Digitalisierung, eine erhöhte Konnektivität, neue aber auch unerwartete Herausforderungen sorgen dafür, dass Arbeitsräume immer stärker verschmelzen.
Risiken und Voraussetzungen für das Homeoffice
Im Homeoffice-Vorteil sind vor allem die Unternehmen, die ihre Prozesse bereits umfassend digitalisiert haben und deren relevanten Daten und Unterlagen elektronisch vorliegen. So benötigen Mitarbeiter häufig nur ein zur Verfügung gestelltes Unternehmenssystem, das mit allen Tools bereits vorkonfiguriert ist, um sich aus dem Homeoffice in das Firmennetzwerk einzuloggen. Und damit auch Meetings via Video-Konferenz und andere Bandbreiten-fressende Anwendungen reibungslos laufen, ist vor allem die Upload-Geschwindigkeit entscheidend – über 10 Mbit/s sollten es im Homeoffice schon sein.
Vor allem der Zugriffspunkt kann im Homeoffice ein Sicherheitsrisiko darstellen. So sollte die Verbindung aus privaten WLANs mindestens via WPA2-Verschlüsselung gesichert sein. Und natürlich muss das Passwort auch ausreichend komplex gewählt werden, was aber ohnehin überall gilt. Dann können sich Mitarbeiter bequem und sicher über ein VPN (Virtual Private Network) einloggen und auf das Firmennetzwerk zugreifen. Dieses ist verschlüsselt und damit abhörsicher. Unternehmen sollten ihre Dienste ohnehin so konfigurieren, dass sie nur per SSL-Verschlüsselung von außen zu erreichen sind.
Was aber, wenn Mitarbeiter auf das Firmennetz zugreifen, ohne darauf zu achten, ob sie durch ein VPN geschützt sind? Es gibt zum Beispiel Lösungen, die alle Mitarbeiter im Unternehmen, innerhalb aber auch außerhalb eines VPNs schützen können. So bildet das Secure Internet Gateway in der Cloud die erste Verteidigungslinie im Internet. Mitarbeiter sind vor Malware, Phishing und anderen Bedrohungen geschützt – egal, von wo aus sie arbeiten. Und Unternehmen müssen auch nicht zwingend ihre VPN-Kapazitäten aufstocken.
Mit 2-Faktor-Authenthisierung sicher einloggen
Die Zwei-Faktor-Authentisierung (2FA) bietet beim Einloggen deutlich mehr Sicherheit als der übliche Vorgang mit Benutzername und Passwort und sollte für den externen Unternehmenszugang genutzt werden. Eine Variante ergänzt das Passwort um einen zusätzlichen Faktor, wie zum Beispiel einen Pin-Code, ein Zertifikat oder einem OTP als Einmalkennwort. Andere ersetzen die Benutzername/Passwort-Kombination gleich mit zwei anderen Faktoren. Und wiederum andere Varianten setzen hardwaregestützte Verfahren (Hardware-Token) in Kombination mit einem Passwort ein.
Nur die Ressourcen freigeben, die auch benötigt werden
Dass ein Buchhalter nicht zwingend einen Zugang zur Programmierumgebung braucht, sondern lediglich zur Buchhaltungs- oder Controlling-Software, leuchtet ein. So verhält es sich mit der internen Rechtevergabe nicht wirklich anders, wenn die eigenen Mitarbeiter aus dem Homeoffice arbeiten. Auf Verzeichnis- oder Dateiebene sollte es ohnehin immer Zugriffsbeschränkungen auf Grundlage von Benutzerrollen geben. Und gerade, wenn sie viele SaaS (Software as a Service)-Applikationen im Einsatz haben, gilt es, nur diejenigen für bestimmte Nutzer freizugeben, die sie auch wirklich brauchen.
Am besten stellt das Unternehmen einen Terminalserver bereit, über den Verbindungen zu mehreren Client-Systemen möglich sind. So können Anwendungen und Ressourcen zentral gehostet und remote auf Client-Systemen veröffentlicht werden – völlig unabhängig vom jeweiligen Standort des Geräts. Im Zusammenspiel mit dem Zugang über eine ausreichend performante Clientless Remote Accesss VPN-Lösung ist sicheres Arbeiten aus dem Homeoffice möglich, ohne Software auf dem jeweiligen Client installieren zu müssen.
Mehr Cyber Security via Sandboxing?
Eine virtuelle Sandbox lässt sich aber auch für besonders schützenswerte Daten im Homeoffice einrichten. So läuft innerhalb einer Umgebung eines Computers eine zweite Umgebung als abgekapselte Instanz. Zum Beispiel, um eine virtuelle Kopie des eigenen Office-Systems „mit nach Hause zu nehmen“– ideal für besonders gesicherte Admin-Umgebungen oder auch Buchhaltungssysteme.
Was auf Client-Seite wichtig ist
Wenn die eigenen Mitarbeiter aus dem Homeoffice arbeiten, müssen Unternehmen den Überblick über die genutzten Geräte behalten. Besonders, was die Konfiguration, Patches Updates und Absicherung betrifft. So sollten die üblichen Client-Security-Maßnahmen gründlich eingehalten werden. Dazu gehören unter anderem die Festplattenverschlüsselung, eine Nextgen Antivirus-Software, die Einrichtung einer Personal Firewall, wie bereits erwähnt ein VPN-Client (ggf. mit der Möglichkeit, vor dem Aufbau Login-Skripte auszuführen), ein Internetzugang via Enterprise Security Gateways und Cloud Proxies für verschiedenste Anwendungen.
Viele Anbieter bieten bewährte und kostenlose Tools an, die Unternehmen zur Absicherung nutzen können. So zum Beispiel Check Point VPN Clients oder auch Cisco Free Trials für AnyConnect Clients, Umbrella und Duo Security. Bei Bedarf können Sie sich gerne und jederzeit an uns wenden!
Zero Trust für hohe Sicherheit
Was aber, wenn die Clients keine Unternehmenssysteme sind, sondern wenn es sich um Rechner handelt, die auch privat genutzt werden? Hier ist Zero Trust eine Möglichkeit und ein Netzwerksicherheitsmodell, das auf einem strengen Prozess der Identitätsprüfung basiert.
So geht eine Zero Trust-Lösung immer davon aus, dass Nullkommanull vertrauenswürdig ist: kein Nutzer, keine Anfrage, kein Dienst – es sei denn, das Gegenteil wird bewiesen. Und das bedeutet wirklich harte Zeiten für Hacker: Bei jedem Zugriff eines externen Clients auf eine Ressource wird das Vertrauen dynamisch und immer wieder neu auf die Probe gestellt. So entsteht mit einer Zero-Trust-Lösung ein Framework, in dem wirklich nur absolut authentifizierte und autorisierte Homeoffice-Worker Zugriff auf Daten und Anwendungen im Firmennetzwerk bekommen.
Zero-Trust-Lösungen sind also vor allem dann ideal, wenn persönliche Geräte für Geschäftsanwendungen genutzt werden. Ganz besonders, wenn keine unternehmenseigenen Geräte zur Verfügung stehen und private das gleiche Sicherheits-Niveau aufweisen müssen.
Und was ist mit Arbeitsschutz und der DSGVO?
Dass für das Homeoffice auch arbeitsschutzrechtliche Regelungen gelten müssen, ist klar. Dieses Thema ist sehr umfangreich und beschäftigt zahlreiche Experten. Nur soviel sei an dieser Stelle gesagt: Für das Arbeiten von zuhause müssen die gleichen sicherheitstechnischen und ergonomischen Standards wie im Büro gelten.
In puncto DSGVO kommt es im Homeoffice vor allem darauf an, dass eine gültige Datenschutzvereinbarung getroffen wird. Sie regelt, welche Maßnahmen Arbeitnehmer im Homeoffice ergreifen müssen. Bei Nichtbeachtung und im schlimmsten Fall einer Datenpanne drohen empfindliche Strafen und Geldbußen. Hier nur einige der wichtigsten Regeln:
- das Homeoffice sollte sich in einem separaten und abschließbaren Zimmer befinden
- betriebliche Unterlagen sollten verschlossen aufbewahrt werden
- Arbeitsgeräte beim Verlassen immer mit einem sicheren Kennwort absperren
- berufliche E-Mails sollten nicht auf private Postfächer weitergeleitet werden
- Unterlagen mit sensiblen Informationen sind entsprechend zu vernichten
- und noch vieles mehr …
Generell gilt: Je mehr Möglichkeiten es für den Zugriff von Remote-Standorten gibt, umso stärker muss auch der Datenschutz in den Vordergrund treten. Ihre Sicherheitsrichtlinien sollten alles umfassen: die Verwaltung des Remote-Zugriffs, die Verwendung unternehmenseigener oder persönlicher Ressourcen wie auch die Einhaltung der aktuellen Datenschutzbestimmungen. Kommen dann noch eine Prise Vertrauen, digitales Teamwork plus gute Kommunikation hinzu, kann das Homeoffice mit (Cyber)sicherheit gelingen.
Webcastreihe – sicheres Arbeiten im Homeoffice
Ortsunabhängiges Arbeiten wird mehr denn je in Anspruch genommen. Wenn aber immer mehr Menschen von zuhause arbeiten, birgt das auch Sicherheitsrisiken. Was müssen Unternehmen beachten? Was ist auf Client-Seite wichtig? Und worauf kommt es an, wenn keine Unternehmens-, sondern private Systeme im Einsatz sind?
Gemeinsam mit unseren Partnern Check Point und Pulse Secure verraten wir, was in puncto Homeoffice wichtig ist, damit auch aus den eigenen vier Wänden sicher gearbeitet werden kann.
So ermöglichen Sie Zero Trust Geschäftskontinuität in Krisenzeiten
https://www.youtube.com/watch?v=PS5Lr3sAjNs