Nicht erst seit Corona stehen Remote-Work und Home-Office hoch im Kurs. Möglich machen es skalierbare Cloud-Lösungen. Und so werden auch nach der Krise viele Unternehmen und Behörden auf verteiltes Arbeiten setzen. Doch gerade der Heimarbeitsplatz ist selten sicher. Hacker haben häufig leichtes Spiel, was ein Blick auf entsprechende Statistiken zeigt. Erfahren Sie, wie Sie das Home-Office "IT-sicher" gestalten und wie Sie den aktuellen Sicherheitsstaus herausfinden.
Das Home-Office ist des Hackers Liebling. Ein hoher Anteil an Cyberattacken auf deutsche Unternehmen wird durch unsicher gestaltete Heimarbeitsplätze begünstigt.
Orientierung den TOM gemäß gemäß Art. 32 DSGVO
Die technischen und organisatorischen Maßnahmen sind von Unternehmen umzusetzen (und zwar auch im Home-Office), wenn personenbezogene Daten verarbeitet werden. Doch selbst wenn dies nicht der Fall wäre, ist ein gewisses Schutzniveau zu gewährleisten, um IT-Systeme und -Infrastrukturen, Firmengeheimnisse und Daten jeglicher Art zu schützen. Die TOM dienen hier als Guideline, auch wenn sie in der Praxis nicht immer zu 100 % umsetzbar sind.
Im Zeitraum 2020/2021 lag der wirtschaftliche Schaden in Deutschland, der durch Cyberattacken entstand, bei rund 223 Milliarden Euro. Berechnungen des Instituts der deutschen Wirtschaft zufolge sind davon 25 Milliarden durch unsichere Heimarbeitsplätze entstanden.
Maßnahme | Ziel(e) | Umsetzung |
Zutrittskontrolle |
|
|
Zugangskontrolle |
|
|
Zugriffskontrolle |
|
|
Weitergabekontrolle |
|
|
Eingabekontrolle |
|
|
Auftragskontrolle |
|
|
Verfügbarkeitskontrolle |
|
|
Trennungsgebot |
|
|
Die Basics: schnell umsetzbare Maßnahmen
Folgende Maßnahmen sind sozusagen die Basics, mit denen Sie ein notwendiges Schutzniveau im Home-Office erreichen. Je nach Art des Unternehmens sowie Art und Umfang der verarbeiteten Daten sollten Sie professionelle Hilfe mit ins Boot holen, um keine rechtlichen Folgen zu erleiden.
Zentrale Nutzerverwaltung
Eine Passwortverwaltung, die zentral durch Administratoren gesteuert wird, ermöglicht das Freischalten und Entfernen von Berechtigungen für konkrete NutzerInnen. Die Passwörter selbst müssen die AnwenderInnen so nicht zwingend kennen. Außerdem lassen sich so Zugriffe protokollieren.
Mehr-Faktor-Authentifizierung nutzen
Bei einer Zwei- oder Multi-Faktor-Authentifizierung reichen Nutzername und Passwort alleine nicht aus. Stattdessen wird mindestens ein zweiter Schlüssel benötigt, um Zugriff auf ein Benutzerkonto zu erhalten. Bei dem “zweiten Schlüssel” kann es sich beispielsweise um eine SMS-Tan oder einen über eine entsprechende 2FA-App (z. B. Google Authenticator) bereitgestellten Code handeln.
Firmen-PC/-Laptop bereitstellen
Noch immer ist es Usus, dass Mitarbeitende von Zuhause über den privaten PC oder Laptop arbeiten. Sicherer ist allerdings ein separater Firmenlaptop, der mit entsprechenden Schutzprogrammen ausgestattet ist und nur für betriebliche Angelegenheiten genutzt wird.
Cloud-Backups integrieren
Eine ausgetüftelte Backup Strategie ist eine der wichtigsten Maßnahmen im Bereich der Verfügbarkeitskontrolle. Private Speichermedien und beruflich genutzte sind strikt voneinander zu trennen. Recht einfach umsetzbar sind automatische Sicherungen in der Cloud, die durch IT-Administratoren im Rahmen der jeweiligen Strategie weiterverarbeitet werden.
VPN verwenden
Das Virtual Private Network (kurz: VPN) verschlüsselt einfach ausgedrückt den Datenverkehr zwischen Endgerät und Internet bzw. Home-Office und Firmennetzwerk. Tipp für ExpertInnen: Upgraden Sie vom Point-to-Point Tunneling Protocol auf das Layer Two Tunneling Protocol (L2TP).
WLAN sichern
Mitarbeitende im Home-Office sollten ihr WLAN so gut es geht absichern. Dazu gehört das Abändern der SSID sowie ein sichere WLAN-Passwort. Wer es ernst meint, deaktiviert außerdem das SSID-Broadcastings (SSID = Service Set Identifier), damit das WLAN sozusagen “unsichtbar” wird.
Anti-Virenschutz + Firewall installieren
Zwar besitzen Router und Betriebssysteme oft eigene Firewalls, doch wer auf Nummer sicher gehen will, schützt Endgeräte mit einer zusätzlichen Software. Wichtig: Vor allem Zero-Day-Angriffe, Malware, Spyware und Viren sowie Trojaner und Würmer sollten erkannt werden.
Mitarbeiterschulungen
Gerade im Bereich Social-Engineering (z. B. Phishing mittels Fake-Mails) sind Menschen oftmals die größte Schwachstelle in Unternehmen. Durch entsprechende IT-Security-Schulungen und Awareness-Trainings lässt sich mehr Gefahrenbewusstsein schaffen.
Tipp für ArbeitgeberInnen
Setzen Sie eine Richtlinie auf, welche die Einzelheiten der Verarbeitung personenbezogener Daten im Home-Office regelt und leiten Sie diese an Ihre Mitarbeitenden weiter.
Informationen des Bundesamt für Sicherheit in der Informationstechnik (BSI)
Das BSI spricht auf seiner Website von etwa 58% an (befragten) Unternehmen, die das Home-Office-Angebot nach der Pandemie aufrechterhalten oder sogar ausweiten wollen. Dazu stellt die Behörde auch eine entsprechende Studie bereit, die Sie sich kostenlos als PDF herunterladen können.
Homeoffice Sicherheitsstandard mit Pentest ermitteln
Bei einem Penetrationstest decken sogenannte Ethical Hacker (IT-SicherheitsexpertInnen) Schwachstellen (im Home-Office) auf, indem Sie mit den gleichen Methoden arbeiten, die auch kriminelle Hacker anwenden, um ihre Ziele zu erreichen.
IT-Security-Management
Sie benötigen Unterstützung beim Einrichten sicherer Heimarbeitsplätze, der Durchführung regelmäßiger Backups oder der Verwaltung und Dokumentation von Benutzern und Berechtigungen? Außerdem legen Sie Wert auf einen Ansprechpartner, der Ihnen im Notfall schnell weiterhilft? Unsere IT-SicherheitsexpertInnen sind auf Wunsch für Sie da.
Rückruf anfordern
Sie sind noch unschlüssig, ob wir Ihnen wirklich weiterhelfen können? Fordern Sie einen unverbindlichen Rückruf an und lassen Sie uns gemeinsam über die Möglichkeiten sprechen. Gerne stehen wir Ihnen zu sämtlichen Fragen Rede und Antwort.
Kontakt
Kontaktieren Sie uns vollkommen unverbindlich. Wenn Sie uns anrufen, sprechen Sie zuerst mit unseren TelefonistInnen, die Ihnen gerne erste Auskünfte erteilen. Gemeinsam legen Sie dann einen Termin mit unseren Spezialistinnen und Spezialisten fest, um Ihre Wünsche zu konkretisieren. Kosten entstehen Ihnen auch dann noch keine, sondern erst, wenn Sie uns nachweislich und schriftlich einen Auftrag erteilt haben. Transparent und ehrlich eben.
Zentrale:
protect-IT-solutions
c/o Bindig Media GmbH
Nonnenstraße 17
04229 Leipzig
Unsere IT-ExpertInnen sind in der gesamten Bundesrepublik Deutschland, in Österreich und in der Schweiz für Sie da.
Gratis Hotline: 0800 589 02 49
E-Mail: anfrage@protect-it-solutions.de