Coronavirus: IT Sicherheit im Homeoffice

IT Sicherheit Homeoffice apsec

Die Zahl der Corona-Infektionen steigt täglich und hält die Welt in Atem, Fluggesellschaften streichen Flüge und Kreuzfahrtschiffe werden in Quarantäne gestellt – das Coronavirus beschäftigt mittlerweile nicht mehr nur die Medizin. Unternehmen aller Branchen stehen vor gänzlich neuen Herausforderungen.

Wenn Ihre Mitarbeiter auch schon im Corona-Homeoffice sind, stellen Sie sich vielleicht in den letzten Tagen vermehrt die Frage, wie Sie dabei die Kontrolle über Ihr wertvollstes Gut – Ihre Unternehmensdaten – behalten. Viele Unternehmen sehen sich plötzlich in der Situation, Mitarbeitern ad hoc die Arbeit von zu Hause zu ermöglichen. Neue Wege zur Kommunikation und zum Datenaustausch müssen geschaffen werden. Nicht immer ist sofort ersichtlich, welche Risiken damit einhergehen.

In diesem Beitrag geben wir Ihnen einen Überblick über die Gefahren, die die Arbeit im Homeoffice mit sich bringt. Wir stellen Ihnen außerdem die wichtigsten organisatorischen und technologischen Gegenmaßnahmen vor.

Inhalt:

  1. Homeoffice und damit einhergehende Gefahren für die IT-Sicherheit
  2. Herausforderungen an den Homeoffice-Arbeitsplatz
  3. Welche Bedrohungen für die Schutzziele entstehen im Homeoffice?
  4. Heimarbeit: Organisatorische Maßnahmen
  5. Technische Maßnahmen beim Arbeiten von zuhause
  6. Sicher Arbeiten im Homeoffice – Das Fazit

Homeoffice und damit einhergehende Gefahren für die IT-Sicherheit

In vielen Unternehmen rückt das Homeoffice im Moment als Alternative zum klassischen Büro in den Fokus. Das belegt eine Umfrage des BVDW. Demnach erwarten über zwei Drittel der Deutschen von Ihrem Arbeitgeber eine Lösung, um Teile ihrer Arbeit von zu Hause aus verrichten zu können. Dieser Erwartungshaltung kann jedoch gerade einmal die Hälfte der Unternehmen gerecht werden.

Herausforderung an den Homeoffice-Arbeitsplatz

Die Herausforderung, die bei der Einrichtung von Homeoffice-Arbeitsplätzen entsteht, ergibt sich dabei aus der Aufrechterhaltung der Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit außerhalb der eigenen Infrastruktur, während ein reibungsloser Ablauf der Geschäftsprozesse möglich sein muss. Konkret muss das Unternehmen dafür sorgen, dass interne Daten nicht in unbefugte Hände geraten, dass die Daten nicht mutwillig oder versehentlich verändert oder gelöscht werden und dass den Mitarbeitern die für die Arbeit nötigen Daten zur Verfügung stehen. Dabei darf die Arbeit des Einzelnen und die Leistung des gesamten Unternehmens nicht behindert werden.

Frank Schlottke

Frank Schlottke

Gründer und geschäftsführender Gesellschafter

„Sie sind verunsichert und haben Fragen zum Thema „Datenschutz in Zeiten der Corona-Krise“?
Wir stehen Ihnen wie gewohnt zur Seite.“

Kontakt aufnehmen

Stellen Sie Ihre Frage

Sie benötigen Hilfe oder haben Fragen zum Datenschutz in Zeiten der Corona Krise? Dann melden Sie sich einfach bei uns. Entweder über unser Kontaktformular oder auch direkt unter sales@apsec.de sowie der Telefonnummer +49 (0) 6022 / 26 338 - 200.

Wir freuen uns auf Ihre Nachricht!

Ich bin mit den Datenschutzbestimmungen einverstanden

Sie haben jederzeit die Möglichkeit der Nutzung Ihrer Daten zu widersprechen. Schreiben Sie uns einfach eine kurze Mail an kontakt@apsec.de oder rufen Sie uns an: +49 (0) 60 22 / 263 38 - 0

Welche Bedrohungen für die Schutzziele entstehen im Homeoffice?

Bedrohungen für die Vertraulichkeit von Unternehmensdaten entstehen im Homeoffice beispielsweise durch die veränderte Wahrnehmung des Arbeitsumfeldes. Nicht in jedem Haushalt gibt es ein designiertes Arbeitszimmer, und selbst wenn ein solches existiert, wird bei gutem Wetter häufig der Garten oder Balkon als Arbeitsbereich genutzt. Dabei kann es leicht dazu kommen, dass unbefugte Personen Informationen mithören.

Häufig passiert es auch, dass Partnern oder Kindern der beruflich genutzte Laptop zur Verfügung gestellt wird, um darauf zu spielen, im Internet zu recherchieren oder Filme anzuschauen. Möglicherweise wird sogar der private Laptop zu Arbeitszwecken genutzt, weil entsprechende Firmengeräte nicht in ausreichender Zahl für alle Mitarbeiter zur Verfügung stehen. Dabei sind gleich mehrere Schutzziele bedroht – die Vertraulichkeit und Integrität der Daten kann verletzt werden; es kann aber auch zu Problemen mit der Verfügbarkeit kommen, beispielsweise indem Systeme durch versehentlich aufgebrachte Schadsoftware beeinträchtigt werden.

Aber nicht nur die genutzten Endgeräte können zu einer Bedrohung werden. Auch die verwendeten Zugänge ins Internet oder ins Firmennetzwerk stellen eine potenzielle Gefahrenquelle dar. Im Homeoffice wird in der Regel der private Internet- und Telefon-Anschluss verwendet. Häufig kommen sogar private E-Mail-Konten zum Einsatz, weil dies einfacher ist als die Einbindung des geschäftlichen E-Mail Accounts. Auch hierbei gibt es organisatorische und technische Maßnahmen, die unbedingt umgesetzt werden sollten.

Heimarbeit: Organisatorische Maßnahmen

sichere Daten apsec

Es gibt einige einfache, aber sehr effektive organisatorische Maßnahmen, die zu einer sofortigen Verbesserung des Schutzniveaus im Homeoffice führen. Diese Maßnahmen sollten Sie unbedingt in Ihrem Unternehmen umsetzen und mit sofortiger Wirkung an Ihre Mitarbeiter im Homeoffice kommunizieren.

So sollten Ihre Mitarbeiter auch im heimischen Umfeld unbedingt auf die strikte Einhaltung der

Datenschutz-Vorschriften achten:

  • Personenbezogene Daten dürfen nicht von Dritten eingesehen werden können
  • vertrauliche Telefonate und Videokonferenzen sollten in einem entsprechenden, möglichst separaten räumlichen Rahmen und nicht etwa in öffentlichen Bereichen wie Garten oder Balkon geführt werden.
  • Rechner und Unterlagen sollten an einem sicheren und nicht für Dritte (auch Familienmitglieder) zugänglichen Ort aufbewahrt werden.

Die Grenze zwischen privaten und beruflichen Inhalten und Systemen verschwimmt mit der Einbindung des Firmenrechners in das private Netzwerk des Mitarbeiters und birgt ein Risiko, welches sich der Kontrolle des Unternehmens weitestgehend entzieht. Dieses Risiko spiegelt sich in der Vermischung von privaten Links und sensiblen Firmendaten im selben Netzwerk wider.

Phishing Mails: Betrüger nutzen Coronavirus aus

In diesem Zusammenhang ist auch eine erhöhte Vorsicht beim Umgang mit E-Mails wichtig. Bereits kurz nach dem ersten Aufflammen des Coronavirus tauchten die ersten E-Mails auf, die den Hype um das Thema missbrauchten, indem sie den Zugriff auf aktuelle Informationen nach entsprechender Registrierung versprachen. Ziel dieser sogenannten Phishing-E-Mails ist das Sammeln von persönlichen Daten der Empfänger. Auch hierbei ist die Sensibilisierung der Mitarbeiter essenziell. So sollten auch bei scheinbar seriösen E-Mails nie leichtfertig Links geöffnet werden. Auch sollte es Mitarbeitern im Rahmen des Homeoffices sowohl aus sicherheitstechnischen als auch aus datenschutzrechtlichen Gründen nicht gestattet werden, die Firmengeräte für private Zwecke zu verwenden.

Und so schwer es auch fallen mag, Kinder dürfen in keinem Fall mit Papas oder Mamas Arbeitsgerät / Laptop spielen. Das Risiko, dass dabei möglicherweise Daten versehentlich gelöscht oder geändert oder sich beim Besuch auf Spieleplattformen Schadsoftware eingefangen werden kann, ist einfach zu groß.

Mitarbeiter informieren und sensibilisieren

Es ist außerdem wichtig, die Mitarbeiter hinsichtlich ihrer gestiegenen Eigenverantwortung im Homeoffice zu informieren und zu sensibilisieren – insbesondere die Verantwortlichkeit für die Beachtung von Sicherheitsmaßnahmen! Obwohl die Implementierung und Konfiguration von Sicherheitsmechanismen durch die IT-Abteilung erfolgt, fällt die korrekte Nutzung dieser Systeme dem Anwender zu. Sollte es hier im Homeoffice Abweichungen zur gewohnten Verwendung geben, sind die Anwender unbedingt darüber zu informieren und über den korrekten Einsatz zu informieren. Dies kann beispielsweise die Vorgabe sein, dass sämtliche Kommunikation über ein sicheres VPN erfolgen muss. Damit einhergehen sollte eine detaillierte Einweisung, wie diese Technologie zu verwenden ist. Da sie in der Regel fachfremd sind, was IT-Sicherheitsanwendungen angeht, sollte diese Information ohne unnötiges „Fachchinesisch“ erfolgen.

Die regelmäßige Einwahl über VPN sollte ohnehin verpflichtend sein, damit das Endgerät jederzeit auf dem aktuellen Stand gehalten werden kann. Eine dauerhafte Verbindung zum Firmennetzwerk per VPN Verbindung kann in vielen Fällen eine bestmögliche Trennung zwischen privatem und beruflichen Netzwerkverkehr schaffen. Für weitere Details hierzu lesen Sie den Abschnitt „Technische Maßnahmen“.

Verwendung von eigener Hardware

Sollten Sie Ihren Mitarbeitern in dieser Ausnahmesituation die Verwendung von eigener Hardware erlauben, sollte dies ausdrücklich als Ausnahme deklariert werden. In diesem Fall sollten zusätzliche Sicherheitsvorgaben gemacht werden. Die Verwendung von privaten E-Mail Accounts für die Kommunikation sollte generell ausgeschlossen werden, da diese nicht die geschäftlichen Anforderungen an die Vertraulichkeit erfüllen können. Weitere Hinweise zur Nutzung privater Geräte finden Sie ebenfalls im Abschnitt „Technische Maßnahmen“.

Firmeninterne Regelungen für das Corona-Homeoffice

Es gibt weitere Verantwortlichkeiten, die dem Arbeitnehmer im Homeoffice direkt übertragen werden müssen. Diese reichen von der Sicherstellung, dass kein Besucher Zugriff auf firmeninterne Informationen hat, bis zur sicheren Entsorgung von sensiblen Informationen. Auch hierüber sollten Ihre Mitarbeiter ausreichend informiert sein.

Mit dem Wegfall der „normalen Arbeitsroutine“ und einer je nach Unternehmenszweig möglichen Tendenz zur Vertrauensarbeitszeit ist es dem Mitarbeiter zunächst freigestellt, zu welcher Uhrzeit er seine Arbeit verrichtet. Dies kann sich aber negativ auf die firmeninterne Kommunikation auswirken und Geschäftsprozesse aufgrund fehlender Erreichbarkeit beeinflussen. Dementsprechend sollten unbedingt firmeninterne Regelungen für das Homeoffice getroffen werden, die es dem Mitarbeiter erlauben, eine gesunde Arbeitsroutine unter Berücksichtigung aller Verhaltens- und Sicherheitsrichtlinien beizubehalten.

Arbeiten von zu Hause: Technische Maßnahmen

IT Sicherheit Homeoffice apsec

Generell sollte Ihr Hauptfokus bei der Umsetzung aller Sicherheitsmechanismen sein, dass diese weitestgehend im Hintergrund und ohne manuellen Aufwand verlaufen, um die Auswirkungen auf die Funktionsweise von Systemen im Interesse des Arbeitnehmers und der Aufrechterhaltung der normalen Geschäftsprozesse so gering wie möglich zu halten. Diese Vorgabe, die schon im normalen Arbeiten zur Best Practice gehört, ist für Mitarbeiter im Homeoffice noch erheblich wichtiger, da Unterstützung und Kontrolle durch die IT nur noch eingeschränkt möglich sind.

Sicherer Zugriff auf firmeninterne Daten: Verwendung von einem VPN

Hierbei ist die Verwendung eines Virtual Private Networks (VPN), welches die Verbindung vom Client-Gerät zu Ihrem firmeninternen Netzwerk kryptographisch absichert, die Grundlage für einen sicheren Zugriff auf die unternehmensinternen Daten. Über die Anbindung firmeneigener Hardware an das Firmennetz per VPN kann sowohl der Zugriff auf Daten als auch die Datensicherung erfolgen. Außerdem ist eine eindeutige Verifizierung bei dem Remote Zugriff auf das firmeninterne Netzwerk essentiell, um durch den VPN Zugriff keine weiteren Angriffsmöglichkeiten zu bieten. Diese Verifizierung anhand eines zweiten Faktors kann über Hardware Token oder auch digitale Software Zertifikate erfolgen.

Ein einfacher aber wichtiger Punkt ist es, das firmeninterne Patchmanagement weiterhin zentral zu verwalten und auf den Firmenrechnern vorhandene Software automatisch zu aktualisieren. Hierfür müssen die Firmenrechner regelmäßig mit dem firmeninternen Netzwerk verbunden werden. Damit ist sichergestellt, dass Virenscanner und andere Schutzprogramme jederzeit auf dem aktuellen Stand sind, was in der aktuellen Situation von besonderer Wichtigkeit ist.

Datensicherheit: Besondere Gefahr für mobile Datenträger wie Laptops

Während einige Systeme, wie die Firewall, vollständig im Hintergrund laufen, erfordern andere Sicherheitsmechanismen, wie die Verwendung von Verschlüsselungssoftware, zwangsläufig Nutzerinteraktion. Insbesondere für mobile Datenträger wie Firmenlaptops besteht im Homeoffice eine besondere Gefahr mit Hinblick auf die Vertraulichkeit der Daten. Dem Bundesamt für Sicherheit in der Informationstechnik (BSI) zu Folge müssen deshalb „tragbare IT-Systeme und Datenträger unbedingt verschlüsselt werden“. Bei der Auswahl und Implementierung einer solchen Verschlüsselungslösung sollte besonderes Augenmerk auf die Benutzerfreundlichkeit und weitestmögliche Transparenz gelegt werden, um eine hohe Akzeptanz bei den Anwendern zu erzielen.

Verschlüsselung: Welche ist geeignet fürs Homeoffice?

Möglicherweise haben Sie bisher noch keinerlei Erfahrung mit Verschlüsselungslösungen. Eine schnelle und einfach umzusetzende Lösung ist die Festplattenverschlüsselung, die in den letzten Wochen einen unerwarteten Aufschwung erfahren hat. Aber ist das wirklich die passende Lösung für Ihre Mitarbeiter?

Im Homeoffice ist das Gerät selbst kaum exponiert, daher benötigen Sie eine andere Art von Schutz. Sie müssen die Daten selbst schützen, sei es bei der Speicherung auf dem Notebook selbst, oder auch beim Teilen mit anderen Personen über die VPN Verbindung ins Büro, per E-Mail oder per Fileshare in der Cloud. Hierfür benötigen Sie eine dateibasierte Verschlüsselung, die die Daten nur dann entschlüsselt, wenn Sie benötigt werden. Idealerweise können Sie jederzeit und für jede Datei individuell definieren, welcher Personenkreis zugriffsberechtigt ist. Und häufig schützt ein solches Produkt Sie zusätzlich vor der versehentlichen Weitergabe verschlüsselter Daten per E-Mail oder per Upload in die Cloud. Das ist aus technischer Sicht ein Rundum-Schutz für gespeicherte Daten.

Frank Schlottke

Frank Schlottke

Gründer und geschäftsführender Gesellschafter

„Wir beraten Sie gerne bei der richtigen Auswahl einer Verschlüsselungslösung.
Testen Sie jetzt für 3 Monate kostenfrei und unverbindlich unsere Datei-Verschlüsselungslösung fideAS® file enterprise.“

Kontakt aufnehmen

E-Mail Sicherheit bei der Heimarbeit

Auch bei der E-Mail-Sicherheit gibt es technische Lösungen, die in Zusammenhang mit den oben bereits beschriebenen organisatorischen Maßnahmen zu einem guten Sicherheitslevel führen.

Haben Sie das in den letzten Tagen auch schon erlebt? Sie als Geschäftsführer oder Abteilungsleiter sitzen noch im Büro und müssen vertrauliche Unterlagen an einen Ihrer Mitarbeiter übermitteln. Der designierte Empfänger aber sitzt zu Hause an seinem privaten Computer.

Viele E-Mail-Verschlüsselungslösungen bieten den Anwendern die Möglichkeit, Empfängern große Datenmengen verschlüsselt und damit sicher zur Verfügung stellen, auch wenn der Kommunikationskanal selbst nicht sicher ist. Das hilft auch bei der Aufrechterhaltung von Kundenbeziehungen, wenn der persönliche Besuch plötzlich nicht mehr möglich ist.

Der Einsatz einer E Mail Verschlüsselung bietet also auch im Homeoffice-Umfeld einen zusätzlichen Benefit, neben der Tatsache, dass Sie damit die gesamte E-Mail-Kommunikation schützen – egal mit wem Sie kommunizieren. Die heute verfügbaren Lösungen arbeiten so intelligent, dass der Empfänger keine eigene Lösung für den Empfang der von Ihnen versendeten sicheren E-Mails benötigt. Und mit der E-Mail-Signatur setzen Sie Ihre eigene unverwechselbare Unterschrift, damit ist zweifelsfrei nachgewiesen, woher die E-Mail kommt und dass es sich nicht um einen Phishing-Versuch handelt.

Ansprechpartner

Sicher Arbeiten im Homeoffice – Das Fazit

Sicherlich wird es nicht gelingen, alle diese Maßnahmen auf einmal umzusetzen. Sie sehen aber auch, dass viele der Punkte einfach und schnell realisierbar sind. Und Schritt für Schritt erreichen Sie damit aber ein deutlich verbessertes Sicherheits-Niveau.

Kostenfreie Testversion

Bitte geben Sie Ihren Namen, E-Mail-Adresse und die gewünschte Testversion an. Wir setzen uns im Nachgang zeitnah mit Ihnen in Verbindung.

Ich bin mit den Nutzungsbedingungen einverstanden

Sie haben jederzeit die Möglichkeit der Nutzung Ihrer Daten zu widersprechen. Schreiben Sie uns einfach eine kurze Mail an kontakt@apsec.de oder rufen Sie uns an: +49 (0) 60 22 / 263 38 - 0

Kontakt

+49 (0) 60 22 / 263 38 – 0

Rückruf-Anfrage

Wir möchten Sie optimal betreuen und rufen Sie gerne zurück! Füllen Sie einfach das Formular aus und wir kümmern uns um Ihr individuelles Anliegen.

Ich bin mit den Nutzungsbedingungen einverstanden

Sie haben jederzeit die Möglichkeit der Nutzung Ihrer Daten zu widersprechen. Schreiben Sie uns einfach eine kurze Mail an kontakt@apsec.de oder rufen Sie uns an: +49 (0) 60 22 / 263 38 - 0

Kontakt

Ich bin mit den Nutzungsbedingungen einverstanden

Sie haben jederzeit die Möglichkeit der Nutzung Ihrer Daten zu widersprechen. Schreiben Sie uns einfach eine kurze Mail an kontakt@apsec.de oder rufen Sie uns an: +49 (0) 60 22 / 263 38 - 0

Newsletter sichern

  • Monatliche Tipps & Tricks
  • Aktuell informiert
  • Exklusiv