Aus gegebenem Anlass: Mit diesen 6 Tipps erreichen Sie für Ihre Mitarbeiter maximale Sicherheit im Homeoffice!
von Svenja Koch
Die Arbeit aus dem Homeoffice hat eine Vielzahl neuer IT-Sicherheitsrisiken erzeugt. Für Bedrohungen sorgen sowohl die nun komplexeren Netzwerkstrukturen als auch der Risikofaktor Mensch. Mit den folgenden sechs Tipps steigern Unternehmen die IT-Sicherheit im Homeoffice und reduzieren so die Gefahren, die von einer solchen Netzwerkstruktur ausgehen.
Tipp 1: Zwei-Faktor-Authentifizierung nutzen
Mitarbeitende aus dem Homeoffice melden sich täglich an den internen Systemen im Netzwerk an. Die Kontrolle ist besonders schwer, da die Verbindung von außerhalb des Unternehmens stammt. Das sorgt für IT-Sicherheitsrisiken, vor allem dann, wenn nur die Kombination aus E-Mail oder Nutzername und Passwort für die Anmeldung zum Einsatz kommt.
Die Zwei- oder Mehr-Faktor-Authentifizierung (2FA/MFA) ist eine gute Methode, um für mehr IT-Sicherheit im Homeoffice zu sorgen. Durch eine zusätzliche Identitätsprüfung wird sichergestellt, dass es sich tatsächlich um den richtigen Nutzer handelt. Die zweite Authentifizierungsmethode nutzt eine Eigenschaft, die nur dieser Nutzer besitzt. Weit verbreitet sind die Kontrolle von biometrischen Daten, beispielsweise eine Authentifizierung durch den Fingerabdruck oder die eigene Stimme. Ebenso ist es möglich, den Login-Prozess mit dem persönlichen Smartphone zu koppeln. Der Mitarbeitende bestätigt die Anmeldung dann mit einer einmaligen TAN, die bei einer Anmeldung an das Smartphone gesendet wird und nur eine kurze Zeit gültig ist.
So stellt die Mehr-Faktor-Authentifizierung sicher, dass kein Unbefugter sich im internen Netzwerk anmeldet, wenn dieser auf irgendeinem Weg an das Passwort des Mitarbeitenden gelangt ist. Ohne Zugriff auf das Smartphone des Mitarbeitenden ist eine Anmeldung nicht möglich. Die biometrische Kontrolle sorgt für besonders hohe Sicherheit, da diese Eigenschaften einzigartig sind und eine Anmeldung ohne das Wissen des Mitarbeitenden nicht möglich ist.
Einige Plattformen, wie etwa Microsoft Azure, bringen ein eigenes System für die MFA mit. Die IT-Abteilung muss diese nur aktivieren. Bei anderen Login-Systemen gibt es die Möglichkeit, auf externe Lösungen zurückzugreifen. Diese sogenannten Identity und Access Management Systeme (IAM) oder Identity Provider (IdP) stellen ein Zugriffsmanagement-Tool bereit. Dieses nimmt dann bei jeder Anmeldung am Netzwerk eine weitere Kontrolle der Identität vor. So lassen sich IT-Sicherheitsrisiken, die im Zusammenhang mit gestohlenen Zugangsdaten stehen, eliminieren.
Tipp 2: Virtual Private Network
Die Verbindung zwischen Homeoffice und Unternehmensnetzwerk findet über das öffentliche Internet statt. Dies bringt zahlreiche IT-Sicherheitsrisiken mit sich. Die Kommunikation der Daten findet ohne spezielle Maßnahmen unverschlüsselt statt. Ein Virtual Private Network (VPN) schließt diese Sicherheitslücke. Ein VPN baut ein virtuelles Netzwerk zwischen zwei Punkten über eine öffentliche Verbindung auf. Somit ist der Datenverkehr zwischen dieses beiden Punkten gesichert und verschlüsselt. Gerade wenn wichtige und personenbezogenen Daten über die Verbindung fließen, ist es wichtig, bei der Datenübertragung für zusätzliche IT-Sicherheit im Homeoffice zu sorgen.
Jetzt keinen Blogbeitrag mehr verpassen!
- 12x im Jahr aktuelle News aus der IT Security Welt
- 4x im Jahr exklusive Einladungen zu kostenlosen IT Security Webinaren
- 1 kostenloses Whitepaper zu unserem Threat Hunting Service Active Cyber Defense
Für die Einrichtung eines VPN gibt es sowohl Software als auch Lösungen, die auf Hardware basieren. Ein Hardware-VPN ist besonders sicher und einfach einzurichten. Durch den physikalischen Anschluss des Netzwerkkabels an dem Hardware-VPN ist der Datentransfer über das private Netzwerk garantiert. Bei einem Software-VPN lässt sich die Anmeldung mit einer Mehr-Faktor-Authentifizierung koppeln. So lässt sich das VPN noch besser schützen und die IT-Sicherheit im Homeoffice steigt weiter.
Tipp 3: Die technische Ausstattung im Homeoffice
Diesen Punkt nehmen viele Unternehmen nicht ernst genug. Auch weil die Alternative zur Nutzung von privaten Geräten im Homeoffice zusätzliche Investitionen bedeutet, beispielsweise für die Anschaffung von Laptops. Jedoch erzeugen private Systeme im Homeoffice so hohe IT-Sicherheitsrisiken, dass in der Realität kein Weg an einheitlichen, rein geschäftlich genutzten Systemen vorbeiführt.
Nur Computer, die die firmen-eigene IT-Abteilung eingerichtet hat, gewährleisten die IT-Sicherheit im Homeoffice. Dies beginnt bereit bei der einheitlichen Software. Auf privat genutzten Computern finden sich unterschiedlichste Programme und die IT hat keine Kontrolle über diese. Treten dort Zero-Day-Lücken auf, gibt es nicht mal die Möglichkeit, diese zu identifizieren. Auf geschäftlichen Laptops installiert die IT einheitliche Software für alle anfallenden Aufgaben, vom Betriebssystem über die Kommunikationsplattform bis hin zum Browser. Über die Fernwartung lassen sich Updates problemlos aufspielen. Nur so ist gewährleistet, dass die eingesetzten Computer immer auf dem aktuellen Sicherheitsstand sind und von diesen keine IT-Sicherheitsrisiken ausgehen.
Auf die privaten Computer haben in vielen Fällen außerdem Familienmitglieder Zugriff. Dies bedroht die IT-Sicherheit im Homeoffice auf mehreren Wegen. Zum einen sind die Kinder oder Partner eventuell nicht mit Phishing und anderen Cyberattacken vertraut. Dann kompromittieren diese bei der Nutzung das System, ohne dass dies bemerkt wird. Zum anderen ist die Sicherheit der Unternehmensdaten nicht gewährleistet. Familienmitglieder sehen personenbezogene oder interne Informationen. Durch unsachgemäße Behandlung gelangen diese unter Umständen eventuell auch an die Öffentlichkeit. Dies stellt dann sogar eine Verletzung der Europäischen Datenschutzgrundverordnung dar, die für das Unternehmen schwerwiegende Konsequenzen mit sich bringt.
Tipp 4: Zero Trust umsetzen
Zero Trust ist ein IT-Sicherheitskonzept, das in letzter Zeit immer mehr Anwendung findet. Im Kern basiert das Konzept darauf, dass kein Nutzer, Dienst oder eine neue Anfrage als vertrauenswürdig gilt, auch wenn bereits vorher eine Authentifizierung stattfand. Die Mitarbeitenden starten so mit einer Anmeldung am Netzwerk, dann am eigenen Desktop und beim Öffnen beispielsweise der Customer-Relationship-Management-Plattform erfolgt eine erneute Authentifizierung.
Für Nutzer mag dies unangenehm sein, da sie jede Aktion mit einer Anmeldung bestätigen müssen. In Kombination mit einer MFA sorgt Zero Trust jedoch für ein enorm hohes Sicherheitslevel. Selbst wenn ein Mitarbeiter seinen Computer im Homeoffice aus Versehen unbeaufsichtigt lässt und im Netzwerk des Unternehmens angemeldet ist, sind die Möglichkeiten, Schäden anzurichten oder Daten auszuspionieren, extrem eingeschränkt.
Die Kontrolle von Computern und Mitarbeitern, die sich von außerhalb des Unternehmensnetzwerks einloggen, stellt sich mit normalen Mitteln als kompliziert bis unmöglich dar. Es ist beispielsweise nicht möglich, schnell in das Büro des betreffenden Mitarbeitenden zu gehen und zu verifizieren, dass dieser aktuell persönlich im Netzwerk aktiv ist. Ebenso schwer ist es, die IP-Adressen genau zuzuordnen. Bei einem rein internen Netzwerk lässt sich leicht erkennen, ob Zugriffe von außerhalb stattfinden, da es sich um externe, öffentliche IPs handelt.
Die Lösung sind Services, die alle Aktionen im Netzwerk in Echtzeit überwachen. Inzwischen kommt bei der Anomaliefrüherkennung Software mit Künstlicher Intelligenz zum Einsatz. Diese ist in der Lage, ungewöhnliche Aktivitäten zu erkennen und umgehend eine Meldung abzusetzen. Zu solchen ungewöhnlichen Aktionen gehören beispielsweise Zugriffe zu einer Uhrzeit außerhalb der Geschäftszeiten oder Logins von einer unbekannten IP. Da diese Dienste den Netzwerkverkehr in Echtzeit überwachen und verdächtige Aktionen umgehend melden, ist eine sofortige Reaktion möglich. Die IT-Sicherheit hat so die Gelegenheit, den Vorgang zu prüfen und einzugreifen. Gerade die IT-Sicherheit im Homeoffice wird auf diese Weise deutlich verbessert.
Tipp 6: Organisation optimieren
Ein wichtiger Faktor, um IT-Sicherheitsrisiken im Homeoffice einzudämmen, sind die organisatorischen Maßnahmen. Viele von diesen sind präventiv und erfordern somit nur die Vorgabe von Best Practices und Implementierung von Regeln durch die Entscheidungsträger. Dies fängt bereits mit der Dokumentation der Computer und Accounts im Homeoffice an. Ein Netzwerkplan hilft, die Übersicht über die Strukturen zu behalten und ermöglicht es, Standorte und Mitarbeitende präzise zuzuordnen. Besonders im Homeoffice ist dies wichtig, denn mit steigender Anzahl an Systemen außerhalb des eigenen Unternehmensnetzwerks verkomplizieren sich auch die Strukturen. Für die Erstellung eines Netzwerkplans gibt es Softwarelösungen, die die IT zentral verwaltet.
Eine exakte Zuordnung von Accounts und Computern steigert gleichzeitig die Transparenz. Einzelne Aktionen oder etwaiger Datenmissbrauch lassen sich so einwandfrei dokumentieren und bei Notwendigkeit nachweisen. Ebenfalls bleibt die Übersicht vorhanden, welche Hardware des Unternehmens sich in der Obhut welches Mitarbeitenden befindet. Dies ist wichtig bei Fluktuationen bei den Angestellten oder wenn Hardware abhandenkommt.
Zur Organisation gehört es außerdem, die Mitarbeitenden auf die besonderen Verhaltensweisen im Homeoffice zu schulen. Dies beginnt bei der Kommunikation mit dem Büro. Kriminelle haben den Trend zum Homeoffice ebenfalls erkannt. Zu den bekannten IT-Sicherheitsrisiken im Homeoffice gehört das Social Engineering. Kriminelle geben sich am Telefon als Kollege oder Kollegin aus und fragen Informationen ab. Gerade in größeren Unternehmen kennen sich nicht alle Mitarbeitenden untereinander oder sind in der Lage, die Stimme sofort zu identifizieren. Die Kriminellen recherchieren vorher zudem die Namen von anderen Mitarbeitenden oder haben solche Informationen bereits durch vorherige Social Engineering Attacken herausgefunden. Auf diesem Weg locken die Angreifer interne oder personenbezogene Informationen aus dem Mitarbeitenden im Homeoffice heraus. Auch haben die Kriminellen es breites geschafft, Zahlungen zu initiieren und Unternehmen so zu betrügen.
Eine Schutzmaßnahme ist es, klare Regeln für die Kommunikation festzulegen. Eine Variante ist es, Personalnummern zu vergeben, die zur Identifizierung dienen. Jeder Mitarbeitende erhält dann eine Liste oder überprüft im System, ob der Anrufer sich mit der korrekten Personalnummer identifiziert. Eine weitere Option ist es, die gesamte interne Kommunikation auf eine sichere Plattform zu verlegen. Microsoft Teams ist hier eine Option. Teams stellt VoIP- und Videogesprächsmöglichkeiten bereit. Zusätzlich gibt es die Möglichkeit, über Textnachrichten zu kommunizieren. Anrufe von angeblichen Mitarbeitenden lassen sich dann vollständig ignorieren und die IT-Sicherheit im Homeoffice ist erneut verbessert.
Fazit
In den letzten zwei Jahren ist das Homeoffice fester Teil vieler Unternehmen geworden. Ein elementarer Grund dafür ist die Corona-Pandemie. Die IT-Sicherheit im Homeoffice hat jedoch nicht mit dieser rasanten Entwicklung Schritt gehalten. Dies öffnet Kriminellen alle Türen und Angreifer nutzen die Schwächen vermehrt aus. Über den Computer im Homeoffice steht Hackern in vielen Szenarien das gesamte Unternehmensnetzwerk offen. Dies bedroht die gesamte IT-Infrastruktur des Unternehmens und die Entscheidungsträger müssen diese Lage ernst nehmen.
Die IT-Sicherheitsrisiken, die vom Homeoffice ausgehen, lassen sich mit der richtigen IT-Sicherheitsstrategie kontrollieren. Wichtig sind eine vorausschauende Planung sowie der Einsatz von präventiven Maßnahmen. Unternehmen, die die IT-Sicherheit im Homeoffice ernst nehmen, unternehmenseigene Hardware für das Homeoffice anschaffen, den Datenverkehr sichern und das Netzwerk aktiv und in Echtzeit scannen, schaffen eine sichere Umgebung, die für Angreifer nur schwer zu überwinden ist.
Unterstützung für Ihre Homeoffice-Sicherheit benötigt? Kontaktieren Sie uns!
Zum Thema passende Artikel
Emotet gehört zur Kategorie der Makroviren. Die Schadsoftware ist seit 2014 bekannt und verbreitet sich über Anhänge in E-Mails. Anfang des Jahres 2021 berichteten wir in unserem Blog darüber, wie die Polizeibehörden die Infrastruktur hinter Emotet zerschlagen hatten. Wir wiesen seinerzeit bereits darauf hin, dass die Bedrohung durch die Emotet Malware nicht endgültig gebannt ist. Nun ist die Schadsoftware tatsächlich zurück, wie neueste Analysen zeigen.
Weiterlesen … Emotet ist zurück – welcher Handlungsbedarf jetzt nötig ist!
Als „Mann in der Mitte“, so die wortwörtliche Übersetzung, ist der Hacker in der Lage, die gesamte Kommunikation des Opfers mitzulesen, abzufangen oder auch zu verfälschen. Was einen Man-in-the-Middle Angriff so gefährlich macht und wie Sie sich und Ihr Unternehmen von den ungebetenen Gästen in Ihren Netzwerken zuverlässig schützen können, erfahren Sie hier in diesem Beitrag.
"Menschen stellen immer die besten Sicherheitslücken dar. Ich hab' es nie besonders schwer gefunden, die meisten Menschen zu hacken."
(Elliot Alderson in: Mr. Robot, Staffel 1 Episode 5)
Hacking und Cyberkriminalität sind auch in Hollywood ein beliebtes Thema. Typisch für Filme und Serien aus der Traumfabrik, in denen es um Hacker und Cyberbedrohungen geht: Sie bedienen die komplette Bandbreite des Genres, von teils sehr realistisch bis komplett fiktional! In jedem Fall sind die Filme und Serien häufig äußerst spannend und sehr unterhaltsam. Heute teilen unsere IT Security Experts ihre Empfehlungen der Top 10 Hackerfilme und -serien. Viele Spaß!
Weiterlesen … Die Top 10 Hackerfilme und -serien unserer IT Security Consultants