Sicheres und vertauenswürdiges Arbeiten im Homeoffice : aktuelle Situation der Cybersicherheitslage

  • IT-Sicherheitsmaßnahmen sind alle Aktionen, die dazu dienen, vorhandene IT-Sicherheitsrisiken zu minimieren. Dies schließt sowohl organisatorische als auch personelle, technische oder infrastrukturelle IT-Sicherheitsmaßnahmen ein. Technische IT-Sicherheitsmaßnahmen Damit Unternehmen auf die neuen Risiken reagieren können, sollten technische IT-Sicherheits-Maßnahmen implementiert werden. Im Folgenden werden ein paar Beispiele aufgeführt. Sichere Anbindung des Heimarbeitsplatzes an das Unternehmen Das Homeoffice muss über ein VPN-System an die Institution angekoppelt werden, damit die Daten verschlüsselt und integritätsgesichert übertragen werden. Beispielsweise bei der Verwendung von öffentlichen WLAN-Hotspots ist eine gesicherte VPN-Verbindung unumgänglich. Eine weitere Maßnahme stellt eine sichere Konfiguration des heimischen Routers, des Internet-Zugangs und weiterer Infrastruktur (z.B. Smart Home-Anwendungen) dar. Professionelle Router bieten darüber hinaus noch zusätzliche Sicherheitsoptionen wie eine Statefull-Packet-Inspection Firewall, DoS-Schutz und Inhaltsfilterung an. Dabei muss der Anwender kein Experte sein, um die Einstellungen umzusetzen. Damit der Router und seine Sicherheitsoptionen einen permanenten Schutz bieten, müssen regelmäßige Firmware-Updates vorgenommen werden. Zugriffskontrolle / Nutzerauthentifizierung Darüber hinaus sollte genau definiert werden, wer worauf zugreifen darf. Dank Lösungen wie Single Sign-On (SSO) kann gesteuert werden, auf welche Anwendungen welcher Mitarbeit zugreifen darf. Außerdem sollte mittels eines Authentifizierungsverfahrens sichergestellt werden, dass es sich tatsächlich um den Mitarbeiter handelt, der eine Anwendung verwenden möchte. Die Nutzung einer Zwei-Faktor-Authentifizierung (2FA) sorgt dafür, dass der Zugriff angemessen sicher für IT-Dienste des Unternehmens oder Cloud-Dienste verwendet werden kann. Auch hier gibt es schon professionelle Lösungen, die neben eine hohen Identifikation und Authentifikation zusätzlich digitale Signaturen anbieten, damit die Mitarbeiter auch von zu Hause rechtssicher unterschreiben können. Verschlüsselung von Unternehmenswerten Damit die Unternehmenswerte geschützt werden, sollte zum Beispiel alle Notebooks mithilfe einer Festplattenverschlüsselung vor unberechtigten physikalischen Zugriffen geschützt werden. Wenn ein Notebook gestohlen wird, ist der Schaden vielleicht 3.000 Euro (Anschaffungspreis eines neuen Notebooks und die Kosten der Einrichtung) aber die Unternehmenswerte, die in der Regel deutlich höher sind, bleiben geschützt. Aber ein Ordner oder eine Dateiverschlüsselung reduziert ungewollte Zugriffe auf Unternehmenswerte. Remote-Backups Im Homeoffice muss ein verschlüsselter Datenträger für Backups eingesetzt, aber auch ein regelmäßiger Backup-Prozess über das VPN mit dem Unternehmen umgesetzt werden. Dies ist für die Aufrechterhaltung der Unternehmenswerte aber auch als Schutz gegen Schäden durch Ransomware wichtig. Update Um bekannt gewordene Schwachstellen in Software entgegenzuwirken, müssen feste und spontane Update-Prozesse für die genutzte Software etabliert und sichergestellt werden. Schnittstellenkontrolle Eine Schnittstellenkontrolle sowie eine Absicherung der Homeoffice-Netze, beispielsweise durch die Deaktivierung von USB-Ports und das volle und korrekte Ausnutzen von Sicherheitsfunktionen des Routers, erhöht den Schutz von IT-Systemen. Anti-Malware-Tools Anti-Malware-Tools sollten modern sein und regelmäßig aktualisiert werden, um einen zuverlässigen Schutz gewährleisten zu können. Protokollierung Die Kommunikation zum Unternehmen sollte protokolliert werden, um eine Analyse und Auswertung der Logdaten zu ermöglichen [7]. Videokonferenzsysteme Besonders wichtig bei der Verwendung von Videokonferenzsystemen ist die Verschlüsselung, die mindestens End-to-End-Verschlüsselung sein muss. Ebenso sind Pre-Meeting Einstellungen wie Warteräume, Zutritt nur für authentifizierte Nutzer, Server des Videokonferenzsystems in der EU zu empfehlen. Ebenso In-Meeting Einstellungen wie die Möglichkeit, Nutzer zu entfernen oder eintreten zu lassen, Zusatzfunktionen wie Chat, Teilen des Bildschirmes, Zugriff auf Ressource, ändern der ID, aktivieren von Mikrofon und Kamera sollten vom Moderator als aktiver Schutz sinnvoll genutzt beziehungsweise eingeschränkt werden. Cloud-Dienste Die Arbeit mit Cloud-Diensten erleichtert die Zusammenarbeit im Homeoffice enorm. Neben Office- und weiteren Anwendungen können auch Messenger-Dienste oder PDF-Konverter über einen Cloud-Dienst bereitgestellt werden. Vor der Wahl eines geeigneten Cloud-Dienstes sollten die Risiken für die Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit überprüft werden. Darüber hinaus muss ein Cloud-Dienstanbieter vertrauenswürdig sein. Für einen Cloud-Dienst sollte ein Mindeststandard für Sicherheitsfunktionen seitens des Anbieters existieren. Zusätzlich müssen Cloud-Dienste mittels starker Verschlüsselung und zumindest durch eine 2FA geschützt werden. Härtung von IT-Systemen Eine technische Lösung zum Umsetzen verstärkter IT-Sicherheitsmaßnahmen im Homeoffice ist die Härtung von IT-Endgeräten. Dabei wird auf verschiedene Aspekte des IT-Endgerätes eingegangen. Eine Möglichkeit für die Härtung eines IT-Endgerätes ist die Verwendung einer Trusted Computing Base (TCB). Mittels einem Security Kernel, Virtualisierung und einem Trusted Software Layer können IT-Sicherheitsprinzipien durchgesetzt werden. Durch die Virtualisierung befinden sich auftretende Fehler in Form von Schwachstellen oder Schadsoftware, im Prinzip in einer virtuellen Maschine. Diese befindet sich in einem abgeschlossenen Bereich und werden mittels Isolierung von anderen virtuellen Maschinen abgegrenzt. So kann diese keine weitere virtuelle Maschine infizieren. Der IT-Sicherheitsaspekt der Modularisierung ist eine Möglichkeit, Anwendungen, die zusammengehören, in einer gemeinsamen virtuellen Maschine laufen zu lassen und Anwendungen, die getrennt sein sollen, in verschiedene virtuelle Maschinen auszulagern. IT-Sicherheitsmechanismen wie Trusted Boot, Remote Attestation, Binding und Sealing reduzieren zusätzlich das Risiko eines Schadens durch einen erfolgreichen Angriff auf die IT-Systeme. Beispielsweise bietet die SINA-Lösung der secunet / BSI entsprechende IT-Sicherheitskomponenten, um eine geschützte Bearbeitung, Speicherung und Übertragung von vertraulichen Dokumenten zu gewährleisten. Personelle Maßnahmen Die Mitarbeiter brauchen Wissen darüber, welche Unternehmenswerte zu schützen sind, welche Gefahren lauern und welche IT-Sicherheitsmaßnahmen helfen, die Risiken eines Schadens des eigenen Unternehmens zu minimieren. Dazu sollten unterschiedliche personelle Maßnahmen eingeführt werden, damit die Ziele der Mitarbeiter und Unternehmen die gleichen sind und gemeinsam für mehr Sicherheit und Vertrauenswürdigkeit gesorgt werden kann. Beispiele sind: Sicherheitsbewusstsein schaffen (Security Awareness) Ziel von Security Awareness ist es, die durch Mitarbeiter verursachten Gefahren für die IT-Sicherheit zu minimieren. Security Awareness soll die Mitarbeiter auch davor schützen, auf Social Hacking, Phishing-Angriffe … rein zu fallen. In Security Awareness Schulungen werden als erstes die wichtigsten Verhaltensregeln im Umgang mit alltäglichen Situationen vermittelt, um Fehlverhalten vorzubeugen. Das sind z.B. der sichere Umgang mit E-Mails und Passwörtern, das sichere Surfen im Internet oder die Bedrohung und das Verhindern von Malware. Umgang mit (dienstlichen) Informationen Besonders der Umgang mit dienstlichen Informationen stellt Arbeitnehmer im Homeoffice vor neue Herausforderungen. Auf technischer Seite steht unter anderem die Verschlüsselung und Zwei-Faktor-Authentifizierung (2FA) für den Schutz sensible Daten zur Verfügung. Auf der personellen Seite sollten die Mitarbeiter darüber aufgeklärt werden, wie sensible Informationen auf Papier geschützt werden können. Dabei besteht für den Arbeitnehmer die Aufgabe darin, nach Beendigung der Tätigkeit oder längeren Pause im Homeoffice seinen Arbeitsplatz so zu hinterlassen, dass keine Informationen, die im Zusammenhang mit der Tätigkeit im Unternehmen stehen, zugänglich sind. Beispielsweise von Mitbewohnern, Ehepartner, Kindern oder Freunden eingesehen werden können [8]. Schatten-IT Die Unterbindung der Schatten-IT sollte mittels Richtlinien und Aufklärung transparent gemacht werden. Unternehmen sollten Bewusstsein über die Risiken von Schatten-IT und ihrer Verwendung schaffen sowie Richtlinien implementieren, die Regeln was erlaubt ist. Wenn möglich, sollten die Unternehmen eigene oder besonders sichere und vertrauenswürdige Dienste zur Verfügung stellen, damit dieses Risiko minimiert wird. Organisatorische Maßnahmen Unter organisatorischen Sicherheitsmaßnahmen fällt beispielsweise eine Regelung durch die klar und transparent wird, was das Unternehmen von den Mitarbeitern erwartet. Im Folgenden werden ein paar Beispiele aufgezeigt. Erreichbarkeit von Mitarbeitern im Homeoffice Der Informationsfluss muss durch die Schaffung von Kommunikationsinfrastrukturen wie interne Chat-Systeme zur Aufrechterhaltung der Prozesse und Abläufe aufrechtgehalten werden. Zudem muss die Erreichbarkeit des Arbeitnehmers sichergestellt sein, beispielsweise durch Listen der telefonischen Erreichbarkeit von Mitarbeitern im Homeoffice. Vorfallreaktionen und Meldewege Im Rahmen der organisatorischen Maßnahmen sollten Geschäftsprozesse und Richtlinien angepasst werden. Besonders relevant sind Vorfallreaktionen wie Meldewege aus dem Homeoffice beim Verlust von IT-Systemen oder mobilen Endgeräten. Support-Prozesse Zur Unterstützung der Arbeitnehmer im Homeoffice sollten Support-Prozesse implementiert werden. Beispielsweise wie Mitarbeiter bei Problemen mit der IT aus dem Unternehmen unterstützt werden können. Clean-Desk Eine sogenannte Clean-Desk-Richtline hilft dabei sicherzustellen, dass unternehmensbezogene Informationen nicht offen zugänglich sind und ein allgemeiner Zugriffsschutz gegen Unbefugte auf die Homeoffice-IT umgesetzt werden. Dies kann durch abschließbare Schreibtische und Rollcontainer erfolgen. Ferner sollte vor Antritt des Homeoffice definiert werden, welche Informationen außerhalb der Institution transportiert und bearbeitet werden und welche Schutzvorkehrungen zur treffen sind.

Export metadata

Additional Services

Share in Twitter Search Google Scholar
Metadaten
Author:Christian Böttger, Norbert Pohlmann
URL:https://norbert-pohlmann.com/wp-content/uploads/2021/05/428-Sicheres-und-vertrauenswuerdiges-Arbeiten-im-Homeoffice-aktuelle-Situation-der-Cybersicherheitslage-Prof.-Norbert-Pohlmann.pdf
Parent Title (German):IT-Sicherheit
Document Type:Article
Language:German
Year of Completion:2021
Year of first Publication:2021
Publishing Institution:Westfälische Hochschule Gelsenkirchen Bocholt Recklinghausen
Release Date:2024/02/09
Volume:2021
Issue:2
First Page:160
Last Page:165
Licence (German):License LogoEs gilt das Urheberrechtsgesetz

$Rev: 13159 $