LEITFADEN FÜR SICHERHEIT IM HOMEOFFICE
In den vergangenen zwei Jahren wurden in vielen Unternehmen die Tätigkeiten ins Homeoffice verlagert. Allerdings ist für zahlreiche dieser Firmen Homeoffice ein komplett neues Thema, dessen Umsetzung schnell erfolgen musste. Doch was bedeutet der Umstieg für die IT-Sicherheit? In diesem Bericht wollen wir Ihnen einen Überblick über die Risiken, Lösungswege und Handlungsempfehlungen geben, die Ihnen als Leitfaden für IT-Sicherheit beim „mobilen Arbeiten“ und Homeoffice dienen können.
Homeoffice – Risiken und Gefahren
- Höheres Risiko unbefugter Einsicht von Daten durch Dritte
- Mitarbeiter sind den gegenüber den Gefahren nicht sensibilisiert
- Andere Kommunikationswege als üblich und räumliche Distanz zu Kollegen führen zu einer erhöhten Gefahr durch Social Engineering / Phishing Attacken
- Vermehrter digitaler und telefonischer Austausch mit Kollegen führt zu einer erhöhten Gefahr durch Spionage
- IT-Bereiche stehen unter Druck die Homeoffice Infrastruktur bereitzustellen und funktional zu halten, was zur Vernachlässigung von sicherheitsrelevanten Aspekten in den IT-Systemen, sowie zur mangelhaften Sensibilisierung der Mitarbeiter im Umgang mit der neuen Infrastruktur führen kann
Besondere Schutzmaßnahmen sind notwendig um die Arbeit im Homeoffice sicher zu machen und damit das Unternehmen keiner größeren Gefahr auszusetzen.
Regeln, Lösungen und Handlungsempfehlungen für Arbeitgeber
- Bei der Arbeit außerhalb der Büroräume sollten grundsätzlich die gleichen Anforderungen an die Informationssicherheit gelten wie in den Räumlichkeiten des Unternehmens
- Die Mitarbeiter sollten zu den Themen Informationssicherheit und Datenschutz im Homeoffice unterwiesen werden und sich zur Einhaltung von Regeln verpflichten. Insbesondere Security-Awareness Trainings zur Erkennung von Social Engineering und Phishing Angriffen sind hier von Bedeutung (mehr dazu im Abschnitt „Social Engineering und Phishing Attacken in Corona-Zeiten“).
- Es sollten strikte Zugriffsbeschränkungen gelten, sodass einzelne Mitarbeiter und Mitarbeitergruppen ausschließlich Zugriff auf die Infrastruktur und Daten haben, die sie für ihre Arbeit benötigen (Need-to-Know Prinzip, Zero-Trust Strategie).
- Es sollte arbeitsrechtliche Vereinbarungen geben, die zumindest folgende Aspekte beinhalten:
- Schützenswerte Informationen sowie Geräte müssen weggeschlossen werden
- Beim Verlassen des Arbeitsplatzes müssen Geräte gesperrt werden
- Es sind nur zugelassene IT-Dienste und Infrastruktur für den Austausch von Daten und Kommunikation erlaubt.
- Es besteht Meldepflicht bei Unregelmäßigkeiten und Auffälligkeiten wie bspw. Verdacht auf eine Phishing-Attacke
- Es bestehen Kontrollrechte für den Datenschutzbeauftragten des Unternehmens
- Die Mitarbeiter sollten hinsichtlich der Wichtigkeit von Informationssicherheit im Homeoffice und den arbeitsrechtlichen Vereinbarungen sensibilisiert werden.
- Die Mitarbeiter sollten mit ausreichender Infrastruktur (Software und Hardware) versorgt sein, um Informationssicherheit und den Arbeitsalltag im Homeoffice vereinen zu können. Dazu zählt neben offiziell verkündeten Regeln und Systemen zur Datenspeicherung und dem Datenaustausch auch insbesondere eine sicherheitskonforme Backup-Strategie.
Handlungsempfehlungen für Arbeitnehmer
- Vertrauliche Informationen müssen vor der Einsicht Unbefugter (auch vor Familienmitgliedern) geschützt werden
- Geräte müssen durch ein Passwort geschützt sein
- Vertrauliche Gespräche sollten abgeschirmt von Dritten stattfinden
- Datenaustausch und -speicherung darf nur über und auf Firmengeräten und -systemen erfolgen
- Mit Vorsicht beim Öffnen und Beantworten von E-Mails agieren (Besondere Beachtung sollte hierbei der Gefahr durch Social Engineering Angriffe beigemessen werden: mehr dazu im nachfolgenden Abschnitt)
Social Engineering und Phishing Attacken in Corona-Zeiten
- Ungewöhnlicher Schreibstil, trügerischer Betreff, Grammatik-und Orthografiefehler
- Fehlender Name / ungewöhnliche Ansprache
- Dringender Handlungsbedarf wird suggeriert
- Aufforderung zur Eingabe von Daten
- Aufforderung zur Öffnung einer Datei / Aktivierung des Bearbeitungsmodus
- Eingefügte Links oder Formulare
Um ohne Anklicken zu erkennen, wohin der Link in einer verdächtigen Mail führt, sollte der Mauszeiger über den Link bewegt werden. Nun wird im Fenster des betreffenden Programms unten links oder auch unter der Maus das echte Ziel angezeigt. Auf Mobilgeräten wird das echte Ziel sichtbar, wenn der Link für zwei Sekunden berührt gehalten wird. Das Link-Ziel sollte anschließend genau untersucht werden: Den relevanten Teil eines Links findet man im sogenannten „Wer-Bereich“. Liest man vom http(s):// zum nächsten „/“, befindet er sich um den letzten Punkt herum vor dem „/“. Der Rest des Links ist vollständig zu Vernachlässigen. In den folgenden Beispielen ist der Wer-Bereich fett markiert.
- Sicheres Beispiel: https://www.google.de/services führt auf google.de.
- Phishing-Beispiel: https://www.google.de.myaccounts.biz/services führt auf myaccounts.biz
Zero-Trust Strategie
- Einhaltung des Need-To-Know Prinzips: Um die eigenen Mitarbeitern arbeitsfähig zu halten, müssen natürlich notwendige Ressourcen und Informationen bereitgestellt werden. Dies sollte allerdings stets unter Beachtung des Need-To-Know Prinzips geschehen.
- Regelmäßige Untersuchung der firmeninternen Systeme: Die internen Systeme sollten nicht nur auf mögliche Angriffsversuche, sondern auch auf möglichen Datenmissbrauch untersucht werden.
Auf lange Sicht gesehen kann ein Umstieg auf eine Zero-Trust Strategie gerade für mittlere bis große Unternehmen sehr sinnvoll sein, da dort die Gefahr eines internen Angriffs neben Social Engineering und Phishing, auch durch eigene Mitarbeiter höher liegen kann.
Wichtig für die aktuelle Situation ist bei den vielen Empfehlungen und Regeln auch der Gedanke, die schützenswerten Informationen im Unternehmen nicht nur durch hohe Burgmauern schützen, sondern auch Augenmerk darauf zu haben, was innerhalb der Mauern passiert.