Das Arbeiten von zu Hause aus dürfte auch nach dem Ende der Corona-Pandemie in vielen Unternehmen zur neuen Normalität werden. Doch die Abwanderung zahlreicher Mitarbeiter ins Home Office stellt hohe Anforderungen an Sicherheit und Datenschutz. Firmen können die Risiken im Home Office mit klaren Regeln, Schulungen und technischen Maßnahmen für Netzwerk und Endgeräte deutlich senken.
Das Corona-Virus verändert die Arbeitswelt. Viele Firmen haben mittlerweile für ihre Mitarbeiter Home Office angeordnet. Vor Corona war das Arbeiten von zuhause nur einem kleinen Personenkreis vorbehalten oder in Ausnahmefällen gestattet. Flexibles Arbeiten im Home Office wird künftig wohl zum normalen Geschäftsalltag. Das ist auch im Sinne vieler Mitarbeiter. Sie wollen von zuhause oder mobil auf Anwendungen und Daten des Unternehmens zugreifen oder an Videokonferenzen teilnehmen.
Mehr Angriffe – unzureichender Schutz
Das Remote-Arbeiten birgt aber einige Sicherheitsrisiken. Ein wesentlicher Faktor dafür ist die zunehmende Zahl der digitalen Attacken auf die neuen Arbeitsmodelle. So nahmen beispielsweise die Angriffe auf das Remote Desktop Protocol (RDP) von Microsoft enorm zu, welches den Zugriff auf das Unternehmensnetzwerk aus der Ferne ermöglicht. Das zeigen die Zahlen der Sicherheitsexperten von ESET. Vor dem Ausbruch der Corona-Pandemie ermittelte ESET für Deutschland etwa 260.000 Angriffsversuche pro Tag. Mit dem Beginn des Lockdowns stieg die Zahl rasant an. Im April gab es täglich rund 1,7 Millionen Attacken. Bis Juni kletterten diese Angriffe auf rund drei Millionen Versuche pro Tag! Zudem kursierten wiederholt Phishing-E-Mails, die Informationen zum Coronavirus als Köder nutzten, um Zugangsdaten auszuspähen.
Die Angreifer treffen dabei oft auf Unternehmen, die den Zugang zu ihrem Netzwerk nur unzureichend absichern. Das zeigt die Studie „Quo Vadis, Unternehmen?“, die ESET von Mai bis Juli 2020 durchgeführt hat. Hier gaben 30 Prozent der befragten Unternehmen an, dass ihre Mitarbeiter zur Verifizierung lediglich ein Passwort benötigen, also auch beim Zugriff über RDP. In nur 44 Prozent der Firmen erfolgt der Zugriff der Mitarbeiter über eine sichere VPN-Verbindung, und nur 29 Prozent nutzen zur Absicherung des Zugangs eine Zwei-Faktor-Authentifizierung. Hier besteht also noch großer Nachholbedarf.
Ein weiteres Problem: Oft sind die im Home Office eingerichteten Arbeitsplätze oder das Heimnetzwerk nicht so abgesichert wie die Rechner im Büro. Wenn Mitarbeiter ihre privaten Endgeräte nutzen, was häufig geschieht, verlieren Unternehmen die Kontrolle über den Schutz ihrer Daten. Das Sicherheitsniveau privater Geräte ist im Vergleich zur Firmen-IT niedriger, da die Soft- und Hardware der Geräte nicht standardisiert sind und häufig Update-Lücken entstehen. Da Mitarbeiter oft private Daten und Services parallel zu den beruflichen Anwendungen nutzen, vermischen sich beide Welten stärker. Durch die Vielzahl der digitalen Anwendungen, Datenzugriffe und Endgeräte gibt es auch mehr Gefahrenquellen für Sicherheitslücken.
Klare Regeln und Schulung der Mitarbeiter
Wie also können Unternehmen die Arbeitsplätze und Daten im Home Office absichern? Im Idealfall sollten die Mitarbeiter firmeneigene und vorbereitete Geräte nutzen. Sie brauchen zudem klare Regeln, wo und wie sie wichtige Daten ablegen sollen. Firmen sollten daher eine verbindliche Compliance und Governance definieren und diese schriftlich kommunizieren, damit sich die Mitarbeiter an die notwendigen Regeln halten und Daten nicht außerhalb der sicheren Umgebungen nutzen.
Hinzu kommen Trainings für Security Awareness, um bei Mitarbeitern ein Bewusstsein für die zahlreichen Risiken im IT-Security-Umfeld zu schaffen. Ziel ist es, die Mitarbeiter in Schulungen über Richtlinien, aktuelle Bedrohungen und den Umgang mit diesen Bedrohungen aufzuklären. Sie benötigen Kenntnisse über die Risiken von Ransomware, Phishing-E-Mails oder andere gezielte Attacken und sollten wissen, wie sie auf solche Inhalte reagieren. Das beste Sicherheitskonzept und alle technischen Maßnahmen verpuffen, wenn Mitarbeiter nicht für IT-Sicherheit sensibilisiert und geschult werden.
Technische Maßnahmen und Tipps
Unternehmen müssen darüber hinaus natürlich mit technischen Maßnahmen dafür sorgen, dass die Daten sicher sind und die EU-DSGVO nicht verletzt wird. Hier einige mögliche Maßnahmen und Tipps:
- Zero Trust als Grundsatz: Niemandem wird vertraut. Jeder Nutzer, jede Anwendung, jedes Gerät, das auf Daten im Unternehmen zugreifen möchte, muss sich authentifizieren (am besten mit Multi-Faktor-Authentifizierung) und wird fortwährend überprüft.
- Zugriffsrechte beschränken: Firmen sollten die Zugriffsrechte von Personen beschränken, die auf das Firmennetzwerk zugreifen, etwa für vertrauliche Dokumente oder für Optionen zur Änderung von Einstellungen.
- Endpoint Protection: Entscheidend ist, dass alle Endgeräte (PCs, Notebooks, Smartphones) durch die Installation einer Sicherheits-Software gut abgesichert sind. Diese sollte neben klassischem Antiviren-Schutz auch Funktionen zur Trennung von beruflichen und privaten Daten bieten, zum Einschränken von Funktionen oder zum Löschen von Daten von Geräten, die als verloren oder gestohlen gemeldet werden.
- Updates und Patches: Installation der neuesten Updates für Betriebssysteme und Apps
- VPN-Zugang nutzen: Firmen sollten für ihre Mitarbeiter eine VPN-Verbindung (Virtual Private Network) einrichten, damit diese eine sichere und verschlüsselte Verbindung zum Firmennetzwerk herstellen können. VPN-Lösungen bieten beispielsweise unsere Partner Juniper, Cisco und Cisco Meraki an.
- Festplatte verschlüsseln: Unternehmen sollten bei den Notebooks ihrer Mitarbeiter die Festplatte verschlüsseln. Nur berechtigte Nutzer können dann per Multi-Faktor-Authentifizierung ihre Daten und Anwendungen nutzen. Geht das Gerät verloren oder wird es gestohlen, ist es für Dritte nicht möglich, auf die Daten zuzugreifen.
- Virtualisierte Desktops: Als Alternative zu lokal installierter Software bietet sich der Einsatz von virtualisierten Desktops an, die von einem Rechenzentrum aus über einen zentralen Server bereitgestellt werden. Anwender greifen dann über das Internet auf ihren digitalen Desktop zu. Wenn alle Daten und Anwendungen zentral im Rechenzentrum installiert sind, steigen auch die Verfügbarkeit und Sicherheit der Daten. Der Administrator behält so die Kontrolle über die Daten, kann Patches für alle virtuellen Desktops bereitstellen, Konfigurationen ändern, Richtlinien durchsetzen und einheitliche Desktops bereitstellen, die allen Compliance-Anforderungen genügen. Firmen können diese VDI-Umgebung (Virtual Desktop Infrastructure) entweder selbst einrichten oder als Desktop as a Service (DaaS) aus der Cloud beziehen.
Fazit
Firmen können die Risiken im Home Office mit klaren Regeln, Schulungen der Mitarbeiter und technischen Maßnahmen für Netzwerk und Endgeräte deutlich senken. Gerne beraten wir Sie hierzu.
Fragen? Fragen!
Ich bin Alexander Fest aus dem HCD Vertriebsteam. Ich berate Sie gerne oder helfe Ihnen bei Fragen weiter. Sie erreichen mich telefonisch unter +41 58 590 110-0 oder per Kontaktformular.
Jetzt beraten lassen