Homeoffice in Zeiten der Pandemie – Erhöhter Handlungsbedarf im Bereich IT-Sicherheit/Informationssicherheit

PrintMailRate-it

veröffentlicht am 8. Dezember 2020


Banner Zahlenschloss



Als im Frühjahr das Corona-Virus erstmals das gesellschaftliche Leben fest im Griff hatte, waren viele Unternehmen gezwungen, ihre Mitarbeitenden unerwartet ins Homeoffice zu schicken. Bei der Umstellung stand zunächst primär die Aufrechterhaltung der Geschäftsfähigkeit im Vordergrund und nicht die Informationssicherheit. Dabei mussten die technischen Voraussetzungen für das Remotearbeiten bei vielen Unternehmen erst geschaffen werden. Die kurzfristige Einführung führte zu fehlenden Regelungen und Sicherheitsvorkehrungen. Auch wurde oftmals auf die privaten Rechner der Mitarbeitenden zurückgegriffen. Damit gehen die Unternehmen jedoch ein erhebliches Sicherheitsrisiko ein, dem sich die meisten womöglich gar nicht bewusst sind. Die Cyberkriminellen haben sich bereits auf die neue Situation ausgerichtet und gefährden aktiv viele Unternehmen. Doch konnte Ihr Unternehmen die IT-Sicherheit im Homeoffice ausreichend in den vergangenen Monaten aufrüsten?


Status Quo und Ausblick

Knapp 6 Monate nach dem Ausbruch der Pandemie sehen sich Unternehmen wieder mit der gleichen Problematik konfrontiert. Waren die meisten Mitarbeiter gerade erst wieder ihrem geregelten Alltag im Büro nachgegangen, wurde aufgrund der steigenden Infektionszahlen erneut zunehmend auf Homeoffice umgestellt. Auch in solch einer Krisensituation sollten grundlegende Vorgaben zur IT-Sicherheit und Datenschutz nicht vernachlässigt werden.


Diese außergewöhnlichen Umstände verlangen von Unternehmen eine schnelle und sichere Umsetzung von qualifizierten Maßnahmen. Das Bundesamt für Sicherheit und Informationstechnik (BSI) bestätigte jedoch in einer Meldung, dass in Sachen IT-Sicherheit, insbesondere Cyber-Sicherheitsstrategien, bei etlichen Unternehmen weiterhin Nachholbedarf besteht.


Potenzielle Gefahren im Homeoffice

Gefahren, die sich bei der Heimarbeit ergeben können, sind primär auf fehlende bzw. unzureichende Regelungen zurückzuführen. Eine in diesem Zusammenhang ausreichende Sensibilisierung der Mitarbeiter für das Arbeiten von Zuhause fehlt oftmals.


Wenn die Telearbeit nur unzureichend durchdacht ist, können für Unternehmen verschiedenste Risiken im Hinblick auf die Informationssicherheit entstehen. Der größte Schaden, der ein Unternehmen beeinträchtigt, ist, dass unternehmensinterne Informationen nach außen getragen werden.


Neben der Cyber-Sicherheit von Computersystemen und Netzwerken ist der Faktor „Mensch” ebenso wichtig. Beim Social Engineering können Mitarbeiter gezielt durch psychologische Tricks manipuliert werden, um kriminelle Absichten zu verwirklichen. Das zentrale Merkmal solcher Angriffe besteht vor allem in der Täuschung über die Identität. Je nach Position entstehen dem Unternehmen durch Social Engineering erhebliche Schäden. Die Absichten der Angreifer variieren dabei stark. Oftmals betrifft es jedoch auch dabei die Weitergabe sensibler Informationen.


Die wohl bekannteste Form ist das sogenannte „Phishing”. Dabei wird versucht, das Opfer zur Preisgabe vertraulicher Informationen zu verleiten. Mit sehr echt wirkenden E-Mails sollen Opfer dazu gebracht werden, Anmeldeinformationen und Passwörter auf gefälschten Zielseiten einzugeben, die im Anschluss abgegriffen werden. Daher ist es wichtig, verantwortungsvoll mit Informationen umzugehen, bei E-Mails von unbekannten Absendern Vorsicht walten lassen und sich im Zweifelsfall über die Legitimität zu informieren.


Durch die plötzliche Umstellung haben viele Unternehmen nach der Devise „Use your own device” gehandelt. Doch das birgt reichlich Gefahren. Neben dem Verlust der Kontrolle über den Schutz unternehmensinterner Informationen, stellen auch fehlende Virenschutzprogramme und nicht durchgeführte Updates ein weiteres Sicherheitsrisiko dar. Daher ist dieses Vorgehen aus sicherheitstechnischer Sicht sehr bedenklich.


Das BSI weist an dieser Stelle in seinem Lagebericht „Die Lage der IT-Sicherheit in Deutschland 2020” darauf hin, dass die IT-Sicherheit zugunsten eines ad hoc funktionierenden Homeoffices oftmals vernachlässigt wurde.



Banner Laptop



Handlungsempfehlungen

Für das Arbeiten von Zuhause müssen technische und organisatorische Maßnahmen (TOMs) entwickelt werden, sodass ein möglichst sicheres und reibungsloses Arbeiten sichergestellt wird. Laut BSI muss gewährleistet sein, dass sicherheitstechnische Anforderungen getroffen werden. Insbesondere müssen Zugriffsrechte und Berechtigungen geregelt sein. Daher sollte ein Sicherheitskonzept entwickelt werden, sodass Sicherheitsanforderungen, Schutzziele und auch Risiken eindeutig identifiziert und definiert werden.


Des Weiteren muss im Rahmen der Kommunikationsmöglichkeit geregelt werden, welche Endgeräte (Firmenrechner, Laptop, Smartphones) zur Heimarbeit genutzt werden und in welchem Umfang diese für private Zwecke verwendet werden dürfen.


In diesem Zuge hat das BSI folgende grundlegende Empfehlungen für das Arbeiten im Homeoffice ausgesprochen:

  • Verbindliche Regelungen zur IT-Sicherheit sind schriftlich zu kommunizieren.
  • Mitarbeiter müssen an ihrem Heimarbeitsplatz zwingend das Sicherheitsniveau sicherstellen, das mit dem eines Büroraumes vergleichbar ist. Dritten soll kein Zugriff gewährt werden.
  • Für eine eindeutige Verifizierung sollten die Kommunikationswege genau definiert sein.
  • Daher ist es auch unbedingt notwendig, Mitarbeiter bezüglich Phishing zu sensibilisieren. Cyber-Kriminelle nutzen die aktuelle Situation vermehrt aus und versuchen mit Phishing-Mails Zugriff auf sensible Daten zu erlangen.
  • Auf interne Ressourcen des Unternehmens sollte nur mittels eines sicheren Kommunikationskanals, bspw. VPN, zugegriffen werden. Sofern noch keine sichere VPN-Infrastruktur besteht, bedarf es hierfür einer geeigneten Lösung.


Whitepaper – Wohlverhaltensregeln

Grundsätzlich sollten die eigenen Mitarbeiter auf die möglichen Gefahren und das IT-Verhalten im Homeoffice ausreichend hingewiesen werden. Hierfür kann beispielsweise die folgende Rundmail verwendet werden:



Liebe Kolleginnen und Kollegen,

aus gegebenem Anlass möchten wir auf die folgenden IT-Verhaltensregeln
hinweisen, die bei der Arbeit im Homeoffice zu
berücksichtigen sind:


1. Einen sicheren Arbeitsplatz schaffen

Die Grundlage ist ein stabiler Netzanschluss über das sichere LAN oder das passwortgeschützte WLAN im Homeoffice. Sofern möglich, immer mittels VPN auf das  Firmennetzwerk zugreifen.


2. Privat- und Diensthardware trennen
Es wird die Nutzung eines Firmengeräts vorausgesetzt, um sich mit den IT-Systemen im Unternehmen zu verbinden. Private Geräte wie Smartphones, USB-Sticks oder externe Festplatten dürfen nicht an den Dienstrechner angeschlossen werden. Umgekehrt dürfen Unternehmensanwendungen sowie auch -daten im Homeoffice nicht auf einem privaten Gerät installiert und genutzt werden.

3. Sichere Anwendungen wählen
Bei der Arbeit im Homeoffice sollten immer die bereitgestellten Sicherheitssysteme wie VPN-Client benutzt werden. Software für Privatanwender dürfen nicht dienstlich und auf Dienstgeräten genutzt werden. Viele Datentransferund Konferenzdienste für Privatpersonen erfüllen nicht die Mindestanforderungen an Datenschutz und IT-Sicherheit, die für unser Unternehmen erforderlich sind.

4. Vorsicht vor Phishing-E-Mails
Cyber-Kriminelle versenden zurzeit viele Phishing-Mails, die vermeintliche Neuigkeiten zur Corona-Krise enthalten. So groß das Interesse auch ist, lieber zweimal die Absenderadresse und den Inhalt jeder E-Mail prüfen. Im Zweifelsfall nicht auf Links klicken und keine Anhänge öffnen sowie den zuständigen IT-Support kontaktieren.

5. Internet Security im Homeoffice
Ihr zugeordneter Firmenrechner /-laptop darf nur durch Sie persönlich genutzt sowie Passwörter niemals an Familienmitglieder, Freunde oder Arbeitskollegen weitergegeben werden. Ihr persönlicher Rechner sollte außerdem sofort gesperrt werden, sobald Sie den Arbeitsplatz verlassen.


Wen kann ich bei Fragen erreichen?
Sollten Sie Fragen haben, erreichen Sie den Service Desk rund um die Uhr.

 

– per E-Mail an it-support@beispiel.de

 

– oder telefonisch unter +49 XXX XXXX


Mit freundlichen Grüßen


Bei der Umsetzung von technischen und organisatorischen Maßnahmen (TOM) ist es oftmals hilfreich, einen externen Berater zu haben, der bei der Umsetzung der Handlungsempfehlungen des BSI unterstützt, z. B. bei der Erstellung von Informationssicherheitsrichtlinien und Sicherheitskonzepten.


Hilfreich ist auch ein E-Learning IT-Sicherheit, denn die größte Schwachstelle von IT-Systemen ist oftmals nicht die Technik, sondern der Mensch, da gezielte Angriffe auf einzelne Mitarbeiter von Virenschutzprogrammen nicht erkannt werden können. Daher gilt der Mensch als Schlüsselfaktor beim Thema IT-Sicherheit. Die Durchführung der Online-Schulung richtet sich grundsätzlich an alle Mitarbeiter und dient der Sensibilisierung im Umgang mit Informationstechnik. 


Cyber Security Check

Ein erfolgreicher Hackerangriff kann zu verheerenden Folgen für das gesamte Unternehmen führen. Um nicht Opfer von Cyberattacken zu werden, muss die Bedrohungslage aus dem Cyber-Raum ernst genommen und aktiv mit wirksamen Gegenmaßnahmen bekämpft werden. Ein Cyber-Sicherheits-Check bietet eine praxisorientierte Beurteilung der IT-Sicherheit. Die Prüfung soll einen Überblick über den Status der Cyber-Sicherheit geben und die Verantwortlichen anhand konkreter Empfehlungen dabei unterstützen, festgestellte Sicherheitsmängel abzustellen.


Externer Informationssicherheitsbeauftragter (ISB)

Das Thema Informationssicherheit gewinnt immer stärker an Bedeutung. Im gleichen Maße wie die Bedeutung zunehmend erkannt wird, sinkt die Verfügbarkeit geeigneter Mitarbeiter für die Stelle des Informationssicherheitsbeauftragten auf dem Arbeitsmarkt. Eine Option ist es daher, einen externen Mitarbeiter als Informationssicherheitsbeauftragten zu bestellen.


Abschliessendes Resümee

Die derzeitigen Umstände verlangen ein besonders stabiles IT-Umfeld. Schwachstellen in der IT-Sicherheit eines Unternehmens sollten schnellstmöglich beseitigt werden. Hierfür liefert das BSI zahlreiche Handlungsempfehlungen und Hilfestellungen.


Arbeiten im Homeoffice ist ein Modell der Zukunft und wird auch nach der Corona-Pandemie weiter auf dem Vormarsch sein. Unternehmen sollten daher bereits jetzt grundlegende Strukturen schaffen, um das Arbeiten von Zuhause aus sicher und effizient zu gestalten. Hieraus können sich Chancen und Herausforderungen ergeben, auf die man vorbereitet sein muss.


Wir helfen Ihnen, Risiken präventiv zu vermeiden und können Sie bei der Entwicklung und Umsetzung von geeigneten Maßnahmen mit unserem Fachwissen unterstützen!

Kontakt

Contact Person Picture

Jonas Buckel

B.A. Wirtschaftsinformatik, Zert. ITSiBe / CISO, IT-Auditor IDW

Manager

+49 911 9193 3627

Anfrage senden

Contact Person Picture

Jürgen Schwestka

Diplom-Kaufmann, CISA, Zertifizierter IT-Sicherheitsbeauftragter, Zertifizierter IT-Security-Auditor, IT-Auditor IDW, Zertifizierter Business Continuity Manager

Partner

+49 911 9193 3508

Anfrage senden

Wir beraten Sie gern!

E-Learning

Befehle des Menübands überspringen
Zum Hauptinhalt wechseln
Deutschland Weltweit Search Menu