Aus- & Weiterbildung

Homeoffice? – aber sicher!

5. Mai 2020

Zertifizierte Kompetenz, um Angriffe abzuwehren und Werte zu schützen auf der Basis von BSI/ISO. Darum geht es in 15 intensiven Tagen unseres Lehrgangs. Neben Risikoanalysen, Security Frameworks und einem Deep Dive in Cybersecurity-Technologien, schreiben unsere Absolventinnen und Absolventen einen Blogbeitrag. Dieser ist von Pascal Chappuis.

Die aktuelle Corona-Pandemie zwingt viele Arbeitnehmer, ihre Tätigkeiten von Zuhause aus auszuführen. Dies bringt spezielle Herausforderungen für die Unternehmen, die Vorgesetzten und auch die einzelnen Mitarbeitenden mit sich. Wie soll das gehen? Hat jeder Mitarbeitende einen Laptop, den er mit nach Hause nehmen kann? Haben wir in der Firma die nötige Infrastruktur, um überhaupt den Mitarbeitenden einen sicheren Zugang zu den Firmen-Ressourcen zu ermöglichen? Sind unsere Mitarbeitenden ausreichend geschult dafür und wissen genau, wie sie eine sichere Verbindung in die Firma herstellen können?

Mit all solchen Fragen wurden wir ganz plötzlich konfrontiert, und es mussten schnell gute und sichere Lösungen bereitgestellt werden.

Infrastruktur und Arbeitsmittel
Für Homeoffice sollten Unternehmen ihren Mitarbeitenden im Idealfall möglichst firmeneigene Geräte zur Verfügung stellen, denn Firmendaten haben auf Privatgeräten nichts verloren. Genauso sollten Privatgeräte nicht über VPN ins Firmennetzwerk verbinden können, solange nicht gewährleistet werden kann, dass sie die Sicherheitsvoraussetzungen des Unternehmens erfüllen. Sollten so schnell keine firmeneigenen Geräte zur Verfügung gestellt werden können, muss es mindestens ein IT-Nutzungsreglement für private Geräte geben. Als Voraussetzung für einen sicheren Zugang in das Unternehmensnetzwerk sollte ein VPN-Tunnel mit Mehrfachauthentifizierung angesehen werden. Trennen Sie Arbeitsgeräte und persönliche Geräte zuhause. So ist es wichtig, dass die verschiedenen Aufgaben wie „Heimunterricht mit den Kindern“ oder „Rechnungen bezahlen“ nicht auf dem Geschäftsgerät erledigt werden sollten. Das stiftet nicht nur Verwirrung, sondern könnte auch Ihre persönlichen Daten kompromittieren, wenn ein Cyberkrimineller versucht hat, in Ihr Unternehmen einzudringen. Am Homeoffice-Arbeitsplatz können Angreifer häufig einfacher auf vertrauliche Informationen zugreifen, die sich auf fest eingebauten und austauschbaren Speichermedien, aber auch auf Papier befinden. Werden Informationen unberechtigt gelesen oder preisgegeben, hat das jedoch schwerwiegende Folgen für die gesamte Institution. Unter anderem kann es zu Wettbewerbsnachteilen und finanziellen Schäden kommen. Sogar Gesetzesverstösse sind möglich. Zusätzlich ist der mobile Arbeitsplatz meist nicht so gut abgesichert wie der Arbeitsplatz in einem Unternehmen oder auf einer Behörde. Geschäftliche IT-Geräte und Dokumente können daher zum Beispiel unterwegs im öffentlichen Raum oder auch zuhause leichter gestohlen werden. Daher sollten tragbare IT-Systeme und Datenträger unbedingt verschlüsselt werden.

Anwendung und Security-Awareness
Eine grosse Unterstützung in der Anwendung von Homeoffice sind einerseits klare Weisungen an die Mitarbeitenden, aber auch eine reife Unternehmenskultur, die auf Gestaltungsspielraum und Vertrauen aufbaut. Es ist von grosser Wichtigkeit, dass die Mitarbeitenden sich bewusst sind, dass die Regeln der Firma jetzt plötzlich auch zuhause beim Arbeiten gelten. Besondere Aufmerksamkeit sollte dem sicheren Umgang mit dem Equipment, der Remote-Lösung, dem zusätzlichen Authentisierungsfaktor und den verwendeten Applikationen gewidmet werden. Die Einhaltung von Geschäftsgeheimnis und Datenschutz ausserhalb der Büroräumlichkeiten sind weitere Themen, denen Sorge getragen werden sollte. Auch die physische Sicherheit sollte im Homeoffice beachtet werden, so sind die Arbeitsgeräte vor Verlassen des Arbeitsplatzes stets auszuschalten oder zu sperren, so dass Kinder oder Unbefugte keinen Zugriff haben können. Im Idealfall werden keine Daten lokal abgelegt, sondern immer auf dem Firmenserver gespeichert, wo auch regelmässige Backups erstellt werden.

Besondere Vorsicht ist beim Herunterladen von Software geboten. Vergewissern Sie sich, dass Sie wirklich auf der Webseite des Herstellers sind (z. B. Videokonferenzsoftware). Auch Ersteller von Phishing-E-Mails versuchen, aus dieser Krise vermehrt Kapital zu schlagen. Prüfen Sie E-Mails genau, und öffnen Sie nur Anhänge aus vertrauenswürdigen Quellen. Sollten Sie Zweifel haben, ist ein kurzer Anruf bei einem Absender immer ein guter Tipp.

Aktivieren Sie keinesfalls Makros und ignorieren Sie niemals Sicherheitswarnungen, wenn Sie ein Dokument öffnen, das über E-Mail versendet worden ist oder das Sie vom Internet heruntergeladen haben. Öffnen Sie im Zweifelsfall das Dokument lieber nicht und fragen Sie beim Absender telefonisch nach oder melden Sie sich bei Ihrem Helpdesk/IT-Abteilung.

Auch gute Führung der Mitarbeitenden trägt zur Sicherheit bei
Als Führungskraft sollte man in diesen für alle speziellen Zeiten mehr denn je als Vorbild agieren. Vielleicht auch in einem Teammeeting mal Platz lassen für etwas Persönliches, was ein Mitarbeitender gerne erzählen möchte. Vertrauen in die Mitarbeitenden zeigen und zwischendurch ein wertschätzendes und ehrliches Feedback geben können Wunder bewirken. Besonders wichtig ist auch, die gegenseitige Erwartung persönlich aber auch für die Aufgaben zu spezifizieren. Als Vorgesetzter oder Vorgesetzte sollte der Status verschiedener Projekte regelmässig mit den Mitarbeitenden abgeglichen werden. In solchen Meetings haben die Vorgesetzen auch immer die Möglichkeit, ihre Mitarbeitenden für den Umgang mit Infrastruktur, Sicherheitselementen und Firmendaten zu sensibilisieren.

Sich selbst informieren
Eine gute Möglichkeit ist auch, sich selbst über die aktuelle Bedrohungslage für das Homeoffice zu informieren. In den Fachmedien sind regelmässig Artikel darüber zu finden. Informativ sind zudem auch die Lageberichte der Melde- und Analysestelle Informationssicherung des Bundes (https://www.melani.admin.ch/melani/de/home.html) die halbjährlich erscheinen.

Ich selbst durfte die Transformation der Mitarbeitenden bei meinem Arbeitgeber aktiv mitbegleiten. Ich glaube, dass wir alle nach der Krise auswerten sollten, was es zu lernen gab. Es gibt auch viele positive Erscheinungen in dieser Zeit der Isolation. Ich für meinen Teil habe erkannt, wie fokussiert und effizient es sich in der Stille an einzelnen Themen arbeiten lässt.

Literaturquellen
Empfehlungen BSI: https://www.bsi.bund.de/DE/Themen/Cyber-Sicherheit/Empfehlungen/HomeOffice/homeoffice.html

Empfehlungen Melani: https://www.melani.admin.ch/melani/de/home/dokumentation/checklisten-und-anleitungen/fernzugriff.html

Autor: Pascal Chappuis