Aus- & Weiterbildung

Cybersecurity und Homeoffice: Learnings aus der Krise

5. Mai 2020

Zertifizierte Kompetenz, um Angriffe abzuwehren und Werte zu schützen auf der Basis von BSI/ISO. Darum geht es in 15 intensiven Tagen unseres Lehrgangs. Neben Risikoanalysen, Security Frameworks und einem Deep Dive in Cybersecurity-Technologien, schreiben unsere Absolventinnen und Absolventen einen Blogbeitrag. Dieser ist von Michael Pfaff.

Aus meinem Kontaktnetzwerk haben mich besonders zu Beginn des Lockdowns praktisch täglich lustige und auch weniger lustige Geschichten aus «IT-Absurdistan» erreicht: VPNs, die mangels genügender Anzahl an Client-Lizenzen von einem Grossteil der Mitarbeitenden nicht nutzbar waren. Firmen, die telefonisch praktisch nicht erreichbar waren, weil niemand daran gedacht hatte, dass im Extremfall jeder Mitarbeitende durch seine Anrufumleitung zwei externe Linien auf der Telefonanlage belegt. Firmen, die den Mitarbeitenden von Umzugsunternehmen die Desktops nach Hause liefern lassen mussten. Sekretärinnen, die mit der Bedienung des VPN-Clients mangels Schulung heillos überfordert sind. Mitarbeitende, die zu Hause nur via Handy Internetzugang haben.

Dies bringt mich zu der ersten Erkenntnis, dass ein Grossteil der Unternehmen nicht ausreichend auf den grossflächigen Einsatz von Homeoffice vorbereitet war. Daher möchte ich hier folgende Empfehlung aussprechen:

Homeoffice für alle Mitarbeitenden muss jederzeit kurzfristig möglich sein

Einerseits müssen dafür vorab die entsprechenden technischen Voraussetzungen getroffen werden, um «Homeoffice für Alle» jederzeit zeitnah ermöglichen zu können. Aus den obigen Horrorszenarien lassen sich beispielsweise folgende Fragen ableiten, die sich jeder IT-(Sicherheits-)Verantwortliche vorab stellen sollte:

  • Ist die Infrastruktur darauf ausgelegt – oder existiert zumindest ein diesbezüglicher Notfallplan – dass per sofort alle Mitarbeitenden aus dem Homeoffice arbeiten können?
  • Falls kurzfristig Geräte beschafft werden müssen, ist dies auch bei einem landes- oder weltweiten Problem realistisch? (Beachte: Andere Firmen werden dieselben Probleme haben)
  • Haben wir genügend VPN-Lizenzen bzw. wie sind diese kurzfristig beschaffbar?
  • Sind alle Mitarbeitenden für die VPN-Nutzung entsprechend geschult?
  • Haben wir bei der Telefon-Infrastruktur genügend gleichzeitig nutzbare Linien bzw. wie können wir diese bei Bedarf kurzfristig entsprechend erweitern?
  • Ist sichergestellt, dass alle Mitarbeitenden zu Hause über eine ausreichende Internet-anbindung verfügen? Wie gehen wir mit «Problemfällen» um? (z. B. reaktiv durch die Beschaffung von 4G-/5G-USB-Sticks oder proaktiv, indem alle Laptops standardmässig mit 4G/5G und einer SIM-Karte ausgestattet sind).
  • Ist der IT-Support im Homeoffice sichergestellt? Wie werden Supporttätigkeiten gehandhabt, die üblicherweise eine physische Anwesenheit bzw. den Zugang zum Gerät erfordern, wie das Lösen von Hardware-Problemen, das Neuaufsetzen von Clients bei Virenbefall usw.

Im Rahmen eines Business-Continuity-Konzeptes können solche Überlegungen schon vorab angestellt, die entsprechenden vorbereitenden Massnahmen getroffen und die Verhaltensweisen im «Ernstfall» vorab definiert werden.

Die (eher) technisch orientierte Vorbereitung der Infrastruktur ist jedoch nur ein Aspekt des Homeoffice-Einsatzes. Durch die veränderten Arbeitsabläufe und die veränderte Arbeits-umgebung, ergibt sich nämlich auch folgender Umstand:

Die Arbeit im Homeoffice führt zu ganz neuen Risiken bzw. Risikokonstellationen bezüglich der Informationssicherheit.

Die Mitarbeitenden bewegen sich nicht mehr im gewohnten, informationssicherheitstechnisch geschützten Umfeld der Betriebsräumlichkeiten. Der Kontakt mit anderen Mitarbeitenden erfolgt nicht mehr persönlich «Face-to-Face». Die Arbeitsumgebung wird plötzlich mit firmenexternen Drittpersonen (Angehörige, Mitbewohner, Hausangestellte usw.) geteilt, die jedoch keinen Zugang zu firmeninternen Systemen und Informationen haben sollen.

Vertrauliche Dokumente werden von den Mitarbeitenden zuhause am Esstisch bearbeitet und womöglich auch dort aufbewahrt. Der Arbeitsplatz zuhause ist mit hoher Wahrscheinlichkeit auch physisch eher schlecht als recht abgesichert und verfügt weder über adäquate mechanische (z. B. durchbruchhemmende Verglasung) noch elektronische (z. B. Einbruch- und Brandmeldeanlage) Sicherheitsmassnahmen für die Sicherstellung der physischen Sicherheit. Auch das Heimnetzwerk des Mitarbeitenden dürfte nicht den Anforderungen an eine betriebliche IT-Netzwerksicherheit genügen.

Aus diesen Umständen lassen sich wiederum einige (beispielhafte) Fragen ableiten, die sich jeder IT-(Sicherheits-)Verantwortliche vor dem Einsatz von Homeoffice vorab stellen sollte:

  • Existieren klare Firmenrichtlinien für das Homeoffice und sind diese allen Mitarbeitenden bekannt?
  • Welche Risiken ergeben sich aus dem fehlenden persönlichen Kontakt zu den anderen Firmenmitarbeitenden? (z.B. CEO-Scams, Phishing usw.)
  • Wie wird im Homeoffice sichergestellt, dass Drittpersonen aus dem häuslichen Umfeld des Mitarbeitenden keinen Zugang zu vertraulichen Informationen, zur Firmenhardware und zum Firmennetzwerk haben?
  • Wie werden vertrauliche Dokumente und Datenträger im Homeoffice ausreichend geschützt? Wie werden diese vertraulichen Dokumente und Datenträger im Homeoffice – bei Bedarf – sicher vernichtet?
  • Welche Risiken ergeben sich aus der im Vergleich zum Firmengebäude eher schlechten physischen Absicherung des Homeoffice-Arbeitsplatzes?
  • Welche Risiken existieren im Heimnetzwerk des Mitarbeitenden? (z. B. kein ausreichender Virenschutz, unsichere oder gekaperte Netzwerkinfrastruktur, mit Malware verseuchte IoT-Geräte usw.)

Abschliessend möchte ich noch einen weiteren Punkt erwähnen, der aus meiner Sicht bei der ganzen Homeoffice-Diskussion häufig vergessen geht. Wenn plötzlich alle Mitarbeitenden im Homeoffice arbeiten, dann steht demzufolge das normale Office leer. Hier ergibt sich für mich daher auch noch folgende Überlegung:

Durch längerfristiges «Keiner-im-Office» können neue Risiken auftreten.

So könnte es beispielsweise passieren, dass durch die längere Abwesenheit der Mitarbeitenden der wegen eines gekippten Fensters entstehende (Regen-)Wasserschaden nicht rechtzeitig bemerkt wird und dadurch über Wochen ein grosser Schaden entsteht. Oder es wird über Wochen nicht bemerkt, dass sich Unbefugte Zutritt zur Firma verschafft haben und in aller Ruhe über mehrere Tage hinweg erhebliche Mengen an Firmeneigentum abtransportiert haben.

Auch hierzu gibt es einige Fragen, die sich ein (IT-)Sicherheitsverantwortlicher eines Unternehmens aus meiner Sicht stellen sollte, wie beispielsweise:

  • Welche Risiken ergeben sich durch die (längere) Abwesenheit der Belegschaft?
  • Welche Gefahren werden hierdurch allenfalls nicht oder nicht rechtzeitig bemerkt? (z.B. Nichtentdeckung von Wasserschäden)
  • Wie wird die physische Sicherheit der Firmenräumlichkeiten auch während längeren Leerstandzeiten sichergestellt?
  • Können/sollen/dürfen die Firmenräumlichkeiten über längere Zeiträume überhaupt unbeaufsichtigt sein oder sind diesbezügliche Massnahmen zu treffen? (z.B. Überwachung durch ein Sicherheitsunternehmen, Anwesenheit einer Notmannschaft usw.)

CAS Cybersecurity und Information Risk Management

Beim nächsten CAS Cybersecurity und Information Risk Management dabei sein?

CAS Cybersecurity und Information Risk Management

Persönliche Beratung

Sie würden sich gerne persönlich beraten lassen? Senden Sie ein E-Mail an martina.dallavecchia@fhnw.ch und vereinbaren Sie einen Termin.

Dozenten in diesem sehr praxisorientierten Lehrgang sind:

Martina Dalla Vecchia (FHNW, Programmleitung)
Lukas Fässler (FSDZ Rechtsanwälte & Notariat AG)
Rainer Kessler (PwC)
Andreas Wisler (goSecurity GmbH)

Cybersecurity und Hacking für Schweizer KMU

Cybersecurity: Chancen & Gefahren der künstlichen Intelligenz

Schlagworte: Cybersecurity, Datenschutz, Homeoffice, Malware

zurück zu allen Beiträgen

Kommentare

Keine Kommentare erfasst zu Cybersecurity und Homeoffice: Learnings aus der Krise

Neuer Kommentar

×