Cybersecurity und Homeoffice: Learnings aus der Krise
Zertifizierte Kompetenz, um Angriffe abzuwehren und Werte zu schützen auf der Basis von BSI/ISO. Darum geht es in 15 intensiven Tagen unseres Lehrgangs. Neben Risikoanalysen, Security Frameworks und einem Deep Dive in Cybersecurity-Technologien, schreiben unsere Absolventinnen und Absolventen einen Blogbeitrag. Dieser ist von Alex Burger.
Die Corona-Krise hat die Arbeitswelt auf den Kopf gestellt. Sie zwingt viele von uns ins Homeoffice. Arbeiten ausserhalb der Büroräume eines Unternehmens birgt einige Gefahren, die bei der Einführung von mobilem Arbeiten oder im Homeoffice zu bedenken sind. Welchen Herausforderungen stehen wir gegenüber? Welche Auswirkungen hat das auf unser Sicherheitsbewusstsein?
Homeoffice – na endlich!
Um die weitere Verbreitung von COVID-19 zu verlangsamen, haben sich zahlreiche Firmen rasch dazu entschlossen, wo es die organisatorischen Abläufe ermöglichen, ihre Mitarbeitenden von zu Hause aus arbeiten zu lassen. Klar ist auch, dass nicht alle Mitarbeitenden eines Unternehmens davon profitieren können. Aber zumindest helfen Massnahmen wie beispielsweise Abstand halten, vermeiden grösserer Ansammlungen von Personen usw. die Ziele des Bundesamts für Gesundheit (BAG) zu erreichen.
Im Umgang mit Homeoffice haben moderne Unternehmen mit aufgeschlossenen Managementstrukturen grundsätzlich weniger Schwierigkeiten, da sie ohnehin ihren Mitarbeitenden diese Arbeitsform bereits anbieten. Umso grösser ist die Überraschung bei denjenigen Chefs, die heute noch mit veraltetem und angestaubtem Führungsverständnis unterwegs sind. Es ist daher verständlich, dass Mitarbeitende, Organisation und Infrastruktur dieser Unternehmen nur wenig, wenn überhaupt, vorbereitet sind. Ein weiterer Aspekt, der auf die grösstenteils verunsicherte Bevölkerung wirkt, sollte dabei nicht vergessen werden. Es sind die ständigen Nachrichten über die Verbreitung des Virus, die Anzahl Erkrankter, Informationen zur Wirtschaftslage sowie drohende Firmenschliessungen und damit verbundener Verlust des Arbeitsplatzes, die zusehends als Stressfaktoren wahrgenommen werden. Dazu drängt sich auch die Frage auf, ob der Arbeitsplatz zu Hause überhaupt geeignet ist, um einige Tage oder gar Wochen dort zu arbeiten. Ergonomie, Raumaufteilung, technische Ausrüstung und beide Elternteile arbeiten womöglich gleichzeitig im Homeoffice und umsorgen dabei die Kinder. Die Grenzen zwischen Arbeit und Familie scheinen dabei fliessend ineinander überzugehen. Schlussendlich gesellt sich das Thema Informationssicherheit mit dazu. Grundsätzlich gelten die gleichen Anforderungen an die Informationssicherheit, ob nun ausserhalb oder innerhalb eines Unternehmens mit IT-Mitteln gearbeitet wird. Jedoch lohnt es sich, die Regeln dazu nochmals in Erinnerung zu rufen und auf die Gefahren aufmerksam zu machen. Nachstehend drei Empfehlungen für die Sicherheit.
1. Awareness
Mitarbeitende sollen auf die Bedeutung der Informationssicherheit vorbereitet werden und sich die geltenden Regeln verinnerlichen. Dazu beitragen können gezielte Informationen, Broschüren und Schulungen, die von der Sicherheitsabteilung zur Verfügung stehen. Somit hat jeder und jede Einzelne die Möglichkeit, den eigenen Beitrag zur Sicherheit leisten zu können. Nötigenfalls können Unternehmen entsprechende Unterstützung auch von externer Seite beiziehen, falls man es bis dato versäumt hat, das Thema anzugehen. Das Management hat bei der Umsetzung ebenfalls eine Vorbildfunktion. Awareness schaffen!
2. Infrastruktur
Die technische Infrastruktur ist eine weitere Grundvoraussetzung für eine gut funktionierende Umsetzung der Informationssicherheit. Die Sicherheit könnte jedoch auf der Strecke bleiben, sobald beispielsweise mit neuen Geräten zu Netzwerken und WLANs verbunden wird und Cyberkriminelle sich diesen Angriffsvektor zunutze machen.
Punkte, die hier zu beachten sind:
- Klare und einfach verständliche Regeln für Mitarbeitende bereithalten;
- Geräte mit einem Passwort schützen – ein Klassiker (Bildschirmschoner, Sperrung beim Verlassen des Arbeitsplatzes);
- Starke Passwörter verwenden (Passwortmanager, 2-Faktor-Authentisierung, Kryptosticks, Smartcards, Einmalpasswörter);
- Verschlüsselung beim Datenaustausch (Festplatte, E-Mails, Virtual Private Network);
- WLAN absichern (Wi-Fi Protected Access 2 oder 3);
- Datensicherung durchführen (Datenträger getrennt vom Gerät aufbewahren);
- Einsatz von privaten Cloud-Datenspeicher gelten als problematisch;
- Vertrauliche Inhalte sollen geschützt werden (dazu gehören auch Ausdrucke, die entsprechend zu behandeln sind, Scanning-Funktion und Apps bei Multifunktionsgerät);
- Vermischung geschäftlicher und privater Daten vermeiden;
- Virenschutz und Firewall aktivieren, generell Software aktualisieren;
- Genügend Netzbandbreite, um effizient arbeiten zu können.
Die Liste ist nicht abschliessend – auf jeden Fall lohnt es sich, diese und weitere Aspekte mit den Sicherheitsverantwortlichen zu thematisieren. Die Melde- und Analysestelle Informationssicherung MELANI, ein Teil des Informatiksteuerungsorgan des Bundes, hat diesbezüglich Informationen in kompakter Form veröffentlicht [1], [2].
3. Faktor Mensch
Das eigene Verhalten trägt massgeblich zum Schutz vor Angriffen bei. Steht der Benutzer im Fokus und sind dabei psychologische Tricks mit im Spiel, ist ganz besondere Vorsicht geboten. Aber wie reagiert man «richtig» in einer solchen Situation und wie bemerkt man die Manipulation? Auch hier hilft die Auseinandersetzung mit dem Thema, um wirksam dagegen anzugehen und minimal vorbereitet zu sein. Besonders in Zeiten von COVID-19 wird vermehrt das Thema Virus als «Köder» genutzt.
Sachverhalte, auf die man achten sollte:
- Social Engineering durch Phishing Mails (verdächtige Merkmale und Inhalte sind beispielsweise: ungewöhnliche Ansprache, unvollständiger Name, schlechte Grammatik und Schreibfehler, generell Schreibstil, konkrete Aufforderung zu handeln, gewisse Dringlichkeit vortäuschen usw.);
- E-Mail-Adresse des Absenders (gefälschte E-Mail Header, Vortäuschen von Namen/ Person);
- HTML Links (eingefügte Links in E-Mails, die zu unsicheren Inhalten führen);
- MS-Office-Anwendungen, die Makros verwenden (Sicherheitshinweise nicht leichtfertig ignorieren);
- Social Engineering durch Telefonanrufe mit dem Ziel, vertrauliche Informationen zu erschleichen.
Personenbezogene Daten werden häufig verwendet, um Straftaten im Internet zu begehen. Besonders perfid – das ahnungslose Opfer bleibt auf den Konsequenzen sitzen und muss nachweisen, dass es betrogen wurde, respektive unschuldig ist.
Fazit
Nebst Schaffung der notwendigen Awareness bei Mitarbeitenden, soll zudem die Kommunikation festgelegt werden. Datenschutzanforderungen bei Auswahl und Einsatz von Apps sind ebenso wichtig. Klare, einfach zu verstehende Regeln und Richtlinien sollen frühzeitig ausgearbeitet sein und zeitgerecht im Unternehmen zur Verfügung stehen.
Quellen:
Melde- und Analysestelle Informationssicherung MELANI. (02.04.2020). Home-Office: Sicherer Umgang mit Fernzugriffen. Abgerufen 22.04.2020, von https://www.melani.admin.ch/dam/melani/de/dokumente/2020/20200324_Remote_Access_Recommendations_DE.pdf.download.pdf/20200324_Remote_Access_Recommendations_DE.pdf
Melde- und Analysestelle Informationssicherung MELANI. (02.04.2020). Home-Office – Endbenutzer Guideline. Abgerufen 22.04.2020, von https://www.melani.admin.ch/dam/melani/de/dokumente/2020/20200402_Remote_Access_Recommendations_EndUser_DE.pdf.download.pdf/20200402_Remote_Access_Recommendations_EndUser_DE.pdf
Autor: Alex Burger
CAS Cybersecurity und Information Risk Management
Beim nächsten CAS Cybersecurity und Information Risk Management dabei sein?
Persönliche Beratung
Sie würden sich gerne persönlich beraten lassen? Senden Sie ein E-Mail an martina.dallavecchia@fhnw.ch und vereinbaren Sie einen Termin.
Dozenten in diesem sehr praxisorientierten Lehrgang sind:
Martina Dalla Vecchia (FHNW, Programmleitung)
Lukas Fässler (FSDZ Rechtsanwälte & Notariat AG)
Rainer Kessler (PwC)
Andreas Wisler (goSecurity GmbH)
Kommentare
Keine Kommentare erfasst zu Cybersecurity und Homeoffice: Learnings aus der Krise