Homeoffice und IT-Sicherheit: Wie Sie virenfrei durch die nächste Zeit kommen

Aktuell ist noch nicht abzusehen, wie weit sich das neuartige Coronavirus noch verbreiten und wie viel Schaden entstehen wird. Tatsache ist, dass auch Einflüsse auf die tägliche Arbeit im Unternehmen die Folge sind.

Unabhängig von den Auswirkungen in der realen Welt sei hierbei angemerkt, dass die Parallelitäten zwischen Offline- und Online-Welt erschreckend sind: Ungeschützte Individuen sind einem hohen Infektionsrisiko ausgesetzt und tragen zur weiteren Verbreitung bei. Je länger die Inkubationszeit, desto schwieriger ist es auch, die Verbreitung einzudämmen.

Allerdings gilt auch für die Daten-Welt: Virtuelles Händewaschen kann jeder Einzelne umsetzen. Dabei sind einfache Hygienemaßnahmen wie virtuelles Desinfizieren (Einsatz von Virenscannern), Tragen von Mundschutz (Firewalls) und Vermeiden von Risikogebieten (Einsatz sicherer IT, Nutzen seriöser Internetangebote und Software) beste Ratgeber.

Warum Sicherheit im Homeoffice kein Wunschkonzert ist

Harald Müller-Delius, MBA, Dipl.-Ing. (FH), Datenschutzbeauftragter (IHK), HM[D]ATA Ing.-Büro für Daten- und Medientechnik

Die gesetzlichen Grundlagen der Datenschutzgrundverordnung (DSGVO) sind klar: Unternehmen haben dafür zu sorgen, dass personenbezogene Daten bei der Verarbeitung hinreichend geschützt sind – das betrifft nun grundsätzlich ausnahmslos jedes Unternehmen. Dafür wurden und werden Sicherheitsvorkehrungen, Konzepte, Richtlinien und Maßnahmen im Unternehmen definiert und eingerichtet, die dafür Sorge tragen, dass die Rechte von Betroffenen eingehalten, unberechtigter und ungewollter Datenabfluss oder -änderung vermieden und Verfügbarkeit garantiert werden. Im Unternehmen selbst lassen sich deren Installation und Beachtung in der Regel gut umsetzen. Die gleichen Anforderungen gelten allerdings natürlich auch für jede Außenstelle oder externe Verarbeitung, also auch fürs Homeoffice.

Aus aktuellem Anlass hat nun – bei geeigneter Tätigkeit – die Arbeit vom Homeoffice aus überraschend an Popularität gewonnen. Beachtet werden muss hierbei sowohl vom Unternehmen als auch vom Mitarbeiter, dass das definierte Datenschutz- und Sicherheitsniveau des Unternehmens auch im Homeoffice nicht unterschritten wird. Und es dürfte aus der Praxiserfahrung wohl eher vermutet werden, dass dies eher weniger im Alltag vorzufinden sein mag. Wie so oft bedarf es bei der Umsetzung nachfolgender Maßnahmen der Unterstützung durch professionelle IT-Fachleute; allerdings kann man auch als Laie zumindest notwendige Punkte klären lassen oder besprechen.

Die Umsetzung

Natürlich gibt es einige mögliche Ansätze für konformes Arbeiten im Homeoffice. Richtig bewährt hat sich allerdings das Prinzip der Datenminimierung: Was nicht extern gespeichert oder verarbeitet wird, muss auch nicht geschützt werden. Dafür kommen als alltagstaugliche Lösung zwei Möglichkeiten in Betracht: die Datenverarbeitung per Browser-Anwendung oder der sogenannte Terminal-Server-/ Fernzugriff.

Bei beiden Möglichkeiten dient der häusliche PC oder das Notebook nur als „Sichtgerät“ auf die Unternehmensanwendung. Damit wird das Unternehmen im Prinzip ins Haus geholt, die eigentliche Verarbeitung findet nach wie vor auf unternehmenseigenen, gesicherten Systemen statt und nach Beendigung der Tätigkeit verbleiben keinerlei Daten physisch zu Hause. Andere Verfahren würden eine Duplizierung oder einen physischen Transport mit den Risiken des Verlustes oder des unberechtigten Zugriffs mit sich bringen.

Die Risiken

Voraussetzung für ein sicheres Arbeiten sind folgende Maßnahmen.

1.Verschlüsselung

Die Browser-Anwendung verlangt eine sichere https-Verbindung. In den unternehmenseigenen Terminal-Server wählt man sich per VPN ein. In beiden Fällen wird Ihre „private“ Internetanbindung verwendet. Aktuelle Verschlüsselungsverfahren und Zertifikate sind hierbei Voraussetzung. Eine VPN-Verbindung schlägt sozusagen eine sichere Schneise durch den wilden Dschungel des Internets. Und wenn Sie per WLAN von der Couch aus arbeiten, sollte natürlich auch ein sicheres WLAN-Passwort und aktuelle WLAN-Technologie verwendet werden.

2. Technik

Kurz gesagt: Vom Unternehmens-Server bis zum Verarbeitungsgerät vor Ort sollte „sichere“ IT eingesetzt worden sein. Idealerweise findet auch die häusliche Verarbeitung auf vom Unternehmen gestellter Hardware statt. Wird private IT eingesetzt, besteht immer die Gefahr, veraltete IT zu verwenden, für die bekannte Sicherheitslücken existieren, deren Betriebssysteme nicht aktuell oder mit den notwendigen Updates versorgt sind oder bei der Installation privater Software auch Schadsoftware mit auf den Rechner gelangt ist.

Die Risiken gehen von der Anfertigung regelmäßiger Screenshots des PCs, dem Mitschneiden von Tastatureingaben, dem Infiltrieren der Unternehmens-IT durch Schadsoftware, Mitschnitten der Kommunikation, Beeinflussung von Kollegen durch Fake Messages, Löschen oder Zwangsverschlüsselung von Daten bis hin zur Nutzung von Unternehmensressourcen für fremde Zwecke.

3. Authentifizierung

Zwischen der regulären und der unberechtigten Nutzung von Unternehmensdaten steht beim Fernzugriff oft nur das Passwort. Dass dies ausreichend komplex und „sicher“ sein soll, versteht sich von selbst. Merksätze zur Herleitung bewirken hier Wunder, eine regelmäßige Veränderung ist nicht zu empfehlen, da hier in der Regel kein nennenswerter Sicherheitszuwachs zu verzeichnen ist.

Moderner und viel sicherer sind die 2-Faktor-Authentifizierung („2FA“), bei der ein zweites Sicherheitsmerkmal wie eine SMS, ein biometrisches Merkmal oder eine Authenticator-App abgefragt wird, oder ein Anmeldeverfahren nach FIDO2-Technik, bei der eine sichere Vertrauensstellung zwischen Sender und Empfänger hergestellt wird. Auch die Einschränkung des Zugriffs auf bestimmte Geräte oder IP-Adressen ist hilfreich, allerdings administrativ aufwendiger.

4. Faktor Mensch

Letztlich ist keine Maßnahme sinnvoll oder sicher, wenn sie aufgrund von Komplexität, Performanceproblemen, Ineffizienz oder Inakzeptanz nicht verwendet wird. Schulungsmaßnahmen und Aufklärung der Anwender sind unabdingbar. Jedes Unternehmen tut gut daran, dies anzubieten, und jedem Mitarbeiter sei empfohlen, die Angebote anzunehmen und nach entsprechenden Sicherheitsmaßnahmen nachzufragen.

 

Bilder: (1) © Rawpixel.com – stock.adobe.com (2) © HM[D]ATA Ing.-Büro für Daten- und Medientechnik

Themen: