Wie können IT-Verantwortliche in Zeiten des Coronavirus für ein sicheres Homeoffice sorgen?

Wegen der Coronavirus-Pandemie (COVID-19) hat sich nicht nur unser Alltag stark verändert, auch die Arbeitswelt hat eine rasante Entwicklung hin zum Homeoffice gemacht. Die Umstellung geschah sehr plötzlich, sodass selbst große Unternehmen aus dem Silicon Valley mit Problemen zu kämpfen haben. Ebenso zügig haben allerdings auch Internetkriminelle auf diese Veränderung reagiert und nutzen die bisher ungewohnte Situation aus, um sich Zugriff auf wertvolle Unternehmensdaten zu verschaffen. Daher ist es für Arbeitgeber sehr wichtig, den Beschäftigten eine sichere Homeoffice-Umgebung bereitzustellen. Wir stellen im Folgenden eine Anleitung für IT-Verantwortliche mit den wichtigsten Punkten rund um ein sicheres Homeoffice bereit.


Ihr Unter­nehmen ist von der Corona-Krise betroffen? Beratungs­leistungen werden vom Bund zu 100 Prozent bezu­schusst, bis zu einem Rechnungsbetrag von 4.000 Euro. aramido ist beim BAFA akkreditiert und als förder­fähige Beratung qualifiziert.

Endgeräte absichern

Der erste Schritt hin zu einem sicheren Homeoffice ist zugleich auch der naheliegendste: Für ein sicheres Homeoffice muss das Arbeitsgerät möglichst sicher sein. Dabei meint „Sicherheit“ den Schutz der Arbeitsgeräte sowohl vor unbefugter Einsichtnahme und Manipulationen durch Angriffe als auch der Schutz vor Ausfällen.

Um die Vertraulichkeit der Unternehmensdaten zu gewährleisten, sollte die Nutzung von Privatgeräten möglichst vermieden werden. Einerseits hat ein Unternehmen keinen Einfluss auf deren Konfiguration (Antivirenprogramm, Firewall, Updates) und andererseits könnten Privatgeräte schon vor dem Einsatz im Homeoffice infiziert sein, ohne dass dem Arbeitnehmer dies bewusst ist. Außerdem bieten Privatgeräte, die unter Umständen von mehreren Familienmitgliedern genutzt werden, keine hohe Integrität oder Vertraulichkeit. Daher sollte in Erwägung gezogen werden, sicher eingerichtete Firmenlaptops bereitzustellen. Im Zuge dessen sollte nach Möglichkeit auch eine 2-Faktor-Authentifizierung eingesetzt werden, damit der Diebstahl des Nutzer-Passworts nicht unmittelbar zur kompletten Übernahme des Geräts führen kann.

Neben der digitalen Sicherheit ist auch die physische Sicherheit des Endgerätes ein wichtiger Punkt. Da sich im Homeoffice kleine Kindern oder Haustiere in unmittelbarer Nähe befinden, ist ein physikalischer Schaden am Gerät wesentlich wahrscheinlicher als im Büro. Daher sollte im Sinne der Gewährleistung der Verfügbarkeit auch über eine praktikable Backup-Strategie nachgedacht werden, damit im Falle eines Schadens der Datenverlust und der Arbeitsausfall möglichst gering sind. Ansätze hierfür könnten beispielsweise der Einsatz eines Netzlaufwerkes oder von Kollaborationsprogrammen aus der eigenen oder öffentlichen Cloud sein.

WLAN der Arbeitnehmer absichern

Viele Heimnetzwerke sind nach unserer Erfahrung nur unzureichend geschützt. Ein solch unsicheres Netzwerk bietet keine gute Voraussetzung für sichere Telearbeit und sollte daher ebenfalls abgesichert werden - eine Kette ist schließlich nur so stark wie ihr schwächstes Glied. Zwar hat ein Arbeitgeber keinen Einfluss auf die Konfiguration des WLAN-Netzwerkes der Beschäftigten, es könnte aber dennoch lohnenswert sein, den Beschäftigten Anleitungen bereitzustellen, wie sie beispielsweise ein sicheres Kennwort wählen und unnötige Dienste ihres Routers deaktivieren können. Hilfestellungen dazu finden sich in unserem Artikel zu sieben Empfehlungen für ein sicheres WLAN .

Datenverkehr absichern

Zusätzlich zur Absicherung des heimischen WLAN-Netzwerkes ist die Verschlüsselung des gesamten Datenverkehrs ein wirksames Mittel, um das Abfangen von E-Mails, Passwörtern oder wichtigen Dokumenten zu verhindern. Um dies umzusetzen wird häufig ein firmeninternes VPN eingesetzt, welches die gesamte Kommunikation verschlüsselt. Somit können die Beschäftigten verschlüsselt auf das firmeneigene Netzwerk zugreifen, ohne dass ein Angreifer die Möglichkeit hat, durch Abhören der Kommunikation an wichtige Daten zu gelangen. Ein VPN bietet zudem den Vorteil, dass die Kommunikation selbst von solchen Anwendungen abgesichert wird, welche von sich aus keine sichere Datenübertragung unterstützen.

Klare Hilfestellung geben und eindeutige Kommunikationskanäle anbieten

Viele Angreifer nutzen die allgemeine Unsicherheit Rund um das Coronavirus und die Verunsicherung der Beschäftigten aus, um sie zur Herausgabe von Passwörtern oder zur Installation eines vermeintlich notwendigen Programms zur Telearbeit zu bringen. Daher ist es für IT-Verantwortliche wichtig, den Beschäftigten diese Unsicherheit zu nehmen, indem sie beispielsweise klar benennen, an wen sich Beschäftigte bei Fragen wenden sollen oder welche Kommunikationswege ihnen offen stehen. Außerdem sollten die Beschäftigten ermutigt werden, Fragen zu stellen, wenn sie Probleme beim Einrichten ihres Systems haben. Damit wird vermieden, dass Beschäftigte in Eigenregie (und somit an der Administration vorbei) nach möglicherweise unsicheren Lösungen suchen, sich eigenständig Programme installieren oder Passwörter an unbefugte Dritte herausgeben.

Zusätzlich muss die IT-Administration bestmöglich auf die steigende Anzahl an Supportanfragen vorbereitet werden, indem zum Beispiel unkritische Projekte nach hinten verschoben werden oder die Mitarbeiteranzahl erhöht wird. Außerdem helfen auch hier ausführliche Anleitungen dabei, dass die Beschäftigten viele Probleme selbstständig bewältigen können.

Beschäftigte sensibilisieren

Wie schon im letzten Punkt erwähnt ist Social Engineering für Kriminelle eine vielversprechende Möglichkeit, Schadsoftware einzuschleusen oder Passwörter zu stehlen. Um dies nach Möglichkeit zu verhindern, sollten die Beschäftigten hinsichtlich der erhöhten Anzahl an Phishing E-Mails sensibilisiert und ermutigt werden, E-Mails noch kritischer als zuvor auf ihre Glaubwürdigkeit hin zu überprüfen.

Die Beschäftigten sollten außerdem auf die Trennung von Privatem und Beruflichem hingewiesen werden. Gerade weil im Homeoffice Berufliches und Privates sehr nah beieinander liegen, kann man schnell dazu neigen, eine private E-Mail auf dem Firmenlaptop zu öffnen oder einen privaten Messenger-Dienst auf dem Firmenlaptop zu installieren. So kann es dann passieren, dass man auf einen von Freunden versendeten Link klickt oder einen E-Mail-Anhang mit einer vermeintlichen Rechnung auf dem Arbeitslaptop öffnet, welcher sich dann als Malware herausstellt. Auf diesem Weg kann sich Malware, die sich sonst nur im privaten Umfeld verbreitet hätte, nun auch im Unternehmensumfeld ausbreiten.

Bedrohungsmodell anpassen

Ein wichtiger Punkt ist außerdem, dass sich beim Wechsel hin zum Homeoffice das Bedrohungsmodell grundlegend ändert. Wir beobachten, dass im Rahmen des Verfügbarmachens von ursprünglich internen Diensten ins öffentliche Internet, die Angriffsoberflächen vergrößern. Vormals eher unwahrscheinliche Bedrohungsszenarien, bei denen ein Angreifer erst Permiter-Schutzmaßnahmen überwunden haben musste, werden nun wahrscheinlicher. Die Sicherheitskonzepte müssen sich daher vermehrt auf die Sicherstellung der Vertrauenswürdigkeit der Geräte und Nutzeridentitäten fokussieren und Unternehmen müssen auf Vorfälle vorbereitet sein (Assume-Breach-Paradigma).

Um diesen neuen Szenarien entsprechend zu begegnen, kann beispielsweise eine stärkere Segmentierung des internen Netzwerks bis hin zu einer Mikrosegmentierung einzelner Dienste sinnvoll sein. Außerdem sollten strengere Zugriffskontrollen eingeführt werden. Damit können die Benutzergruppen, die auf bestimmte Ressourcen des Netzwerkes Zugriff haben, stärker eingeschränkt werden. Dies führt dazu, dass im Falle einer Infektion sich diese nicht im gesamten Netzwerk ausbreiten kann. Ein wichtiger Leitsatz lautet in diesem Zusammenhang „Authentifizierung ist nicht gleich Autorisierung“ - nur weil ein Gerät und Nutzer Zugang zum Firmennetz hat, sollten sie nicht automatisch befugt sein, auf sensible Daten zuzugreifen. Hierfür sollten zusätzliche Autorisierungsprüfungen eingesetzt werden.

Es ist ebenfalls wichtig zu bedenken, dass wegen der eingesetzten Programme zur Telearbeit neue Ports und Dienste nach außen in das Internet exponiert sein könnten. Hier kann ebenfalls der Einsatz eines VPNs helfen, um die Anzahl der öffentlich erreichbaren Dienste möglich gering zu halten. Zusätzlich ist es wichtiger denn je die „Sichtbarkeit von außen“ durch regelmäßige Schwachstellenscans zu überprüfen.

Jonas Lehmann

Am 03.04.2020 in der Kategorie Sicherheitshinweise veröffentlicht.