Fachartikel

Arbeiten im Home Office: Sechs Grundregeln für mehr Sicherheit

Mit dem Wechsel sehr vieler Mitarbeiter in das Home Office und der damit oft verbundenen Nutzung privater Endgeräte und neuer Werkzeuge für die Zusammenarbeit wie Microsoft Teams und der Nutzung privater WLANs verändern sich die Sicherheitsrisiken. Hier sind auch die Mitarbeiter gefordert, Risiken durch Cyberangriffe zu reduzieren. Wir zeigen sechs Grundregeln für mehr Sicherheit.
Cyber-Awareness-Trainings per Video können Mitarbeiter im Home Office sensibilisieren.
Der ungeplante, sehr kurzfristige und radikale Wechsel der Arbeitsformen von klassischer Büroarbeit zur virtuellen Zusammenarbeit aus dem Home Office stellt die Unternehmens-IT samt IT-Sicherheit vor große Herausforderungen. Sie muss die Arbeitsfähigkeit der Mitarbeiter schaffen und erhalten sowie gleichzeitig die Sicherheitsrisiken im Griff behalten.

Die Cyberkriminellen haben die Situation dabei schon für sich entdeckt. Angriffe mit Bezug auf die Corona-Krise (oder Covid-19) nehmen zu. Dahinter stehen etablierte Angriffsformen wie Ransomware-Attacken und unterschiedliche Formen von Phishing-Attacken. Was sich verändert hat, ist der Einstiegspunkt: Weil sich derzeit wohl jeder für Informationen rund um den Virus und seine Auswirkungen interessiert, wird versucht, Benutzer dazu zu bringen, beispielweise Links auf bösartige Websites anzuklicken oder Anhänge mit Malware zu öffnen.

Der Einstiegspunkt ist, wie schon lange bei der überwiegenden Zahl von Cyberattacken, die "Schwachstelle Mensch". Gerade versuchen Angreifer, das gezielt auszunutzen. Deshalb ist es entscheidend, die Mitarbeiter zu sensibilisieren und mit in die Verantwortung für Cybersicherheit einzubinden. Das ist schnell möglich, wenn Sie sich auf sechs Grundregeln der Cybersicherheit konzentrieren. Diese lassen sich in einem kurzen Webcast oder einem Video [1] vermitteln – fünf Minuten reichen aus, um diese Themen anzusprechen und Mitarbeiter zu sensibilisieren.

1. Gesunden Menschenverstand nutzen
Die erste Regel ist dabei ganz einfach: Benutzen Sie Ihren gesunden Menschenverstand. Mit Blick auf Phishing-Angriffe, Links, Webseiten und so weiter bedeutet das: Was komisch aussieht oder noch nie gemacht wurde (wie beispielsweise eine riesige Überweisung an eine obskure Bank in Hongkong auf Basis einer E-Mail des Geschäftsführers zu veranlassen) ist meistens auch fragwürdig. Hier braucht es dann den Kontakt, den die Nutzer fragen können und ein kleines bisschen Information dazu, was (die eingegangene E-Mail oder nur ein Screenshot?) diese an wen zur Prüfung wie weitergeben (per E-Mail oder Telefon?)

Eine Herausforderug bei vielen Maßnahmen ist, dass sie sich nicht einfach jetzt kurzfristig umsetzen beziehungsweise einführen lassen. Dort, wo private Endgeräte zum Einsatz kommen, muss der Admin nutzen, was da ist. Eine VDI (Virtual Desktop Infrastructure) kurz mal auszurollen, wird in den wenigsten Fällen klappen. Und auch andere Änderungen lassen sich oft nur schwierig kurzfristig umsetzen, geschweige denn in einer Weise, die kein Risiko für die Arbeitsfähigkeit der Mitarbeiter darstellt. Wenn die Mitarbeiter durch Probleme bei der Umstellung nicht mehr arbeiten können, können Sie eben nicht kurz mal in jedem Home Office vorbeischauen.

2. Rechner-Security im Blick behalten
Zum Glück kommen viele Systeme wie beispielsweise Windows bereits mit integrierten Sicherheitslösungen wie dem Microsoft Defender. Wichtig ist aber, dass diese auch genutzt werden. Die zweite Grundregel für mehr Cybersicherheit lautet daher, die Mitarbeiter zu informieren, wo sie den Security-Status erkennen, diesen auch regelmäßig zu prüfen und zu wissen, wo sie nachbessern oder nachfragen können, wenn nicht alles auf grün steht.

Für Mitarbeiter reicht es zu wissen, wo sie die Windows-Sicherheitseinstellungen finden. Entweder geben sie unten links neben dem Windows-Zeichen "Sicherheit" ein oder sie klicken unten rechts in der Symbolleiste auf das nach oben zeigende Dreieck und das entsprechende Symbol. Das lässt sich einfach vermitteln – und wenn es dann beispielsweise eine Seite im Intranet mit allen Informationen zur Problembehebung und Kontaktdaten für Nachfragen gibt, die jeder kennt, kann jeder einzelne viel zur Sicherheit beitragen.
3. E-Mail-Adressen genau überprüfen
Eine weitere wichtige Regel ist der kurze Blick auf die E-Mail-Adressen bei eingehenden Nachrichten. Das ist gerade bei der Arbeit im Home Office sinnvoll, wenn öfter mal auch private E-Mail-Adressen genutzt werden. Auch hier gilt: Anschauen und lieber erst fragen, als gleich unbedacht zu handeln. Und falls das E-Mail-Programm – wie es etwa Microsoft Outlook in Office 365 kann – von sich aus warnt, dann gibt es dafür einen guten Grund. Hier ist dann besondere Vorsicht geboten.

4. Sichere Kennwörter
Weil Sie die Authentifizierungsverfahren oft auch nicht kurzfristig verändern können, gilt es auch, die Benutzer für eine vernünftige Nutzung dessen zu sensibilisieren, was aktuell im Einsatz ist. Die vierte Grundregel lautet also, dass jeder mit seinen Kennwörtern et cetera vernünftig umgehen sollte. PINs und Kennwörter lassen sich oft nicht einfach durch andere Verfahren ersetzen oder ergänzen. Also geht es darum, die Mitarbeiter für sinnvolle PINs und Kennwörter zu sensibilisieren – ausreichend kreativ und lang, aber so, dass sie sich diese merken können. Zur Sensibilisierung hier gehört übrigens auch: Sicherheitsregeln darf man nie umgehen.

5. Vorsicht bei Links
Die fünfte Regel hat wiederum viel mit E-Mails, aber auch der Nutzung von Websites und Anhängen in E-Mails zu tun. Es gibt gute Links und es gibt böse Links. Bevor Benutzer einen Link anklicken oder – noch schlimmer – ein angefügtes Dokument öffnen, sollte jeder erst kurz innehalten, nachdenken und genau schauen. Fährt der Nutzer mit der Maus über einen Link, ohne zu klicken, sollte der Link immer noch echt aussehen. Und auch dann gilt: Vorsicht – muss der Link wirklich angeklickt werden? Im Zweifel besser nachfragen. Und Dokumente intern nie als Anhang versenden, sondern über Kollaborationsplattformen wie die von Microsoft oder Google teilen und nur die Links kommunizieren.

6. Privates Sicherheitslevel nicht unterschreiten
Die sechste und letzte Regel hat schließlich wieder viel mit dem gesunden Menschenverstand zu tun und ist ganz einfach zu vermitteln. Sie lautet: "Würde ich das auch privat machen?" Da jeder auch privat Nutzer von Computern und Smartphones ist, gelten alle genannten Regeln auch dort. Das Interesse an mehr Cybersicherheit ist gegeben. Und für die geschäftliche Nutzung gilt: Machen Sie nichts, was Sie nicht auch privat machen würden, sondern eher noch weniger – es sei denn, es gibt eine entsprechende Anweisung aus vertrauenswürdiger Quelle, also dem IT-Sicherheitsbereich des Unternehmens. Und wenn sich jemand nicht sicher ist: Den gesunden Menschenverstand einschalten.

Ergänzende Maßnahmen
Wenn wir in der IT über ergänzende Maßnahmen nachdenken, bieten sich vor allem zwei Schritte an. Zum einen gibt es gerade bei Clouddiensten viele Sicherheitsfunktionen, die Sie ergänzend nutzen können. Office 365 bietet über Microsoft EMS (Enterprise Mobility & Security) beispielsweise etliche Sicherheitsfunktionen, die sich ergänzend buchen lassen. Auch hier gilt es aber, genau zu überlegen, ob das auch beherrschbar ist und wirklich zu mehr Sicherheit führt.

Das gilt vor allem auch für den zweiten Schritt: Mehrfaktorauthentifizierung. Diese ist heutzutage eigentlich ein Muss und kann die Phishing-Risiken und andere Angriffsrisiken deutlich reduzieren. Aber Vorsicht: Das Aktivieren derartiger Funktionen hat Auswirkungen auf die Benutzer. Sie muss geplant sowie getestet sein und vorab kommuniziert werden. Und Sie müssen wissen, wie Sie als auch die Benutzer mit auftretenden Problemen umgehen. Falls Sie diesen Schritt also gerade jetzt machen möchten mit all den Mitarbeitern im Home Office, ist eine gründliche Vorbereitung gefragt, damit es nicht gründlich schief geht.

Fazit
Schon mit wenigen Minuten kondensiertem Cybersecurity-Awareness-Training lassen sich Risiken durch Cyberangriffe reduzieren. Und jeder Schritt zu weniger Risiko hilft, die Arbeit im Home Office sicherer zu machen. (nl20141)
26.03.2020/Martin Kuppinger/dr

Nachrichten

Verschlüsselte Micro-SSD mit Anti-Malware-Quarantäne [29.05.2020]

Als hardwareverschlüsselte microSATA SSD eignet sich Sentry K300 von DataLocker für den sicheren Transport kritischer Daten. Im Zuge eines Firmware-Updates auf Version 6.3.1 stellt der Anbieter Nutzern zusätzliche Funktionen für den USB-Datenspeicher zur Verfügung, darunter die Laufwerks-Bereinigung und die Anti-Malware-Quarantäne. [mehr]

Schwachstellensuche als Service [27.05.2020]

Aufgrund der wachsenden Bedrohungslage und gezielteren Cyberangriffe erweitert Allgeier CORE sein Security-as-a-Service-Portfolio um das Schwachstellenmanagement des finnischen Herstellers F-Secure. Bei F-Secure Radar handelt es sich um eine schlüsselfertige Schwachstellenscanning- und -management-Plattform. Sie ermöglicht es Anwendern, interne sowie externe Gefahren zu erkennen und zu verwalten. [mehr]

Tipps & Tools

Vorschau Juni 2020: Hybrid Cloud [25.05.2020]

Längst stehen Firmen mit einem Fuß in der Cloud. Um den Übergang in die Wolke möglichst reibungslos zu gestalten, dreht sich der Schwerpunkt im Juni-Heft um das Thema "Hybrid Cloud". Darin zeigen wir unter anderem, wie sich Firmen eine passende Hybrid-Cloud-Strategie zurechtlegen und gleichzeitig die Business Continuity im Blick behalten. Außerdem erfahren Sie, wie Sie Windows Virtual Desktop mit freien Tools verwalten und Azure AD Connect in Betrieb nehmen. In den Tests tritt unter anderem Virtana CloudWisdom zur Kostenoptimierung bei Cloudressourcen an. [mehr]

Proxmox VE 6.2 freigegeben [22.05.2020]

Die Proxmox Server Solutions GmbH hat eine neue Version Ihrer Open-Source-Virtualisierungslösung für Server veröffentlicht: Proxmox VE 6.2 basiert auf Debian Buster 10.4, nutzt den Linux-Longterm-Kernel 5.4 und integriert verschiedene neue Funktionen. [mehr]

Buchbesprechung

Technik der IP-Netze

von Anatol Badach und Erwin Hoffmann

Anzeigen