Fachartikel

Arbeiten im Home Office: Sechs Grundregeln für mehr Sicherheit

Mit dem Wechsel sehr vieler Mitarbeiter in das Home Office und der damit oft verbundenen Nutzung privater Endgeräte und neuer Werkzeuge für die Zusammenarbeit wie Microsoft Teams und der Nutzung privater WLANs verändern sich die Sicherheitsrisiken. Hier sind auch die Mitarbeiter gefordert, Risiken durch Cyberangriffe zu reduzieren. Wir zeigen sechs Grundregeln für mehr Sicherheit.
Cyber-Awareness-Trainings per Video können Mitarbeiter im Home Office sensibilisieren.
Der ungeplante, sehr kurzfristige und radikale Wechsel der Arbeitsformen von klassischer Büroarbeit zur virtuellen Zusammenarbeit aus dem Home Office stellt die Unternehmens-IT samt IT-Sicherheit vor große Herausforderungen. Sie muss die Arbeitsfähigkeit der Mitarbeiter schaffen und erhalten sowie gleichzeitig die Sicherheitsrisiken im Griff behalten.

Die Cyberkriminellen haben die Situation dabei schon für sich entdeckt. Angriffe mit Bezug auf die Corona-Krise (oder Covid-19) nehmen zu. Dahinter stehen etablierte Angriffsformen wie Ransomware-Attacken und unterschiedliche Formen von Phishing-Attacken. Was sich verändert hat, ist der Einstiegspunkt: Weil sich derzeit wohl jeder für Informationen rund um den Virus und seine Auswirkungen interessiert, wird versucht, Benutzer dazu zu bringen, beispielweise Links auf bösartige Websites anzuklicken oder Anhänge mit Malware zu öffnen.

Der Einstiegspunkt ist, wie schon lange bei der überwiegenden Zahl von Cyberattacken, die "Schwachstelle Mensch". Gerade versuchen Angreifer, das gezielt auszunutzen. Deshalb ist es entscheidend, die Mitarbeiter zu sensibilisieren und mit in die Verantwortung für Cybersicherheit einzubinden. Das ist schnell möglich, wenn Sie sich auf sechs Grundregeln der Cybersicherheit konzentrieren. Diese lassen sich in einem kurzen Webcast oder einem Video [1] vermitteln – fünf Minuten reichen aus, um diese Themen anzusprechen und Mitarbeiter zu sensibilisieren.

1. Gesunden Menschenverstand nutzen
Die erste Regel ist dabei ganz einfach: Benutzen Sie Ihren gesunden Menschenverstand. Mit Blick auf Phishing-Angriffe, Links, Webseiten und so weiter bedeutet das: Was komisch aussieht oder noch nie gemacht wurde (wie beispielsweise eine riesige Überweisung an eine obskure Bank in Hongkong auf Basis einer E-Mail des Geschäftsführers zu veranlassen) ist meistens auch fragwürdig. Hier braucht es dann den Kontakt, den die Nutzer fragen können und ein kleines bisschen Information dazu, was (die eingegangene E-Mail oder nur ein Screenshot?) diese an wen zur Prüfung wie weitergeben (per E-Mail oder Telefon?)

Eine Herausforderug bei vielen Maßnahmen ist, dass sie sich nicht einfach jetzt kurzfristig umsetzen beziehungsweise einführen lassen. Dort, wo private Endgeräte zum Einsatz kommen, muss der Admin nutzen, was da ist. Eine VDI (Virtual Desktop Infrastructure) kurz mal auszurollen, wird in den wenigsten Fällen klappen. Und auch andere Änderungen lassen sich oft nur schwierig kurzfristig umsetzen, geschweige denn in einer Weise, die kein Risiko für die Arbeitsfähigkeit der Mitarbeiter darstellt. Wenn die Mitarbeiter durch Probleme bei der Umstellung nicht mehr arbeiten können, können Sie eben nicht kurz mal in jedem Home Office vorbeischauen.

2. Rechner-Security im Blick behalten
Zum Glück kommen viele Systeme wie beispielsweise Windows bereits mit integrierten Sicherheitslösungen wie dem Microsoft Defender. Wichtig ist aber, dass diese auch genutzt werden. Die zweite Grundregel für mehr Cybersicherheit lautet daher, die Mitarbeiter zu informieren, wo sie den Security-Status erkennen, diesen auch regelmäßig zu prüfen und zu wissen, wo sie nachbessern oder nachfragen können, wenn nicht alles auf grün steht.

Für Mitarbeiter reicht es zu wissen, wo sie die Windows-Sicherheitseinstellungen finden. Entweder geben sie unten links neben dem Windows-Zeichen "Sicherheit" ein oder sie klicken unten rechts in der Symbolleiste auf das nach oben zeigende Dreieck und das entsprechende Symbol. Das lässt sich einfach vermitteln – und wenn es dann beispielsweise eine Seite im Intranet mit allen Informationen zur Problembehebung und Kontaktdaten für Nachfragen gibt, die jeder kennt, kann jeder einzelne viel zur Sicherheit beitragen.
3. E-Mail-Adressen genau überprüfen
Eine weitere wichtige Regel ist der kurze Blick auf die E-Mail-Adressen bei eingehenden Nachrichten. Das ist gerade bei der Arbeit im Home Office sinnvoll, wenn öfter mal auch private E-Mail-Adressen genutzt werden. Auch hier gilt: Anschauen und lieber erst fragen, als gleich unbedacht zu handeln. Und falls das E-Mail-Programm – wie es etwa Microsoft Outlook in Office 365 kann – von sich aus warnt, dann gibt es dafür einen guten Grund. Hier ist dann besondere Vorsicht geboten.

4. Sichere Kennwörter
Weil Sie die Authentifizierungsverfahren oft auch nicht kurzfristig verändern können, gilt es auch, die Benutzer für eine vernünftige Nutzung dessen zu sensibilisieren, was aktuell im Einsatz ist. Die vierte Grundregel lautet also, dass jeder mit seinen Kennwörtern et cetera vernünftig umgehen sollte. PINs und Kennwörter lassen sich oft nicht einfach durch andere Verfahren ersetzen oder ergänzen. Also geht es darum, die Mitarbeiter für sinnvolle PINs und Kennwörter zu sensibilisieren – ausreichend kreativ und lang, aber so, dass sie sich diese merken können. Zur Sensibilisierung hier gehört übrigens auch: Sicherheitsregeln darf man nie umgehen.

5. Vorsicht bei Links
Die fünfte Regel hat wiederum viel mit E-Mails, aber auch der Nutzung von Websites und Anhängen in E-Mails zu tun. Es gibt gute Links und es gibt böse Links. Bevor Benutzer einen Link anklicken oder – noch schlimmer – ein angefügtes Dokument öffnen, sollte jeder erst kurz innehalten, nachdenken und genau schauen. Fährt der Nutzer mit der Maus über einen Link, ohne zu klicken, sollte der Link immer noch echt aussehen. Und auch dann gilt: Vorsicht – muss der Link wirklich angeklickt werden? Im Zweifel besser nachfragen. Und Dokumente intern nie als Anhang versenden, sondern über Kollaborationsplattformen wie die von Microsoft oder Google teilen und nur die Links kommunizieren.

6. Privates Sicherheitslevel nicht unterschreiten
Die sechste und letzte Regel hat schließlich wieder viel mit dem gesunden Menschenverstand zu tun und ist ganz einfach zu vermitteln. Sie lautet: "Würde ich das auch privat machen?" Da jeder auch privat Nutzer von Computern und Smartphones ist, gelten alle genannten Regeln auch dort. Das Interesse an mehr Cybersicherheit ist gegeben. Und für die geschäftliche Nutzung gilt: Machen Sie nichts, was Sie nicht auch privat machen würden, sondern eher noch weniger – es sei denn, es gibt eine entsprechende Anweisung aus vertrauenswürdiger Quelle, also dem IT-Sicherheitsbereich des Unternehmens. Und wenn sich jemand nicht sicher ist: Den gesunden Menschenverstand einschalten.

Ergänzende Maßnahmen
Wenn wir in der IT über ergänzende Maßnahmen nachdenken, bieten sich vor allem zwei Schritte an. Zum einen gibt es gerade bei Clouddiensten viele Sicherheitsfunktionen, die Sie ergänzend nutzen können. Office 365 bietet über Microsoft EMS (Enterprise Mobility & Security) beispielsweise etliche Sicherheitsfunktionen, die sich ergänzend buchen lassen. Auch hier gilt es aber, genau zu überlegen, ob das auch beherrschbar ist und wirklich zu mehr Sicherheit führt.

Das gilt vor allem auch für den zweiten Schritt: Mehrfaktorauthentifizierung. Diese ist heutzutage eigentlich ein Muss und kann die Phishing-Risiken und andere Angriffsrisiken deutlich reduzieren. Aber Vorsicht: Das Aktivieren derartiger Funktionen hat Auswirkungen auf die Benutzer. Sie muss geplant sowie getestet sein und vorab kommuniziert werden. Und Sie müssen wissen, wie Sie als auch die Benutzer mit auftretenden Problemen umgehen. Falls Sie diesen Schritt also gerade jetzt machen möchten mit all den Mitarbeitern im Home Office, ist eine gründliche Vorbereitung gefragt, damit es nicht gründlich schief geht.

Fazit
Schon mit wenigen Minuten kondensiertem Cybersecurity-Awareness-Training lassen sich Risiken durch Cyberangriffe reduzieren. Und jeder Schritt zu weniger Risiko hilft, die Arbeit im Home Office sicherer zu machen. (nl20141)
26.03.2020/Martin Kuppinger/dr

Nachrichten

Zugriffe zentral verwalten [12.08.2020]

Mit den erweiterten Funktionalitäten des Secret Server von Thycotic sollen Unternehmen von einer erhöhten Cloud-Transparenz und plattformübergreifenden Kontrollen sowie mehr Sicherheit für remote-arbeitende Teams profitieren. Laut Hersteller haben bereits über 75 Prozent der Unternehmen mehrere Cloudplattformen im Einsatz, weshalb plattformübergreifende Sicherheit vonnöten ist. Zusätzlich zu den bereits vorhandenen Erkennungsfunktionen für AWS ermöglicht die neueste Version des Secret Servers, auch Google Cloud und Azure mit konsistenten PAM-Richtlinien und -Verfahren zu managen und abzusichern. [mehr]

WLAN in Gefahr [10.08.2020]

ESET-Forscher haben Sicherheitslücken in Geräten mit WiFi-Chips der Hersteller Qualcomm und MediaTek entdeckt. Hacker können diese Schwachstellen (CVE-2020-3702) ausnutzen, um den eigentlich verschlüsselten WLAN-Verkehr mitzulesen oder eigene Datenpakete einzuschleusen. Nach aktuellen Erkenntnissen handelt es sich um Router der bekannten Firmen D-Link und Asus. Doch nicht nur Router sonder auch Microsoft Azure Sphere, eine spezielle IoT-Umgebung für Unternehmen, ist betroffen. Das Development Kit für Azure Sphere hat einen MediaTek-Chip verbaut, der auch diese Schwachstelle aufweist.  [mehr]

Tipps & Tools

SUSE übernimmt Rancher Labs [17.07.2020]

SUSE hat mit dem US-Open-Source-Unternehmen Rancher Labs den Anbieter einer marktführenden Kubernetes-Managementplattform akquiriert. Rancher Labs' Plattform ist für die Verwaltung sehr großer Kubernetes-Installationen ausgelegt und unterstützt dabei auch Multiclouds. [mehr]

vCenter-Zertifikat austauschen [7.06.2020]

Jede vCenter-Serverinstanz hat nach der Installation ein selbst ausgestelltes Zertifikat. Sobald die Website der vCSA aufgerufen wird, erscheint eine Warnung bezüglich der Sicherheit. Um dies zu verhindern, können Sie entweder das Root-Zertifikat herunterladen und in den vertrauenswürdigen Speicher installieren oder das Machine-Zertifikat gegen ein eigenes ersetzen. Unser Tipp zeigt, wie das funktioniert.  [mehr]

Buchbesprechung

Microsoft Office 365

von Markus Widl

Anzeigen