IT-Sicherheit im Homeoffice

IT-Sicherheit im Homeoffice

Homeoffice ja – aber wer denkt an das Backend? Der Schritt ins Homeoffice konnte zu Beginn des Jahres 2020 bei den meisten Unternehmen recht schnell durchgeführt werden. Aber im Bereich der IT gibt es viel zu beachten.

Während des ersten Teil-Lockdowns wurden viele Mitarbeiter von Ihren Unternehmen ins Homeoffice oder Mobile Office geschickt, um jegliches Risiko zu minimieren. Homeoffice scheint zu funktionieren und zu skalieren – aber tut das die IT-Infrastruktur auch? Und was ist mit der Sicherheit?

Der erste notwendige Schritt, um eine Arbeitsweise wie Homeoffice oder Mobile Office vernünftig umzusetzen, sind firmeneigene und qualitativ hochwertige Endgeräte, zumeist Notebooks. Das ist fast das kleinste Problem, da die letzten Jahre immer mehr Notebooks als Endgeräte verwendet werden. Problematisch waren eher kurzfristige Hardwarebeschaffungen von manchen Herstellern, da diese Zulieferungen direkt aus der Region Wuhan bezogen, dem potenziellen Ursprung des SARS-CoV-2-Erregers.

Ein Endgerät allein reicht aber nicht aus, um arbeiten zu können. Der nächste Schritt für IT-Sicherheit im Homeoffice ist der korrekte Zugriff auf alle relevanten Daten und Applikationen - Ein König, wer hier schon vorgearbeitet und Dokumentationen der benötigten Prozesse in ruhigeren Zeiten erstellt hat. Hier zählt zuallererst die Cloud hinzu, die aufgrund der Architektur von Zuhause erreichbar ist. Aber hierzu zählen auch diverse Anwendungen und Daten, die im Unternehmen selbst liegen. PPS, Rechnungswesen, Fileserver und viele Dienste mehr müssen für die Homeoffice-Benutzer verwendbar sein. Realisiert werden kann das über eine Remote-Access-Lösung per SSL-VPN. Hier gilt es, jedem Benutzer (bzw. der Benutzergruppen) die korrekten Berechtigungen zu vergeben (principle of least privilege). Ein genaues Abwägen zwischen Arbeitskomfort (der Benutzer kommt problemlos auf alle notwendigen Dienste) und Sicherheit (der Benutzer kommt NUR auf die notwendigen Dienste) ist sehr wichtig. Kleine Stellschrauben können den Unterschied zwischen „der interne Helpdesk geht unter“ und „Open House ohne Sicherheit“ machen.

Laut Statista (Quelle: Statistisches Bundesamt) haben im Jahr 2019 nur gut 1/3 aller Unternehmen VPNs im Einsatz. Zur Klarstellung: Für die IT-Sicherheit ist ein Zugriff auf das Unternehmensnetzwerk ohne verschlüsselte Verbindung ein absolutes No-Go.

Ebenfalls wichtig: Die Sicherheit auf dem Endgerät muss beachtet werden. Da ein Notebook im Homeoffice üblicherweise wesentlich exponierter im Internet steht als im Unternehmen hinter der Corporate-Firewall, muss hierauf ein besonderes Augenmerk gelegt werden. Und auch hier muss der für alle Seiten passende Mittelweg gefunden werden: Dürfen sich die Notebooks nativ im Internet bewegen, dann ist ein stärkerer Fokus auf die Security zu legen, z. B. durch eine KI-basierte Endpoint-Security-Lösung, die auch in Echtzeit Bedrohungen erkennt und entsprechend schnell reagiert. Ein Heimarbeitsplatz durch seine logischen „2 Beine“ (Internet sowie Zugriff auf das Unternehmensnetzwerk) ist ein beliebtes Einfallstor für Schadsoftware. Einfache Pattern-basierte Lösungen sind dieser Bedrohungslage nicht mehr gewachsen.

Haben Sie sich Gedanken gemacht, wie Benutzer telefonieren? Firmentelefone am Unternehmensarbeitsplatz sind im Homeoffice (aufgrund des räumlichen Abstands) meist nur schwerlich zu verwenden. Telefonie über die Cloud kann eine optimale Lösung darstellen. Sie funktioniert von überall und ist somit nicht auf eine direkte Verbindung in das Unternehmen angewiesen. Außerdem kann als Endgerät das Mobiltelefon verwendet werden. Gerade weil über diese Art der Kommunikation im Homeoffice recht viel passiert, gilt es, auf Sicherheit zu achten! Eine interne Compliance-Policy, was an Daten über diesen Weg ausgetauscht werden darf, ist zu empfehlen.

Kommen wir aber allgemein zum Thema Videokonferenz. Wir sprechen meist von Cloud-Anwendungen, die Besprechungen im kleineren, aber auch im größeren Stil ermöglichen. Und zwar interne Meetings ebenso wie Konferenzen mit Kunden und Lieferanten. Aus diesem Grund ist der Datenschutz hierbei ein sehr wichtiger und nicht zu vernachlässigender Faktor. Bei einer Lösung aus der EU stehen die Chancen sehr gut, dass diese DSGVO-konform verwendet werden kann. Sollten Sie eine Lösung aus anderen Ländern oder Kontinenten anstreben, sollten Sie die üblichen vertraglichen Konstrukte wie z. B. „Angemessenheitsbeschluss der EU-Kommission“ und „Standardvertragsklauseln“ prüfen.

Aber es gibt auch organisatorisch im Unternehmen wichtige Hausaufgaben, die umzusetzen sind. Sind Ihre Prozesse darauf ausgelegt, Abteilungen und Projektteams über die Entfernung hinweg effektiv arbeiten zu lassen? Sind die Wege, Abläufe und Verantwortlichkeiten jedem Mitarbeiter bekannt (oder kann er diese nachschlagen)? Und nicht zu vergessen: Funktionieren die Prozesse überhaupt „paperless“?

Das ist nur ein kleiner Abriss, zeigt aber, dass für IT-Sicherheit im Homeoffice viele Dinge zu beachten sind, technisch wie auch organisatorisch – im Frontend wie auch im Backend. Kommen Sie bei Fragen gerne auf uns zu, wir unterstützen Sie.

< Zurück zur Übersicht
Home | Insights | Blog | IT-Sicherheit im Homeoffice