Viele Unternehmen haben in der letzten Zeit aufgrund des Coronavirus für Ihre Mitarbeiterinnen und Mitarbeiter kurzfristig Home-Office Möglichkeiten geschaffen. Damit dieser Schritt nicht zu Lasten der Cyber-Security geht, müssen Unternehmen wie Mitarbeitende verschiedene Maßnahmen ergreifen, um die IT-Sicherheit weiter zu gewährleisten.
Wir haben uns mit Experte Mario Jandeck, dem Geschäftsführer der Enginsight GmbH aus Jena, zu dem Thema unterhalten und verschiedene Handlungsempfehlungen für KMU zusammengetragen:
-
Welche Maßnahmen müssen Unternehmen ergreifen, damit die IT-Sicherheit auch im Home Office gewährleistet bleibt?
Wenn Geräte die Netzinfrastruktur des Unternehmens verlassen und sich zu Hause mit einem neuen Netzwerk verbinden, um auf das Internet zuzugreifen, ist Vorsicht geboten. Schließlich ist davon auszugehen, dass in den Heimnetzwerken nicht die gleichen Sicherheitsstandards umgesetzt sind wie im Unternehmensnetzwerk. So sind beispielsweise eine veraltete Firmware des Routers oder andere ungeschützte Geräte, die sich im Netzwerk befinden, aus Sicht der Cyber Security bedenklich. Deshalb sollte die Sicherheit der Heimnetzwerke evaluiert werden. Sinnvoll ist in jedem Fall der Einsatz eines VPN-Dienstes.
Um auf das gestiegene Risiko angemessen zu reagieren, sollten die unternehmenseigenen Geräte nochmals auf bekannte Sicherheitslücken gescannt und Updates, die diese beheben, eingespielt werden. Des Weiteren sollte in Betracht gezogen werden, Zugriffsrechte einzuschränken, die die Mitarbeitenden nicht unbedingt benötigen.
Die IT-Abteilung sollte zudem weiterhin Zugriff auf sicherheitstechnische Überwachungsdaten haben, um auf neu auftretende Schwachstellen oder Unregelmäßigkeiten reagieren zu können.
-
Was ist in Bezug auf den Datenschutz zu beachten?
Sollten die Mitarbeitenden im Home-Office auf personenbezogene Daten Zugriff besitzen, spielen Fragen des Datenschutzes selbstverständlich eine zentrale Rolle. Es muss sichergestellt sein, dass keine unbefugte Person Zugriff auf die sensiblen Daten bekommen. Das gilt digital wie analog.
Artikel 32 der DSVGO verpflichtet zudem zu „geeigneten technischen und organisatorischen Maßnahmen“ zum Schutz der Daten. Dazu gehört „ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit“. Die eben behandelten Fragen der IT-Sicherheit im Homeoffice sind also auch aus Datenschutzsicht relevant, insbesondere die weiterhin vorhandene sicherheitstechnische Überwachung.
-
Wie können die Mitarbeitenden selbst zur IT-Sicherheit beitragen?
Die generellen Maßgaben gelten selbstverständlich weiterhin. Sollte einem Mitarbeitenden etwas seltsam vorkommen, ist dies der zuständigen Person zu melden. Bei E-Mails von unbekannten Absendern ist weiterhin Vorsicht geboten. Hacker haben zudem speziell das Thema Corona als Lockmittel für sich entdeckt. Mit angeblich exklusiven Informationen oder dringend zu ergreifenden Maßnahmen, bspw. aufgrund von Filialschließungen, versuchen sie bei ihren Opfern ein bestimmtes Verhalten zu provozieren. Das können klassische Phishing-Versuche sein. Aber auch die unbemerkte Installation einer Malware durch das Öffnen von E-Mailanhängen oder das Besuchen einer Webseite kamen schon in Zusammenhang mit Corona-Inhalten vor. Bei E-Mails und Webseiten zum Thema Corona sollte die Belegschaft daher in Zukunft besonders wachsam sein.
-
Welche Maßnahmen sollte ein Unternehmen darüber hinaus ergreifen, um sich vor Cyber-Angriffen zu schützen?
Die meisten Hackerattacken nutzen weiterhin Fehler im kleinen Einmaleins der IT-Sicherheit aus. Das heißt entweder ein Fehlverhalten von Mitarbeitenden, bspw. durch das Öffnen eines infizierten E-Mail-Anhangs, die Verwendung unsicherer Passwörter oder nicht durchgeführte Sicherheitsupdates von Anwendungen und Betriebssystemen.
Deshalb ist es zunächst einmal wichtig, das Thema IT-Sicherheit durch die Schulung von Mitarbeitenden in der Unternehmenskultur zu verankern und IT-Sicherheits-Verantwortliche zu bestimmen.
Der erste Schritt der technischen Absicherung ist dann die Verschaffung eines Überblicks, die Inventarisierung aller Geräte und die Visualisierung der IT-Infrastruktur. Als Zweites ist es sinnvoll, eine Instanz zu schaffen, die alle vorhandenen Geräte auf sicherheitsrelevante Aspekte prüft und stetig überwacht. Zum Beispiel, ob alle Security-Patches eingespielt sind, Konfigurationen richtig gesetzt oder die verwendeten Zertifikate aktuellen Standards entsprechen. Eine Firewall sollte eingesetzt werden, muss aber auch richtig konfiguriert sein, um eine Wirkung zu entfalten und bietet auch dann keinen Rundumschutz.
Neben der Absicherung durch präventive Maßnahmen sollte auch etwas für die Erkennung und Abwehr von konkreten Angriffen getan werden. Die Verwendung von Anti-Viren-Software ist wichtig, sollte aber nicht dazu führen, sich in falscher Sicherheit zu wiegen. Nur bestimmte, bekannte Angriffsszenarien können von ihr gestoppt werden. Sinnvoll ist darüber hinaus etwa die Überwachung des Netzwerkverkehrs durch eine „Deep Packet Inspection“. Sie kann Angriffe durch die Untersuchung der im Netzwerk gesendeten und empfangenen Datenpakete erkennen.
Nachdenken sollten Unternehmen außerdem darüber, was eigentlich ihre sensiblen Daten oder kritischen Infrastrukturen sind, die in keinem Fall erfolgreich gehackt oder außer Gefecht gesetzt werden dürfen. Auf diese Systeme sollte nochmals ein gesonderter Fokus gelegt werden. Hier kann eine Segmentierung ein wirksames Mittel darstellen, das heißt die Trennung bestimmter Bereiche voneinander.
Zu jeder IT-Sicherheits-Strategie gehört außerdem ein IT-Notfallplan, der festlegt, wie bei einer erfolgreichen Cyberattacke reagiert werden muss. Über diesen Plan müssen sowohl die IT-Abteilung, aber die gesamte Belegschaft, Bescheid wissen.
Wir bedanken uns bei Mario Jandeck für das spannende Experteninterview. Möchten Sie sich einen Überblick zum Umgang mit IT-Sicherheit in Ihrem Unternehmen verschaffen, stehen wir Ihnen unter gern für eine Erst- und Orientierungsberatung per E-Mail, Telefon und Videokonferenz zur Seite.
Autor: Eyleen Sinnhöfer
