Risiko Remote Work: Cyber Security zu Hause und unterwegs

Flexible Arbeitsplatzmodelle sicher gestalten und Risiken minimieren

In der dritten Veranstaltung des CYBER SECURITY MONDAY stellte unser Referent Dr. Florian Wrobel am 09. Mai 2022 IT-Sicherheitsaspekte im Zusammenhang von flexiblen Arbeitsplatzmodellen dar. Homeoffice, Shared Desk, Telearbeit oder auch Arbeiten auf Reisen – Remote Work ist in vielen Unternehmen spätestens seit der Coronapandemie zum Alltag geworden. Diese Arbeitsweisen haben jedoch neben vielen Vorteilen auch einige Risiken, vor allem, was die Sicherheit angeht. Im Nachfolgenden erfahren Sie, wie diese minimiert werden können. In diesem Zusammenhang ist der richtige Umgang mit privaten Routern, VPN-Verbindungen und Wechselmedien wichtig. Die Sensibilisierung von Mitarbeiter:innen ist im Unternehmensumfeld von Bedeutung bei Themen wie Phishing, Verwendung von Chat-Tools oder Passwort-Sicherheit. Entwickeln Sie ein Bewusstsein über mögliche Informationssicherheitsrisiken beim mobilen Arbeiten. Erkennen Sie die Gefahren, sodass geeignete Sicherheitsvorkehrungen eingeleitet werden können.

Ungewollter Datenabfluss

Jede:r in Ihrem Unternehmen kann absichtlich oder unabsichtlich Daten und/oder Hardware gefährden.

Unsere Tipps, um ungewollten Datenabfluss zu verhindern:

Vertrauliche Dokumente sollten niemals offen herumliegen.
Denken Sie daran, Ihren Computer zu sperren, wenn er nicht in Gebrauch ist.
Erteilen Sie unbefugten Personen keinen Zugang zu Ihrem Arbeitscomputer, nicht einmal Ihren engsten Freund:innen.
Werfen Sie sensible Daten nicht einfach in den Müll.
Prüfen Sie, ob Ihr Bildschirm von außen durch ein Fenster einsehbar ist.
Verwenden Sie eine Blickschutzfolie.
Stellen Sie sicher, dass Sie bei Telefonaten und Meetings ungestört sind.

Phishing

Cyberangriffe sind während der Pandemie signifikant gestiegen. Diese Krisensituationen werden von Cyberkriminellen gern ausgenutzt. Dafür werden z.B. Benachrichtigungen von verwendeten Tools (z.B. Teams, Zoom, etc.) kopiert und betrügerisch eingesetzt. Durch Homeoffice können sich Kolleg:innen weniger austauschen und melden ggf. Phishing-Angriffe nicht sofort. Zur Konsequenz hat dies, dass Angreifer:innen Zugriff auf das Firmennetzwerk oder sensible Daten erhalten.

Unsere Tipps im Umgang mit Phishing:

Stellen Sie sicher, dass Sie und Ihre Mitarbeiter:innen Phishing-Mails erkennen.
Das Phishing-Bewusstsein der Mitarbeiter:innen muss regelmäßig trainiert werden.
Stellen Sie sicher, dass Meldewege bekannt sind.

Verwendung von Chat-Tools

Um Besprechungen wahrnehmen zu können, verwenden wir im Homeoffice häufig Videokonferenz-Software, wie Teams, Skype oder Zoom. Es ist wichtig, Sitzungsräume für alle Teilnehmer:innen sicher zu gestalten. Geschieht dies nicht, können sich Unbefugte in eine Besprechung schalten, Meetings unterbrechen oder stören und z.B. Viren enthaltende Dateien an vertrauenswürdige Teilnehmer:innen weiterleiten.

Unsere Tipps für virtuelle Besprechungsräume:

Aktualisieren Sie bei jeder Aufforderung Ihre Online-Konferenzsoftware.
Aktivieren Sie vor einem Treffen alle Software-Sicherheitsfunktionen.
Ändern Sie Ihre Sitzungslinks und Passwörter regelmäßig.
Geben Sie Meeting Links niemals in öffentlichen Foren weiter.

Verbindung zum Firmennetzwerk

Die Verbindung zum Firmennetz kann vor allem durch drei entscheidende Aspekte sicher gestaltet werden:

a) Virtual Private Network (VPN)

Hauptfunktion ist, die Webaktivitäten der Benutzer privat zu halten und alle Daten zu verschlüsseln, die von und zu der Verbindung kommen. Nach der Anmeldung tauscht Ihr Computer vertrauenswürdige Schlüssel mit einem Remote-Server aus. Nach der Authentifizierung werden alle Kommunikationen verschlüsselt, was bedeutet, dass Ihre Kommunikationen vor Hackern und Cyberspionen geschützt sind.

b) Passwort-Sicherheit

10 goldene Regeln zum Umgang mit Passwörtern:

Verraten Sie Ihre Passwörter niemandem, nicht einmal Mitarbeitern des technischen Supports.
Keine Namen von Haustieren oder Personen keine Zahlen wie Postleitzahlen, Geburtstage oder Jahrestage.
Möglichst lang gestalten (viele Zeichen).
Niemals auf einen Zettel schreiben oder in einer Datei speichern.
Einen ganzen Satz verwenden, zum Beispiel Ich_will_endlich_wieder_in_den_Urlaub_fahren.
Verwenden Sie ein anderes Passwort für jede Webseite bzw. Anwendung.
Passwort sofort ändern, wenn es kompromittiert sein könnte! Mögliche Kompromittierung überprüfen!
Sicherheitsfragen bei Vergessen des Passwortes ebenso schwer gestalten wie das Passwort selbst.
Verwenden Sie die Passwort-Prozeduren, die Ihr Unternehmen vorschreibt, und denken Sie darüber nach, einen Passwort-Manager zu verwenden.
Nutzen Sie die Zwei-Faktor Authentifizierung (z.B. Code per App).

c) Zwei-Faktor-Authentifizierung

Wenn Sie eine zusätzliche Sicherheitsebene zu bestimmten Konten hinzufügen, werden diese umso schwieriger zu durchbrechen sein, selbst wenn Hacker Ihr Passwort in die Finger bekommen sollten. Implementieren Sie, wenn möglich, bei allen Accounts und Anwendungen eine Zwei-Faktor-Authentifizierung.

WLAN und Router

WLAN und Router werden häufig übereilt eingerichtet. Router sind nichts anderes als kleine Computer. Sie geben ihre Marke und ihr Modell häufig im Namen des drahtlosen Netzwerks (SSID) bekannt, wodurch sie für Hacker noch einfacher anzugreifen sind. Sobald Sie Ihr WLAN zuhause einrichten, sollten Sie die SSID des Routers zusammen mit dem mitgelieferten Administrator Benutzernamen und Passwort ändern.

Nutzen Sie stets die sicherste Verschlüsselungsmethode, die Ihr Endgerät unterstützt, wie z. B. WPA2.
Ändern Sie den Standardbenutzernamen und das Standardpasswort des Administrators auf Ihrem Router.
Verwenden Sie bei der Arbeit mit vertraulichen Materialien stets verschlüsselte Protokolle, wie HTTPS oder einen VPN

Verwendung privater Geräte

Grundsätzlich ist zu empfehlen, im Unternehmensalltag die Nutzung von privaten Geräten zu unterbinden und ggf. Diensthandys ausgeben. Nur so kann die Trennung von privaten und beruflichen Inhalten sichergestellt werden. Werden Diensthandys ausgegeben, sollten diese auch adäquat geschützt werden. Es ist unerlässlich Sicherheitsmaßnahmen zu implementieren, wie z.B. Virenschutz und Verschlüsselung-Vorkehrungen. Setzen Sie eine Mobile Device Management Lösung (MDM) ein.

Unsere zusammengefassten Handlungsempfehlungen für Sie zum Thema „Flexible Arbeitsplatzmodelle sicher gestalten und Risiken minimieren“:

VPN (Virtual Private Network): Richten Sie VPN in Ihrem Unternehmen ein und stellen Sie sicher, dass sich Mitarbeiter nur über VPN ins Unternehmensnetz einwählen können.
Verschlüsselung von Datenträgern: Stellen Sie sicher, dass gerade mobile Endgeräte, wie Laptops, Diensthandys und Tablets verschlüsselt werden.
Mitarbeitersensibilisierung: Stellen Sie sicher, dass sich Mitarbeiter:innen über die Gefahren im Homeoffice und mobil bewusst sind. Hierfür ist es empfehlenswert, regelmäßige Schulungen und Trainings, z.B. Webinare zur Verfügung zu stellen. Geben Sie Ihren Mitarbeitern die Chance, sich dem Risiko-Appetit des Unternehmens entsprechend verhalten zu können und regeln Sie wichtige Verhaltensweisen in einer Homeoffice Richtlinie.
Mehr-Faktor-Authentifizierung: Eine Mehr-Faktor-Authentifizierung erhöht die Sicherheit Ihres Netzwerks enorm. Gerade, wenn Passwörter doch einmal abgefangen werden. Aktivieren Sie daher flächendeckend eine Zwei Faktor Authentifizierung in Ihrem Unternehmen.
Mobile Device Management: Sie können nur das schützen, was Sie kennen. Stellen Sie daher sicher, dass alle beruflichen Geräte einer Mobile Device Management Lösung unterliegen, die Ihnen z.B. die Fernlöschung oder die Unterbindung von Downloads bestimmter Applikationen ermöglicht.

Für eine Orientierungsberatung zum Thema Digitale Sicherheit steht Ihnen das Thüringer Kompetenzzentrums Wirtschaft 4.0 mit seiner Netzwerkpartnerin, die COGITANDA Risk Prevention GmbH, gern zur Seite.

Buchen Sie online einen Termin!

Autorin: Vanessa Walter
Gastautor: Dr. Florian Wrobel