Sicheres Homeoffice für die nächste Krise

Homeoffice-Security im ganzheitlichen Ansatz Sicheres Homeoffice für die nächste Krise

14.12.2020 Von Thomas Bursy |

Anbieter zum Thema

SoftwareONE Deutschland GmbH

Dell GmbH

Insider Research

Southern Tech GmbH

Remote-Arbeitsstrukturen erleben gerade enormen Zuwachs, bergen aber auch Risiken. Um für nachhaltige Sicherheit zu sorgen, ist es wichtig, sie in eine ganzheitliche Security-Strategie einzubetten.

Umfassende Security entsteht erst dann, wenn man die einzelnen Maßnahmen in eine ganzheitliche Sicherheitsstrategie einbettet; das gilt auch für das Thema Homeoffice.
(Bild: gemeinfrei / Pixabay)

In der Corona-Krise mussten viele Unternehmen Mitarbeiter von heute auf morgen ins Home Office schicken. Häufig war die IT-Infrastruktur dem plötzlichen Ansturm an Remote-Arbeitsplätzen nicht gewachsen und es fehlten Sicherheitsmaßnahmen. Heute hat sich meist eine neue Routine eingespielt, bei der Home Office neben der Vor-Ort-Arbeit weiterhin einen starken Anteil hat. Höchste Zeit also, die Absicherung einmal sorgfältig zu überdenken. Dabei sollte man Remote-Arbeitsplätze nicht isoliert betrachten, sondern in ein umfassendes Security-Konzept integrieren.

Eine wichtige Rolle spielt zum Beispiel ein sorgfältiges Rechte- und Identitätsmanagement. IT-Verantwortliche müssen sicherstellen, dass Nutzer nur über die Rechte verfügen, die sie unbedingt benötigen. Generell empfiehlt es sich, privilegierte Accounts äußerst sparsam zu vergeben und ausschließlich komplexe Passwörter zu erlauben. Gerade im Home Office sind privilegierte Accounts besonders gefährdet. Denn jenseits der geschützten Unternehmensumgebung haben es Cyberkriminelle leichter, Mitarbeiter auszutricksen. Gelingt es ihnen, einen privilegierten Account zu kompromittieren, erhalten sie weitreichenden Netzwerkzugriff und können großen Schaden anrichten.

Vorsicht vor Spear-Phishing-Attacken

Vor allem Spear-Phishing-Angriffe erlebten in den vergangenen Monaten einen enormen Zuwachs. Besonders wichtig sind daher neben der durchdachten Rechtevergabe auch Maßnahmen, um Mitarbeiter für Risiken durch Cyberkriminelle zu sensibilisieren. Es gibt heute zahlreiche, wirksame Tools zur Awareness-Schulung. Als besonders nachhaltig haben sich Schulungsportale in Kombination mit von der IT-Abteilung simulierten Phishing-Angriffen herausgestellt. Dabei erhalten Mitarbeiter eine entsprechend präparierte E-Mail, wie sie auch von einem Hacker stammen könnte. Klicken sie auf den darin enthaltenen Link, erscheint eine Meldung wie: „Das hätte Malware sein können“, und der Betroffene wird zu einem weiteren Schulungsvideo weitergeleitet. Studien haben gezeigt, dass solche Awareness-Tools den Phish Prone im Unternehmen um über 30 Prozent senken können. Natürlich muss man derartige Maßnahmen aber zuvor mit der jeweiligen Personalvertretung absprechen.

Zusätzlich können moderne Security-Tools den Schutz vor Phishing-Attacken erhöhen. Sie verfolgen nicht nur das Ziel, Malware abzublocken, sondern auch im Falle eines erfolgreichen Angriffs Schaden zu begrenzen. Es gibt heute zahlreiche vernetzte Lösungen, die miteinander kommunizieren und Bedrohungsinformationen austauschen. Mithilfe von künstlicher Intelligenz lernen sie kontinuierlich dazu. So gelingt es ihnen, die Auswirkungen von Malware schnell einzudämmen.

Auch Office 365 ist kein Rundum-Sorglos-Paket

Viele Unternehmen setzen auf Office 365, um schnell Home-Office-Arbeitsplätze einzurichten. Dabei sollte man beachten, dass auch der Microsoft-Cloud-Service extra abgesichert werden muss. Denn anders als oft vermutet, müssen sich Kunden – nach wie vor – selbst um Backup, Datensicherheit und Datenmanagement kümmern. Microsoft stellt lediglich die Absicherung der Infrastruktur bereit. Wichtig ist auch, für eine sichere Datenübertragung zu sorgen. Dies kann zum Beispiel über VPN, eine andere Verschlüsselungstechnologie oder eine Cloud-basierte Lösung erfolgen. Multi-Faktor-Authentifizierung schützt zudem den Zugang zum Unternehmensnetzwerk.

Zu klären ist auch, ob Mitarbeiter im Home Office Dokumente direkt auf dem Server bearbeiten oder auf ein lokales Notebook herunterladen. Ist Letzteres der Fall, sollte das Endgerät verschlüsselt werden. Verbleiben die Daten dagegen auf dem Server, erfordert das eine Remote-Desktop-Verbindung. Um diese für eine große Zahl an Mitarbeitern einzurichten, muss man allerdings erheblich in die Server-Infrastruktur eingreifen.

An Produktionsumgebungen denken

Industrie-Unternehmen sollten zudem an die Absicherung ihrer Produktionsumgebung denken. Denn durch die Vernetzung von IT und IOT sind auch sie angreifbar geworden und stärker gefährdet. Remote-Zugriffe stellen hier ein hohes Risiko dar. Grundsätzlich ist es daher wichtig, unternehmenskritische Bereiche im Netzwerk durch Segmentierung von der Office-Umgebung zu trennen. So lässt sich die Bewegungsfreiheit von Angreifern im Netzwerk einschränken und Schaden minimieren. Außerdem sollten Unternehmen auch in Produktionsumgebungen auf sorgfältiges Patch-Management achten, um mögliche Schwachstellen zu schließen. Während es für das Einspielen von Sicherheits-Updates in der IT meist bewährte, gut funktionierende Prozesse gibt, gestaltet sich dies in der Produktion schwieriger und aufwendiger. Nichtsdestotrotz müssen auch hier Patch-Management-Prozesse etabliert werden. Eine andere Möglichkeit kann die softwareseitige „Härtung“ der Anlagen sein.

Die Sicherheitsstrategie krisenfest machen

Umfassende Security entsteht erst dann, wenn man die einzelnen Maßnahmen in eine ganzheitliche Sicherheitsstrategie einbettet. Dafür ist zunächst eine Analyse auf Prozessseite erforderlich. Welche Personen, Rollen und Systeme sind an einem Geschäftsprozess beteiligt und welche Abhängigkeiten gibt es? Anschließend werden geeignete Tools und Maßnahmen zur Absicherung ausgewählt. Die Security-Strategie sollte auch ein Notfall-Konzept umfassen. Dieses muss klare Verantwortlichkeiten und Prozesse definieren, damit im Ernstfall jeder sofort weiß, was zu tun ist. Es reicht nicht, ein solches Konzept einmal zu erstellen und dann in der Schublade zu versenken. Man sollte es regelmäßig fortschreiben und Abläufe trainieren.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zu Netzwerktechnik, IP-Kommunikation und UCC

Geschäftliche E-Mail

Bitte geben Sie eine gültige E-Mailadresse ein.

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Stand vom 30.10.2020

Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.

Einwilligung in die Verwendung von Daten zu Werbezwecken

Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von redaktionellen Newslettern nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.

Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.

Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden.

Recht auf Widerruf

Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://support.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung, Abschnitt Redaktionelle Newsletter.

Ein spezialisierter Dienstleister kann dabei unterstützen, die Security-Strategie auf den Prüfstand zu stellen und gegebenenfalls anzupassen. So gelingt es auch mit begrenzten, eigenen personellen Ressourcen, Best Practices umzusetzen. Wer jetzt sorgfältig plant, kann in der nächsten Krise schnell und sicher Home-Office-Arbeitsplätze ausrollen, um die Geschäftskontinuität aufrechtzuerhalten.

Über den Autor

Thomas Bursy ist Teammanager Solution Sales - Security & Data Management bei SoftwareONE.

(ID:47012804)

Merkliste