Homeoffice-Security im ganzheitlichen Ansatz Sicheres Homeoffice für die nächste Krise

Autor / Redakteur: Thomas Bursy / Peter Schmitz

Remote-Arbeitsstrukturen erleben gerade enormen Zuwachs, bergen aber auch Risiken. Um für nachhaltige Sicherheit zu sorgen, ist es wichtig, sie in eine ganzheitliche Security-Strategie einzubetten.

Firma zum Thema

Umfassende Security entsteht erst dann, wenn man die einzelnen Maßnahmen in eine ganzheitliche Sicherheitsstrategie einbettet; das gilt auch für das Thema Homeoffice.
Umfassende Security entsteht erst dann, wenn man die einzelnen Maßnahmen in eine ganzheitliche Sicherheitsstrategie einbettet; das gilt auch für das Thema Homeoffice.
(Bild: gemeinfrei / Pixabay )

In der Corona-Krise mussten viele Unternehmen Mitarbeiter von heute auf morgen ins Home Office schicken. Häufig war die IT-Infrastruktur dem plötzlichen Ansturm an Remote-Arbeitsplätzen nicht gewachsen und es fehlten Sicherheitsmaßnahmen. Heute hat sich meist eine neue Routine eingespielt, bei der Home Office neben der Vor-Ort-Arbeit weiterhin einen starken Anteil hat. Höchste Zeit also, die Absicherung einmal sorgfältig zu überdenken. Dabei sollte man Remote-Arbeitsplätze nicht isoliert betrachten, sondern in ein umfassendes Security-Konzept integrieren.

Eine wichtige Rolle spielt zum Beispiel ein sorgfältiges Rechte- und Identitätsmanagement. IT-Verantwortliche müssen sicherstellen, dass Nutzer nur über die Rechte verfügen, die sie unbedingt benötigen. Generell empfiehlt es sich, privilegierte Accounts äußerst sparsam zu vergeben und ausschließlich komplexe Passwörter zu erlauben. Gerade im Home Office sind privilegierte Accounts besonders gefährdet. Denn jenseits der geschützten Unternehmensumgebung haben es Cyberkriminelle leichter, Mitarbeiter auszutricksen. Gelingt es ihnen, einen privilegierten Account zu kompromittieren, erhalten sie weitreichenden Netzwerkzugriff und können großen Schaden anrichten.

Vorsicht vor Spear-Phishing-Attacken

Vor allem Spear-Phishing-Angriffe erlebten in den vergangenen Monaten einen enormen Zuwachs. Besonders wichtig sind daher neben der durchdachten Rechtevergabe auch Maßnahmen, um Mitarbeiter für Risiken durch Cyberkriminelle zu sensibilisieren. Es gibt heute zahlreiche, wirksame Tools zur Awareness-Schulung. Als besonders nachhaltig haben sich Schulungsportale in Kombination mit von der IT-Abteilung simulierten Phishing-Angriffen herausgestellt. Dabei erhalten Mitarbeiter eine entsprechend präparierte E-Mail, wie sie auch von einem Hacker stammen könnte. Klicken sie auf den darin enthaltenen Link, erscheint eine Meldung wie: „Das hätte Malware sein können“, und der Betroffene wird zu einem weiteren Schulungsvideo weitergeleitet. Studien haben gezeigt, dass solche Awareness-Tools den Phish Prone im Unternehmen um über 30 Prozent senken können. Natürlich muss man derartige Maßnahmen aber zuvor mit der jeweiligen Personalvertretung absprechen.

Zusätzlich können moderne Security-Tools den Schutz vor Phishing-Attacken erhöhen. Sie verfolgen nicht nur das Ziel, Malware abzublocken, sondern auch im Falle eines erfolgreichen Angriffs Schaden zu begrenzen. Es gibt heute zahlreiche vernetzte Lösungen, die miteinander kommunizieren und Bedrohungsinformationen austauschen. Mithilfe von künstlicher Intelligenz lernen sie kontinuierlich dazu. So gelingt es ihnen, die Auswirkungen von Malware schnell einzudämmen.

Auch Office 365 ist kein Rundum-Sorglos-Paket

Viele Unternehmen setzen auf Office 365, um schnell Home-Office-Arbeitsplätze einzurichten. Dabei sollte man beachten, dass auch der Microsoft-Cloud-Service extra abgesichert werden muss. Denn anders als oft vermutet, müssen sich Kunden – nach wie vor – selbst um Backup, Datensicherheit und Datenmanagement kümmern. Microsoft stellt lediglich die Absicherung der Infrastruktur bereit. Wichtig ist auch, für eine sichere Datenübertragung zu sorgen. Dies kann zum Beispiel über VPN, eine andere Verschlüsselungstechnologie oder eine Cloud-basierte Lösung erfolgen. Multi-Faktor-Authentifizierung schützt zudem den Zugang zum Unternehmensnetzwerk.

Zu klären ist auch, ob Mitarbeiter im Home Office Dokumente direkt auf dem Server bearbeiten oder auf ein lokales Notebook herunterladen. Ist Letzteres der Fall, sollte das Endgerät verschlüsselt werden. Verbleiben die Daten dagegen auf dem Server, erfordert das eine Remote-Desktop-Verbindung. Um diese für eine große Zahl an Mitarbeitern einzurichten, muss man allerdings erheblich in die Server-Infrastruktur eingreifen.

An Produktionsumgebungen denken

Industrie-Unternehmen sollten zudem an die Absicherung ihrer Produktionsumgebung denken. Denn durch die Vernetzung von IT und IOT sind auch sie angreifbar geworden und stärker gefährdet. Remote-Zugriffe stellen hier ein hohes Risiko dar. Grundsätzlich ist es daher wichtig, unternehmenskritische Bereiche im Netzwerk durch Segmentierung von der Office-Umgebung zu trennen. So lässt sich die Bewegungsfreiheit von Angreifern im Netzwerk einschränken und Schaden minimieren. Außerdem sollten Unternehmen auch in Produktionsumgebungen auf sorgfältiges Patch-Management achten, um mögliche Schwachstellen zu schließen. Während es für das Einspielen von Sicherheits-Updates in der IT meist bewährte, gut funktionierende Prozesse gibt, gestaltet sich dies in der Produktion schwieriger und aufwendiger. Nichtsdestotrotz müssen auch hier Patch-Management-Prozesse etabliert werden. Eine andere Möglichkeit kann die softwareseitige „Härtung“ der Anlagen sein.

Die Sicherheitsstrategie krisenfest machen

Umfassende Security entsteht erst dann, wenn man die einzelnen Maßnahmen in eine ganzheitliche Sicherheitsstrategie einbettet. Dafür ist zunächst eine Analyse auf Prozessseite erforderlich. Welche Personen, Rollen und Systeme sind an einem Geschäftsprozess beteiligt und welche Abhängigkeiten gibt es? Anschließend werden geeignete Tools und Maßnahmen zur Absicherung ausgewählt. Die Security-Strategie sollte auch ein Notfall-Konzept umfassen. Dieses muss klare Verantwortlichkeiten und Prozesse definieren, damit im Ernstfall jeder sofort weiß, was zu tun ist. Es reicht nicht, ein solches Konzept einmal zu erstellen und dann in der Schublade zu versenken. Man sollte es regelmäßig fortschreiben und Abläufe trainieren.

Ein spezialisierter Dienstleister kann dabei unterstützen, die Security-Strategie auf den Prüfstand zu stellen und gegebenenfalls anzupassen. So gelingt es auch mit begrenzten, eigenen personellen Ressourcen, Best Practices umzusetzen. Wer jetzt sorgfältig plant, kann in der nächsten Krise schnell und sicher Home-Office-Arbeitsplätze ausrollen, um die Geschäftskontinuität aufrechtzuerhalten.

Über den Autor

Thomas Bursy ist Teammanager Solution Sales - Security & Data Management bei SoftwareONE.

(ID:47012804)