Die Anbindung des Homeoffice erfolgte in den meisten Unternehmen von jetzt auf gleich, also ohne große Vorbereitungen. Videokonferenzen, Cloud-Anwendungen und mobile Endgeräte bieten zwar eine enorme Erleichterung für die dezentrale Zusammenarbeit. Doch sie eröffnen Cyber-Kriminellen auch neue Angriffspunkte. Hinzu kommen Zigtausende veralteter Computer, ungesicherter Router und schlecht geschützter WLAN-Verbindungen, die mit einem Mal Zugang zu den sensiblen Unternehmensdaten bieten. Wie aber können Unternehmen unter diesen Bedingungen die Heimarbeitsplätze ihrer Mitarbeiter trotzdem erfolgreich vor Hackerangriffen schützen? Dies zeigen die folgenden 10 Regeln:
Schutz der IT und Daten regeln
Alle Mitarbeiter, die an das Unternehmensnetzwerk angebunden sind, sollten verbindliche und eindeutige Regelungen für den Schutz der IT und der Daten im Unternehmen erhalten - und zwar schriftlich.
Endgeräte schützen
Der aktuelle Informationsbedarf in der Corona-Krise wird verstärkt von Hackern ausgenutzt. Über gefälschte Webseiten, E-Mails oder Grafiken, die aus scheinbar vertrauensvollen Quellen stammen, wird Malware auf die Rechner geschleust. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt Bürger und Unternehmen vor der Zunahme solcher Angriffe. Ein Schutz vor Angriffen aus dem Internet ist ein virtueller Browser, den das BSI im Rahmen der virtuellen Surfumgebung BitBox entwickeln ließ. Kommt dieser zum Einsatz haben Cyber-Kriminelle keine Chance, bis zur Hardware des Rechners zu gelangen. In Grundzügen lässt sich dies auch mit einer Virtualisierungssoftware wie beispielsweise VirtualBox selbst realisieren.
Daten schützen
Organisationen mit hohen Sicherheitsanforderungen sollten die Endgeräte ihrer Mitarbeiter mit einer Festplattenverschlüsselung ausstatten. Nur berechtigte Nutzer können dann per Multi-Faktor-Authentifizierung ihre Daten und das Betriebssystem nutzen. Geht das Gerät verloren oder wird es gestohlen, sollte es für Dritte unmöglich sein, auf die Daten zuzugreifen.
Grundlegende Sicherheitsmaßnahmen.
Der Arbeitsplatz in den eigenen vier Wänden sollte physisch gesichert werden, indem Türen verschlossen und Bildschirme gesperrt werden. Empfehlenswert ist zudem, die Webcam am Rechner oder Laptop abzudecken, wenn diese nicht benötigt wird, sowie bei Nichtgebrauch das Mikrofon auszuschalten, um mögliche Spionageattacken ins Leere laufen zu lassen.
WLAN absichern
Grundsätzlich ist die heimische WLAN-Verbindung abzusichern. Dazu ist das Standard-Administrator-Passwort durch ein neues, starkes Passwort zu ersetzen und mindestens die WPA2-Verschlüsselung zu aktivieren.
Software aktualisieren
Egal ob Betriebssysteme, Web-Anwendungen oder Apps - alle IT-Technologien eines Unternehmens müssen auf dem aktuellsten Stand sein. Das ist ein wesentlicher Schutz vor Hackern. Alle Mitarbeiter sollten deshalb regelmäßig Updates ausführen und mit der neuesten Systemversion arbeiten.
Vorsicht vor Betrügern
Angreifer täuschen und tricksen, um an Passwörter, Bankverbindungen oder Zugangsinformationen zu gelangen. Beispielsweise versenden sie täuschend echt wirkende E-Mails. Neben Phishing gilt aber auch Vorsicht bei Anrufen, SMS, Social-Media-Inhalten und gefälschten Nachrichten, die über Messenger verbreitet werden. Dieses sogenannte Social Engineering stellt in Zeiten dramatischer Veränderungen eines der größten Risiken im Homeoffice dar.
Sicher kommunizieren
Unternehmen sollten sichere Kommunikationskanäle nutzen, um die Tablets, Smartphones oder PCs der Mitarbeiter im Homeoffice an das Unternehmensnetz anzubinden. Empfehlenswert sind Virtual Private Networks (VPN). Sie bauen über einen "gesicherten Tunnel" eine Verbindung zwischen dem Endgerät und dem Unternehmensnetz auf.
Starke Passwörter
Passwörter schützen Anwendungen vor unberechtigtem Zugriff. Je komplexer und eindeutiger Passwörter sind, desto schwerer sind sie zu knacken. Eine Multi-Faktor-Authentifizierung beispielsweise unter Einsatz von PIN, Fingerabdruck oder Passwort bietet ergänzend Schutz vor dem Zugriff unbefugter Dritter. Jede Anwendung sollte zudem mit einem eigenen Passwort geschützt werden. Andernfalls muss ein Angreifer lediglich eine Anwendung erfolgreich kompromittieren, um sich bei weiteren Konten erfolgreich anzumelden. Auf haveibeenpwned.com kann man übrigens überprüfen, ob dies bereits geschehen ist.
Daten in der Cloud schützen
Für das dezentrale Arbeiten sind Cloud-Anwendungen und Collaboration-Dienste ideal. Doch die Schutzmechanismen der Cloud-Anbieter entsprechen meist nicht den Sicherheitsanforderungen vieler Unternehmen. Es drohen Datenspionage und Compliance-Verletzungen. Die Lösung ist ein datenzentrischer Schutz: Dabei werden Platzhalter in die Cloud eingestellt, die nur Metadaten enthalten, die für Kollaboration und Workflows notwendig sind. Die schützenswerten Daten selbst werden dagegen fragmentiert im Unternehmensnetzwerk oder an einem anderen Ort abgelegt. (hi)