Datensicherheit im Homeoffice: Darauf sollten Unternehmen achten
Home sweet Home(office): Laut einer jüngsten Umfrage der des Bitkom haben 70 Prozent der deutschen Unternehmen Homeoffice eingeführt oder haben das noch vor. Ein Recht auf den heimischen Arbeitsplatz mag es vielleicht nicht geben, obwohl es derzeitig diskutiert und gefordert wird. Aber sicher ist: die digitale Heimarbeit ist gekommen, um zu bleiben. Sie ist ohne Frage praktisch für Mitarbeiter und Unternehmen – aber das Thema birgt auch Sicherheitsrisiken, wenn es nicht strategisch angegangen wird.
Es genügt beispielsweise nicht, von daheim auf seine geschäftlichen Mails zugreifen zu können, Daten per Dropbox auszutauschen und sich ansonsten irgendwie digital durchzulavieren. Susanne Dehmel, Mitglied der Bitkom-Geschäftsleitung, brachte es im Oktober 2020 in ihrem Statement zum Lagebericht der IT-Sicherheit auf den Punkt: „Zu Beginn der Corona-Pandemie war für viele Unternehmen das einzige Ziel, ihr Kerngeschäft aufrechthalten zu können. Beim Wechsel zu Tele-Arbeit und Homeoffice spielte IT-Sicherheit nur eine untergeordnete Rolle. Das hat es vielen Cyberkriminellen leichter gemacht, IT-Systeme anzugreifen.“ Was müssen Unternehmen also berücksichtigen, um ihre Datensicherheit zu bewahren?
Mitarbeiter aufklären und schulen
Alle Beschäftigten müssen zunächst einmal wissen, worauf sie zu achten haben und an welchen Stellen Gefahren lauern. Von daheim sensible Unternehmensdaten schnell auf einen Dropbox-Account hochladen und teilen (oder auch nicht) ist beispielsweise ein potenzieller Knackpunkt. Firmeneigene Laptops oder Handys für private Zwecke zu benutzen und diverse Apps darauf zu installieren ein weiterer. Vermeiden Sie Unklarheiten, indem Sie eine klare und verbindliche Homeoffice-Richtlinie aufsetzen und kommunizieren. Stimmen Sie sich dazu eng mit Ihrem IT-Dienstleister oder der hauseigenen IT-Abteilung ab.
Einfacher Zugang ja, digitale Open-door-Policy nein
Es gibt Unternehmen, die Ihre Anwendungen über das Web öffentlich für den Remote-Zugriff ihrer Mitarbeiter zugänglich machen. Im Sinne einer Quick-and-dirty-Lösung trifft das genau den Punkt dessen, was Susanne Dehmel vom Bitkom mit ihrem Statement meinte. Wesentlich sicherer sind virtualisierte Desktops, die einen einfachen und zugleich verschlüsselten, also sicheren, Fernzugriff ermöglichen.
Zwei-Faktor-Authentifizierung nutzen
Heute muss jeder Anwender überall aus und für jedes Endgerät einen Remote-Zugriff haben. Egal, ob es sich um Web-, Mobil-, Cloud-/SaaS- und Client-Server-Anwendungen oder gehostete Desktops handelt. Darum sind Funktionen zur Ermittlung der Anwenderidentität für eine hohe Sicherheit heutzutage unverzichtbar. Mithilfe einer Zwei-Faktor-Authentifizierung beispielsweise muss jeder Anwender seine Identität verifizieren, bevor ihm Zugriff auf Anwendungen oder Daten gewährt wird. Keine Frage, niemand will sich komplexe Anmeldedaten merken müssen. Darum gibt es verschiedene Wege, diesen Abgleich herzustellen – beispielsweise per Code, der über eine Authentifizierungsapp an den User verschickt wird.
Nutzerrechte anwendungsorientiert vergeben
Mit der klassischen SSL-VPN-Verschlüsselung haben Mitarbeiter Zugriff auf zahlreiche Ressourcen, mitunter gesamte Netzwerke. Aber nicht alle Beschäftigten benötigen einen derart umfassenden Zugriff. So lassen sich mittels der sogenannten Micro-VPN-Funktion beispielsweise sichere Verbindungen für eine einzelne Anwendung herstellen. Damit zusammenhängend kann man auch die Möglichkeiten von Client-Endgeräten grundsätzlich beschränken – und das wiederum reduziert die Gefahr von negativen Auswirkungen bei eventuell infizierten Endgeräten.
Am Ende entscheiden Sie darüber, wie sicher das Arbeiten von unterwegs oder daheim Ihrer Beschäftigten tatsächlich ist. Und das hat direkte Auswirkungen auf Ihre IT-Sicherheit.