10 goldene Regeln für ein sicheres Home-Office

Ein großer Teil der deutschen Angestellten arbeitet derzeit von zuhause aus –  vom Sachbearbeiter bis zum Geschäftsführer. Das bringt neue IT-Sicherheitsrisiken mit sich. Hacker nutzen diese Unsicherheit verstärkt aus. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat bereits Alarm geschlagen.

Dr. Falk Herrmann ist CEO von Rohde & Schwarz Cybersecurity.
Foto: Rohde & Schwarz

Heimarbeitsplätze haben die meisten Unternehmen von jetzt auf gleich und ohne die erforderlichen Vorbereitungen eingerichtet. Videokonferenzen, Cloud-Anwendungen und mobile Endgeräte bieten zwar eine enorme Erleichterung für die dezentrale Zusammenarbeit. Allerdings eröffnen diese Infrastrukturen für Cyberkriminelle auch neue Angriffspunkte. Hinzu kommen zigtausende veralteter Computer, ungesicherter Router und schlecht geschützter WLAN-Verbindungen, die Zugang zu den sensiblen Daten von Unternehmen bieten. Diese folgenden 10 goldenen Regeln zeigen, wie Unternehmen unter diesen Bedingungen die Heimarbeitsplätze ihrer Mitarbeiter erfolgreich vor Hackerangriffen schützen.

  1. Alle Mitarbeiter, die an das Unternehmensnetzwerk angebunden sind, sollten verbindliche und eindeutige Regelungen für den Schutz der IT und der Daten im Unternehmen erhalten – und zwar schriftlich.
  2. Endgeräte vor Angriffen aus dem Internet schützen. Hacker nutzen den aktuellen Informationsbedarf in der Corona-Krise aus. Über gefälschte Webseiten, E-Mails oder Grafiken, die aus scheinbar vertrauensvollen Quellen stammen, schleusen sie Malware auf Rechner, warnt Bundesamt für Sicherheit in der Informationstechnik (BSI). Der beste Schutz vor Angriffen aus dem Internet ist ein virtueller Browser, den das BSI entwickeln ließ. Kommt dieser zum Einsatz haben Cyber-Kriminelle keine Chance. Siehe dazu den Infokasten „Tipps für sicheres Browsen“.
  3. Daten auf den Endgeräten schützen. Vor allem Organisationen mit hohen Sicherheitsanforderungen sollten auf den Endgeräten ihrer Mitarbeiter die Festplatten verschlüsseln. Dann können nur berechtigte Nutzer nach einer Multi-Faktor-Authentifizierung die Daten und das Betriebssystem nutzen. Geht das Gerät verloren oder wird es gestohlen, haben Dritte keine Chance, auf die Daten zuzugreifen.
  4. Grundlegende Sicherheitsmaßnahmen. Der Arbeitsplatz in den eigenen vier Wänden sollte physisch gesichert werden, indem Türen verschlossen und Bildschirme gesperrt werden. Empfehlenswert ist es zudem, die Webcam am Rechner oder Laptop abzudecken, wenn diese nicht benötigt wird, sowie bei Nichtgebrauch das Mikrofon auszuschalten. So laufen eventuelle Spionageattacken ins Leere.
  5. Heimische WLAN-Verbindung absichern. Das Standard-Administrator-Passwort am heimischen Router sollte durch ein starkes Passwort ersetzt und die WPA2-Verschlüsselung aktiviert werden.
  6. Betriebssysteme, Web-Anwendungen und Apps aktualisieren. Sämtliche IT-Technologien eines Unternehmens müssen auf dem aktuellsten Stand sein. Nor so entsteht ein guter Schutz vor Hackern. Alle Mitarbeiter sollten daher auf ihren IT-Systemen regelmäßig Updates ausführen.
  7. Vorsicht vor Betrügern. Angreifer täuschen und tricksen, um an Passwörter, Bankverbindungen oder Zugangsinformationen zu gelangen. Beispielsweise versenden sie täuschend echt wirkende E-Mails. Neben Phishing gilt auch Vorsicht bei Anrufen, SMS, Social-Media-Inhalten und gefälschten Nachrichten, die über Messenger verbreitet werden. Dieses sogenannte Social Engineering stellt eines der größten Risiken im Home-Office dar.
  8. Unternehmen sollten sichere Kommunikationskanäle nutzen, um die Tablets, Smartphones oder PCs der Mitarbeiter im Home-Office an das Unternehmensnetzwerk anzubinden. Empfehlenswert sind Virtual Private Networks. Diese schleusen Verbindungen zwischen dem Endgerät und dem Unternehmensnetz über einen abgesicherten Tunnel.
  9. Starke Passwörter nutzen. Passwörter schützen Anwendungen vor unberechtigtem Zugriff. Je komplexer Passwörter sind, desto schwerer sind sie zu knacken. Eine Multi-Faktor-Authentifizierung beispielsweise unter Einsatz von PIN, Fingerabdruck oder Passwort bietet ergänzenden Schutz. Mehr dazu im Infokasten „Tipps für sichere Passwörter“.
  10. Daten in der Cloud schützen. Für das dezentrale Arbeiten eignen sich Cloud-Anwendungen und Collaboration-Dienste sehr gut. Die Schutzmechanismen der Cloud-Anbieter entsprechen allerdings oft nicht den Sicherheitsanforderungen der Unternehmen. Es drohen Datenspionage und Compliance-Verletzungen. Die Lösung ist ein datenzentrischer Schutz. Dabei werden in der Cloud lediglich Platzhalter gespeichert, welche die für Kollaboration und Workflows notwendigen Metadaten enthalten. Die schützenswerten Nutzdaten werden in dieser Variante fragmentiert im Unternehmensnetzwerk oder an einem anderen Ort abgelegt.       jf

 

Tipps für das sichere Browsen

Die meisten Hacker gelangen über das Internet auf Rechner und in Unternehmensnetzwerke. Damit Mitarbeiter möglichst sicher zu surfen, hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) gemeinsam mit dem IT-Sicherheitsunternehmen Rohde & Schwarz Cybersecurity den R&S Browser in the Box entwickelt. Der Nutzer arbeitet darin mit einer vom Betriebssystem separierten Maschine. Er bewegt sich sozusagen in einer virtuellen Surfumgebung. Der Vorteil: Anstatt – wie bei Antivirenprogrammen – Schadcodes zu erkennen, werden alle potenziell gefährlichen Aktivitäten in diesem virtuellen Browser isoliert. Jeder Browserstart beseitigt die Schädlinge und versetzt den Browser in seinen Ausgangszustand. Die beste Netzwerktrennung lässt sich mit einer komplett virtualisierten Surfumgebung erreichen.

Tipps für sichere Passwörter

Passwörter schützen die digitale Infrastruktur eines Unternehmens vor unbefugten Zugriffen. Je stärker ein Passwort ist, desto besser ist sein Schutz. Gute Passwörter sind beispielsweise so genannte Passphrasen, wie „Wir verschlüsseln Datenträger!“ oder „Keine-Zellen-in-Excel-verbinden“. Solche Sätze sind leicht zu merken und zu tippen, aber schwierig zu knacken. Ergänzt werden sollten sie um Symbole, Zahlen oder Großbuchstaben.

Jede Anwendung sollte mit einem eigenen Passwort geschützt werden. Andernfalls muss ein Angreifer lediglich eine Anwendung erfolgreich kompromittieren, um sich bei weiteren Konten erfolgreich anzumelden. Unter der Webadresse haveibeenpwned.com kann man überprüfen, ob dies bereits geschehen ist.

Um nicht den Überblick zu verlieren, sind Passwort-Manager hilfreich. Diese Programme speichern die Passwörter in einem Tresor. Der Anwender kann sie bei Bedarf von dort leicht abrufen. Einen Passwortmanager schützt man am besten mit einer starken Passphrase sowie einer zweistufigen Verifizierung.