9 Tipps für den digitalen Schutz im Home-Office
Je länger tausende Beschäftigte in improvisierten Büros in den eigenen vier Wänden arbeiten, umso stärker wächst die Kriminalität im Cyberraum. Wenn Sie bereits Unternehmensrichtlinien zur IT-Sicherheit haben, sollten Sie diese jetzt noch einmal kommunizieren und dabei auf die aktuelle Bedrohungslage eingehen. Wenn es solche Richtlinien bzw. Regeln noch nicht gibt: Legen Sie sich jetzt fest, formulieren und kommunizieren Sie sie. Beziehen Sie dabei Datenschutzbeauftragte und ggf. den Betriebsrat von Anfang an ein.
IT-Experten empfehlen außerdem folgende Maßnahmen zum sicheren Arbeiten im Home-Office.
1. Richten Sie für jeden Mitarbeiter im Homeoffice einen sicheren VPN-Zugang ein
VPN steht für “Virtuelles privates Netzwerk”. Der VPN-Zugang ermöglicht einen sicheren Zugang zum Firmennetzwerk. Mitarbeiter können hier Daten abrufen, die sonst nur im Unternehmen (Firmennetz) zur Verfügung stehen. Das betrifft auch Programme im Intranet der Firma und lokal gespeicherte Daten. Ein weiterer Vorteil: Dateien müssen nach der Rückkehr nicht aufwendig synchronisiert werden. Sichern Sie den Zugang bzw. die Authentifizierung der Nutzer durch Zertifikate. Sorgen Sie dafür, dass der Datenverkehr komplett über VPN läuft und keine Daten über die persönliche Internetleitung nach draußen gehen. Diese Sicherungsmaßnahmen sollen neben Laptops auch für Firmen-Mobiltelefone eingerichtet sein.
2. Sichern Sie die Cloud-Services ab
Wenn Sie nicht die Möglichkeit haben, ein VPN einzurichten, sind Cloud-Services eine nützliche Alternative zum Austausch sensibler Daten. Für Sicherheit sorgen Sie hier durch Konfiguration der Services selbst. Achten Sie darauf, dass alle Beschäftigten mit der aktuellen Version arbeiten, damit Angreifer keine bekannten Schwachstellen ausnutzen können. Wichtig in den Einstellungen der Services sind Funktionen wir „verschlüsselte Verbindung erzwingen“ oder „Verschlüsselung der Daten in der Cloud“. Die IT-Experten des TÜV Austria empfehlen hier Microsoft Office 365, besonders Office 365 Security Audit sowie Nextcloud für den einfachen Datenaustausch. Sorgen Sie dafür, dass Ihre Mitarbeiter die Cloud-Services ausschließlich über den Firmenlaptop nutzen.
3. IT-Spezialisten müssen erreichbar sein
Legen Sie Ansprechpartner für die Mitarbeiter aus den Bereichen IT- und Informationssicherheit (Informationssicherheitsbeauftragter/ISB) fest. Informieren Sie die Mitarbeiter im Homeoffice über deren Namen und die Zeiten, in denen sie erreicht werden können.
4. Regeln Sie den Umgang mit vertraulichen Papieren
Auch im Jahr 2020 wird es im Homeoffice immer noch Informationen auf Papier geben. Schärfen Sie Mitarbeitern ein, auch dort die “Clean-Desk-Policy” einzuhalten. Sie dürfen keine Informationen offenhalten, die nicht für Dritte bestimmt sind, beispielweise Klebezettel mit vertraulichen Informationen, etwa Passwörter. Machen Sie genaue Vorgaben für das Arbeiten mit vertraulichen Daten. Falls sich das Arbeiten mit Papierunterlagen nicht vermeiden lässt, sorgen Sie dafür, dass die Mitarbeiter diese Informationen sicher entsorgen, indem Sie z. B. einen Schredder zur Verfügung stellen. Machen Sie klare Vorgaben zum Löschen von Datenträgern. So sollten z.B. USB-Sticks nicht nur formatiert, sondern mindestens 1x überschrieben werden.
5. Kommunizieren Sie aktuelle Bedrohungen
Informationssicherheitsbeauftragte sollten Mitarbeiter bei Bedarf umgehend und regelmäßige Warnung aktuellen Bedrohungen informieren, und etwa auf Phishing-Mails, die im Umlauf sind, hinweisen.
6. Klären Sie die Verwendung von privaten Telefonen
Mitarbeiter ohne Firmen-Mobiltelefon können ihre dienstliche Telefonnummer auf das private Telefon weiterleiten. Das kann zu Problemen beim Datenschutz und der IT-Sicherheit führen, wenn z. B. Telefonnummern von Kunden gespeichert werden oder Kunden auf die Mailbox sprechen. Achten Sie darauf, auf welchem Weg per Telefon kommuniziert wird. Festnetz-Telefonate sind wenig bedenklich. Kommunikation über Smartphones, etwa WhatsApp und weitere Nachrichtendienste sind aus Sicht der Sicherheitstechnik nicht zu empfehlen.
7. Sensibilisieren Sie Mitarbeiter für physischen Zugriffs- und Zugangsschutz
Die einfachsten Maßnahmen sind oft die effektivsten. Erinnern Sie Ihre Mitarbeiter immer wieder an den Zugangsschutz. Wer Türen und Fenster nicht offen stehen lässt, hat schon viel getan. Zum Zugriffschutz gehört es, vertrauliche Papiere wegzuschließen und den Laptop zu sperren, sofern man nicht allein im Haushalt ist.
8. Sensibilisieren Sie Mitarbeiter für Pishing-Mails
Derzeit landen besonders häufig gefälschte E-Mails in den Postfächern Ihrer Mitarbeiter. Klären Sie darüber auf, dass z. B. Nachrichten zu Filialschließungen der Sparkasse, zirkulieren, in denen zu Phishing-Zwecken geheime Kundendaten abgefragt werden. In anderen Mails werden etwa Atemschutzmasken und ähnliche Artikel angepriesen, um Daten abzugreifen oder potenzielle Kunden in gefälschte Onlineshops zu lotsen. Es muss auch davon ausgegangen werden, dass Kriminelle versuchen, gezielte E-Mails an Mitarbeiter zu senden.
Weisen Sie Ihre Mitarbeiter immer wieder darauf hin, dass Sie:
- die Absender einer E-Mail kontrollieren,
- Links in E-Mails genau überprüfen,
- gefälschte E-Mails an die IT-Abteilung melden,
- besonders Zahlungsaufforderungen prüfen und
- niemals das eigene Passwort auf einer unbekannten Internetseite
eingeben.
9. Schaffen Sie einen technischen Zugriffsschutz
Entfernen Sie alle Softwarebestandteile und Funktionen, die nicht zwingend notwendig sind, damit das benötigte Programm funktioniert. In der Computertechnik wird dies als “Härtung der IT” bezeichnet. Sorgen Sie dafür, dass Speichermedien und Datenträger verschlüsselt werden. Denken Sie dabei nicht nur an eingebaute Festplatten, sondern auch USB-Sticks. Achten Sie darauf, dass Updates umgehend installiert werden. Und sorgen Sie dafür, dass Daten nicht ausschließlich lokal auf dem Gerät gespeichert werden, da sie bei einem möglichen Ausfall verloren gehen könnten.
Globus-24/PROMV/07.05.2020