Aufgrund der erforderlichen Maßnahmen, die von den Regierungen in aller Welt zur Eindämmung der COVID-19-Pandemie umgesetzt werden, haben sich die Methoden im Arbeitsalltag und der Austausch mit Kollegen, Geschäftspartnern und Kunden in den letzten Wochen teilweise stark verändert, und es ist davon auszugehen, dass dies auch in den kommenden Wochen so bleiben wird. Für die IT-Sicherheit ist diese Umstellung eine große Herausforderung, vor allem vor dem Hintergrund, dass sie meist ungeplant und ohne die entsprechend notwendigen Vorbereitungen vonstattengegangen ist.
Worauf fernarbeitende Mitarbeiter nun achten sollten, um die IT-Sicherheit des Unternehmens auch im Homeoffice zu bewahren, fasst der unabhängige Berater für Cyber- und Applikationssicherheit SEC Consult in elf Punkten zusammen:
1. Richtlinien
Erfragen Sie, ob es eine aktuelle Sicherheitsrichtlinie („Security Policy“) für Telearbeit im Unternehmen gibt und welche Vorgaben Sie beinhaltet.
2. Geräte
Informieren Sie etwaige Vorgesetzte und die IT-Abteilung über elektronische Geräte, die vom Arbeitsplatz aus dem Firmenbüro zur Verwendung im Homeoffice nach Hause entnommen wurden. Erkundigen Sie sich über etwaige Sicherheitsvorkehrungen.
3. Updates
Prüfen Sie täglich, ob es für das Betriebssystem und jegliche installierte Software neue Updates gibt und installieren Sie diese, bevor Sie mit der Arbeit beginnen.
4. Internetverbindung
Wenn Sie vertrauliche Informationen über das Internet verarbeiten, ist eine sichere Verbindung wie z.B. über ein VPN oder spezielle Geräte nötig, um eine sichere Datenübertragung zu gewährleisten. Wenden Sie sich hier unbedingt an Ihre IT-Abteilung.
Wenn Ihr Unternehmen eine Datenkarte zur Verfügung stellt, ist aus Sicherheitsgründen folgende Verbindungsreihenfolge empfehlenswert:
Datenkarte => privates WLAN => mobiler Hotspot
Schalten Sie nach Möglichkeit andere Geräte, die ebenfalls in Ihrem WLAN verbunden sind, aus. Sicherheitsbewusste Mitarbeiter können sonst auch das folgende Setup verwenden:
privates WLAN => Datenkarte => mobiler Hotspot
5. Kommunikation
Falls es eine interne Richtline zur Informationsklassifizierung gibt, dürfen Dokumente mit einer bestimmten Klassifizierung, z.B. „intern“, „vertraulich“ und „streng vertraulich“, nur über verschlüsselte E-Mails oder verschlüsselte Zip-Dateien über einen zweiten Kanal gesendet werden (z.B. separate SMS für das Zip-Passwort). Diese Methode erfordert natürlich eine vorherige telefonische Vereinbarung. Eine sichere E-Mail-Kommunikation kann mithilfe der S/MIME- oder PGP-Verschlüsselung erreicht werden. Wenn keine Richtlinie zur Klassifizierung von Informationen verfügbar ist, erkundigen Sie sich bei Ihrem Vorgesetzten, wie die Einhaltung der DSGVO in die Telearbeit einbezogen werden kann.
„Personen, die in Ihrer Wohnung leben, sollten über die Bedeutung des Datenschutzes, der DSGVO und Ihrer eigenen Verantwortung informiert werden.“
Ulrich Fleck, SEC Consult
6. Physischer Schutz
Klare Kommunikation ist der Schlüssel, insbesondere mit den Menschen, die im selben Haus oder in derselben Wohnung leben. Sie sollten über die Bedeutung des Datenschutzes, der DSGVO und Ihrer Verpflichtung gegenüber dem Unternehmen informiert werden. Sie können das Risiko auch aktiv verringern, indem Sie den Bildschirm jedes Mal sperren, wenn das Gerät unbeaufsichtigt bleibt.
Schützen Sie Dokumente vor Dritten, indem Sie Unterlagen beim Verlassen des Arbeitsplatzes an einem sicheren Ort aufbewahren. Schließen Sie externe Medien und Geräte nur dann an Ihren Arbeitscomputer an, wenn diese zuvor von der IT genehmigt wurden. Dies gilt auch für USB-Laufwerke jeglicher Art.
7. VPN oder kein VPN
Untersuchungen zeigen immer wieder die vielfältigen Lücken und Probleme bei der Integration von VPN-Diensten in die Telearbeit. Wenn Internet- oder VPN-Dienste wegen eines Ausfalls nicht zur Verfügung stehen, können die Daten nach Absprache mit dem Vorgesetzten und der IT-Abteilung in Ausnahmefällen lokal gespeichert werden. Regelmäßige Backups sind empfehlenswert. Die Daten sollten spätestens am Tagesende auf sicherem Wege in das Unternehmensnetzwerk übertragen werden. Lokale Kopien müssen ggf. mit Hilfe der IT-Abteilung auf sichere Weise gelöscht werden, um etwaigen Anforderungen der DSGVO zu entsprechen.
8. Home-Office Software
Software für die Telearbeit muss zunächst von der IT-Abteilung geprüft werden. Dazu zählt auch die Vertrauenswürdigkeit der Anbieter und Bezugsquellen im Internet. Nutzen Sie nur die intern bereitgestellten Links zu den Softwaredownloads, um sicherzustellen, dass es sich nicht um Schadsoftware handelt.
9. Sicherer Kommunikationskanal
Internetbetrüger geben sich oft als Geschäftsführer oder Abteilungsleiter eines Unternehmens aus, weil die Anordnungen von Mitarbeitern selten hinterfragt werden. Beispiele hierfür sind CEO-Betrug und Deep-Fake-Voice-Betrug. Wichtige Transaktionen und Informationsübertragungen sollten daher über einen sicheren Kanal bestätigt werden. Dieser Kanal sollte allen erforderlichen Mitarbeitern bereits bekannt sein und zu Überprüfungszwecken verwendet werden.
10. Anti-Viren Schutz
Halten Sie in Absprache mit der IT-Abteilung auch die installierte Version der Antivirensoftware auf dem aktuellsten Stand.
11. Private Verwendung
Firmengeräten und Medien dürfen ohne vorherige schriftliche Genehmigung nicht für private Zwecke genutzt werden. Wechseln Sie für derlei Dinge besser zu einem privaten Gerät.
