IT-Sicherheit beim mobilen Arbeiten

Spätestens seit Beginn der Corona-Krise ist die Anzahl von Unternehmen, welche Ihren Angestellten mobiles Arbeiten ermöglichen, rasant gestiegen. Während vor der Krise noch nur 40 Prozent aller deutschen Unternehmen mobiles Arbeiten ermöglichten, ist die Anzahl im Q2 2020 mittlerweile auf über 60 Prozent angestiegen.

Die zum Teil hastige Umstellung komplexer IT-Strukturen erhöht die Zahl der Angriffsvektoren, welche von Cyberkriminellen genutzt werden. Unternehmen müssen produktiv bleiben! Gleichzeitig jedoch die IT-Sicherheitsziele, wie Integrität, Vertraulichkeit und Verfügbarkeit, aufrechterhalten, mit dem zentralen Problem, dass Angreifende sich auf einen Angriffsvektor spezialisieren können. Das Unternehmen hingegen muss alle Einfallstore schützen. Dabei spielt auch die Unternehmensgröße nur eine untergeordnete Rolle. IT-Sicherheit beim mobilen Arbeiten ist sowohl Thema für Großkonzerne als auch für kleine und mittlere Unternehmen.  Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt klare Regelungen, um möglichst viele Unsicherheiten auszuräumen. Dabei gilt es zum einen technische Maßnahmen zu ergreifen und zum anderen Angestellte in den wichtigen Bereichen zu sensibilisieren. 

Arbeiten im heimischen Co-Working-Space

Mobiles Arbeiten meint nicht nur das Surfen im Café oder in der Bahn. Auch der heimische Arbeitsplatz, ob nun im eigenen Haus oder in der Wohngemeinschaft, muss an die Sicherheitsvorgaben des Unternehmens angepasst werden. Die eigenen vier Wände sind meist auch für Familienangehörige, Mitbewohner/innen und Freunde zugänglich. Somit kann vom heimischen Co-Working-Space gesprochen werden. Es sollte genau geprüft werden, welche Maßnahmen zum Einbruch- und Zutrittsschutz getroffen werden können und welche infrastrukturellen Änderungen nötig sind, um das Sicherheitsniveau zu erhöhen. Aber nicht nur das Unternehmen kann zu einem höheren Informationssicherheitsniveau beitragen. Angestellte sollten durch entsprechende Awareness-Kampagnen sensibilisiert werden und den häuslichen Arbeitsplatz stets aufgeräumt hinterlassen, um ein Abwandern von sensiblen Informationen zu verhindern. Regelungen, wie die Clean Desk Policy, gelten nicht nur im Unternehmen sondern auch im Home-Office. 

Aber nicht nur aus der Sicht der IT-Sicherheit birgt das heimische Büro Gefahren. Auch aus Datenschutzsicht sollten Regelungen und Vorgaben getroffen werden. Weiterhin dürfen Unternehmen die Aufrechterhaltung der Verfügbarkeit nicht unterschätzen. Durch die Vielzahl an Personen, welche während der Corona-Pandemie gezwungen waren aus dem heimischen Büro zu agieren, kam es vermehrt zu Verbindungsproblemen. Wenn zur selben Zeit der gesamte Haushalt an einer Videokonferenz teilnimmt, ist die Bandbreite entscheidend. Durch mobile Ersatzlösungen, wie zum Beispiel LTE-Router, kann die Verfügbarkeit auch bei Störungen der heimischen Internetleitung aufrechterhalten werden. 

Kommunikationskanäle absichern!

Damit geschäftliche Aufgaben von überall erledigt und der Zugriff auf interne Ressourcen auch über unbekannte Netzwerke möglichst sicher geschehen kann, müssen sichere Protokolle verwendet werden, damit Informationen nicht abgehört oder manipuliert werden können.  Eine große Gefahr bergen öffentliche Hotspots. Denn zum einen ist der Personenkreis, welcher sich im Netzwerk befindet, meist nicht transparent und auch die Sicherheitsregelungen der betreibenden Stelle können nicht immer klar eingesehen werden. Dazu kommen noch sogenannte „Fake Accesspoints“ oder Honeypots. Also Netzwerke, die nicht halten was sie versprechen. Nur weil ein Netzwerk „Starbucks Free WLAN“ heißt, bedeutet das noch nicht, dass Starbucks dieses betreibt.

Cyberkriminelle nutzen diese Fake Accesspoints, um Personen in deren Netzwerk einzuschleusen, um so an sensible Informationen zu gelangen. Zum Schutz sollten sichere Remote-Zugänge eingerichtet werden, zum Beispiel durch kryptografisch abgesicherte Virtual Private Networks (VPN). Aber auch der beste VPN-Anbieter nützt nichts, wenn Unberechtigte Einsicht auf das Arbeitsgerät nehmen können oder sensible Telefonate in der Öffentlichkeit geführt werden. Dabei ist das sogenannte „Shoulder Surfing“ eine beliebte Taktik von Kriminellen. Aus diesem Grund ist die Sensibilisierung von Angestellten und die Verwendung von Sichtschutzfolien essenziell. Des Weiteren sorgen geregelte Kommunikationswege und Kontaktstellen für mehr Sicherheit. Denn meist ist die Unsicherheit durch physische Distanz und ungewohnte Kommunikationsabläufe so groß, dass ein großes Fehlerpotential besteht. Eine Verifizierungsmöglichkeit von Informationen hilft den Personen bei der Einschätzung von brenzligen Situationen. 

Verschlüsselung und Datensicherung als Teil des Sicherheitskonzepts

Die Verlust- und Diebstahlgefahr von Geräten ist während der Bahnfahrt, im Hotelzimmer oder im öffentlichen Café viel höher als im gut geschützten Büro. Aus diesem Grund sollten alle tragbaren Geräte und Datenträger unbedingt vollverschlüsselt werden. Somit können sich Angreifende zwar physisch Besitz verschaffen, aber nicht auf Informationen zugreifen. Hierbei gilt es die Passwortrichtlinie des Unternehmens zu beachten. Ein Datenträger oder ein anderes tragbares Gerät kann noch so gut verschlüsselt sein, wenn der Verschlüsselungskey nicht aus einem sicheren Passwort besteht. Weiterhin ist nicht nur Diebstahl ein großes Risiko für Unternehmensdaten. Durch Stürze, Schäden beim Transport oder falsche Aufbewahrung kann es zu Datenverlust kommen. Aus diesem Grund sollten wichtige Daten nicht nur lokal gespeichert werden. Es empfiehlt sich eine redundante Datenhaltung der lokal gespeicherten Dateien. Im Falle der Datensicherung auf externen Datenträgern.