Das neue Jahr beginnt, wie das Alte aufgehört hat: Im Home-Office. Die Corona-Pandemie hat es zum festen Bestandteil in vielen Unternehmen gemacht. Wie eine Befragung der Initiative D21 zeigt, arbeiteten 2020 32 Prozent der Berufstätigen im Home-Office.
Damit hat sich die Anzahl jener, die von zu Hause arbeiten, im Vergleich zum Vorjahr verdoppelt. Viele Beschäftigte möchten, dass es so bleibt: Für 51 Prozent der Befragten, die über Home-Office-Erfahrungen verfügen, wäre es vorstellbar, die Heimarbeit weiter auszuweiten.
„Das allerdings ist auch eine Frage der Sicherheit“, mahnt Patrycja Schrenk, Geschäftsführerin der PSW GROUP. Die IT-Sicherheitsexpertin erläutert: „Eine effektive Absicherung von Unternehmensnetzwerken muss auch bei vielen Remote-Mitarbeitern gewährleistet sein. Genau das stellt aber Netzwerk- und IT-Sicherheitsspezialisten vor eine Herausforderung.“
Denn ob Mitarbeiter ins Home-Office können oder vom firmeneigenen Schreibtisch aus tätig werden sollen, hängt vor allem mit der Zahl der Angriffspunkte in der Netzwerk- und Datensicherheit zusammen. „Angesichts einschlägiger Studien ist nachvollziehbar, wenn der Gedanke an dauerhaftes Home-Office Geschäftsführern Kopfzerbrechen bereitet“, so Schrenk. Sie verweist auf Studien von ESET und CyberArk: Einer ESET-Studie zufolge haben Hackerangriffe auf Remote Desktop-Verbindungen (RDP) im vergangenen Jahr wesentlich zugenommen. Im Juni 2020 wurden binnen 24 Stunden 3,4 Millionen Attacken auf Unternehmensnetzwerke gefahren. Zudem legt eine Untersuchung von CyberArk dar, dass die Hälfte aller remote arbeitenden Mitarbeiter für Zugriffe auf Unternehmenssysteme unsichere Privatgeräte, 96 Prozent der Befragten identische Passwörter geräte- und anwendungsübergreifend und ein Viertel der Befragten die Browser-eigene, unsichere Passwortspeicherung für Firmengeräte verwendet. Weitere 20 Prozent gestattet anderen Haushaltsmitgliedern die Nutzung der Firmengeräte.
„Viele Unternehmen haben im Jahr 2020 festgestellt, dass die hauseigene IT-Infrastruktur dem plötzlichen Remote-Ansturm nicht standhalten konnte. Sie mussten in der ersten Corona-Welle zügig reagieren und ihre Mitarbeiter ins Home-Office schicken, sollte der Geschäftsbetrieb aufrecht erhalten bleiben. Leider ging das häufig zulasten der IT-Sicherheit, denn vielfach fehlte es an ausreichenden Sicherheitsmaßnahmen“, fasst Patrycja Schrenk die Situation vieler Unternehmen zusammen. Sie mahnt jedoch: „Jetzt, nach einigen Monaten der Gewöhnung, ist es dringend an der Zeit, die IT-Sicherheit im Home-Office zu erhöhen!“ Und das gelingt mit relativ einfachen Mitteln, wie die Expertin aufzeigt: „Wichtig ist, IT-Sicherheit im Home-Office nicht als lästige Kostenstelle zu sehen, sondern als Investition in die Absicherung und Zukunftsfähigkeit des eigenen Unternehmens zu begreifen.“
So optimieren Unternehmen die Sicherheit von Home-Office Arbeitsplätzen
Zugänge sichern: VPN und Multifaktor-Authentifizierung
Der Zugriff auf das Firmennetzwerk muss sicher sein, weshalb VPN fest vorzuschreiben ist. „Idealerweise werden solche Vorschriften in einer Sicherheitsrichtlinie festgehalten, die allen Mitarbeitern sowohl im Home-Office als auch direkt im Unternehmen vorliegt. Sie dient einerseits als verbindliche Leitlinie, gibt Mitarbeitern andererseits aber auch Unterstützung an die Hand“, so Patrycja Schrenk.
Anstelle des üblichen Logins per Nutzername und Passwort kann zudem noch mindestens ein weiterer Sicherheitsfaktor ergänzt werden, etwa die Eingabe einer PIN, die an ein Smartphone versendet wird. In der Sicherheitsrichtlinie können dann auch Vorgaben für Passwörter gemacht werden. „Die sollten komplex und damit sicher sein. Die Verwendung eines Passworts für mehrere Dienste sollte untersagt werden, da kompromittierte Konten zum Öffnen weiterer Accounts dienen“, ergänzt Schrenk.
Schwachstelle Mitarbeiter: Awareness schaffen
Die größte Schwachstelle in Unternehmen ist und bleibt der Mensch – und er ist auch wesentlich für die IT-Sicherheit im Home-Office mitverantwortlich. Auf Gefahren wie Spear Phishing, Social Engineering, Phishing, Malware- und Ransomware-Attacken müssen Mitarbeiter vorbereitet werden, um entsprechend reagieren zu können. Awareness-Schulungen sind deshalb ein wichtiger Baustein in der Optimierung der IT-Sicherheit.
Weg mit alten, unsicheren Endgeräten
Unsichere und veraltete Endgeräte haben nichts im Unternehmensnetzwerk verloren und sollten nicht mehr eingesetzt werden. In der Sicherheitsrichtlinie sollte vermerkt werden, bereitgestellte Sicherheitspatches umgehend einzuspielen – idealerweise automatisch.
Verschlüsselung der Kommunikationswege
Unsichere Messenger- und Videokonferenzdienste sollten ebenfalls Tabu und die verschlüsselte Kommunikation an der Tagesordnung sein. Vor allen Dingen ist auf die Sicherheit beim Kommunikationsmittel Nummer 1, der E-Mail, zu achten. E-Mail-Zertifikate sind hier das Mittel der Wahl.
„Mein Rat ist, systematisch vorzugehen und zunächst die Risiken für die Organisation zu identifizieren, zu bewerten und zu priorisieren. Daraus lässt sich dann die Sicherheitsrichtlinie ableiten. Bereits erprobte Lösungen können für eine zügige Schadensminderung zeitnah umgesetzt werden, jedoch sollten auch mittel- und langfristige Überlegungen angestellt werden, um die IT-Sicherheit im Home-Office und im gesamten Unternehmen auch in Zukunft zu gewährleisten“, gibt Schrenk noch einen Tipp.
www.psw-group.de