27.03.2020
Für alle bedeutet diese ungewohnte Situation jedoch auch Stress und Veränderung, denn Prozesse, Technologien und Verhaltensweisen sind noch nicht etabliert. Und vermutlich wird diese ungewöhnliche Situation weiterhin Bestand haben.
In diesem Artikel soll daher versucht werden, einen Überblick zu geben, wie Sie Telearbeit sicher gestalten und Zeit und Ressourcen bestmöglich einsetzen, um sich vor Cyberbedrohungen und schlechterem (breiten) Perimeterschutz zu wappnen.
Jetzt ist die Zeit, sich strategisch und prozessual angemessen aufzustellen, um resilient zu sein gegenüber gesteigerten Angriffsszenarien durch dezentralisiertes Arbeiten.
Ein kleiner Tipp zur Handhabung:
Setzen Sie bei Bedarf am Ende jedes Listenpunktes ein Ja – erledigt, ein To do – noch offen oder ein „nicht möglich“, um Übersicht zu erhalten und so Kontrolle und Selbstbestimmtheit zu erlangen.
1. So bürokratisch es klingt, verbindliche und eindeutige Regelungen die IT-Sicherheit und der Datensicherheit betreffend, sollten spätestens jetzt in Organisationen schriftlich an alle betreffenden Personen kommuniziert werden.
2. Klären Sie Zuständigkeiten und Ansprechpersonen bei etwaigem Verlust von Komponenten sowie Meldewege. Diese Kommunikationswege sollten allen Beschäftigten bekannt sein – und von ihnen auch verifiziert werden können.
3. Mitarbeitende sollten angehalten werden, auch während der Heimarbeit bestimmte Sicherheitsmaßnahmen selbst zu ergreifen. Dazu gehört, dass der Arbeitsplatz physisch vor Zugriff gesichert ist, also Türen verschlossen und Bildschirme gesperrt werden. Empfehlenswert ist zudem, die Webcam am Rechner oder Laptop abzudecken und Bildschirme vor etwaigen Einblicken von außen zu positionieren.
Das dezentrale Arbeiten bildet eine ideale Grundlage für verschiedene Angriffsszenarien, von veralteter technischer Infrastruktur, die nicht durch das Firmennetz abgesichert ist, über ungesicherte Router und WLAN-Verbindungen zu unverschlüsselten Datenträgern, bis zu CEO-Fraud, Ransomware und klassische Phishing-Mails. Mitarbeitende haben einen gesteigerten Informationsbedarf – gleichzeitig müssen Organisationen ihr Sicherheitsbewusstsein fördern.
4. Sichern Sie Ihr WLAN Zuhause, indem Sie das Standard-Administrator-Passwort ändern, die WPA2-Verschlüsselung aktivieren und ein starkes Kennwort verwenden. Hinweise zu starken Passwörtern folgen weiter unten.
5. Sensibilisieren Sie vor Angriffen, die darauf abzielen, Informationen und Daten zu erhalten, die Hinweise auf Passwörter, Bankverbindungen oder Zugänge zu Systemen und Anwendungen enthalten. Weisen Sie besonders auf CEO-Fraud hin.
Social Engineering stellt vor allem in Zeiten dramatischer Veränderungen eines der größten Risiken im Home Office dar.
Angreifer täuschen und tricksen, um Mitarbeiter zu fehlerhaftem Verhalten zu animieren. E-Mail Phishing ist ein Teilaspekt, wichtig ist aber auch besondere Vorsicht bei Telefonanrufen, SMS, Social-Media-Inhalten und gefälschten Nachrichten, die über Messenger in Firmenanwendungen, die zur Kollaboration verwendet werden, vertrieben werden.
6. Nutzen Sie sichere Kommunikationskanäle, um auf Unternehmensressourcen zuzugreifen. Verwenden Sie wo möglich sogenannte Virtual Private Networks (VPN), die als „Vermittler“ über einen „gesicherten Tunnel“ Verbindungen zwischen dem Endgerät und dem Unternehmensnetz aufbauen.
7. Sichere Passwörter schützen Anwendungen zusätzlich vor unberechtigtem Zugriff. Etablieren Sie komplexe und eindeutige Passwörter und nutzen Sie zusätzlich eine Multi-Faktor-Authentifizierung (MFA oder 2FA).
Passphrasen sind gute Passwörter, denn sie sind möglichst lang, komplex und verwenden zufällige Begriffe oder Sätze. Wir verschlüsseln Datenträger! oder keine-Zellen-in-Excel-verbinden sind Beispiele hierfür.
Beide sind stark, mit vielen Zeichen, leicht zu merken und zu tippen, aber schwierig zu knacken. Ergänzen Sie diese um Symbole, Zahlen oder Großbuchstaben. Wenn ein eindeutiges Passwort für jede Ihrer erforderlichen Anwendungen notwendig ist, empfiehlt sich ein Passwort-Manager, also ein Programm, das Passwörter in einer Art Tresor speichert und im Bedarfsfall automatisch abruft – und eindeutige Passwörter sind grundsätzlich empfehlenswert.
Andernfalls muss ein Angreifer lediglich eine von Ihnen benutzte Website erfolgreich kompromittieren, um an alle – auch Ihr – Passwort zu gelangen und sich dann einfach bei allen weiteren Konten erfolgreich anzumelden. Auf haveibeenpwned.com kann schnell überprüft werden, ob dies bereits geschehen ist.
Wenn Sie einen Passwortmanager verwenden, schützen Sie diesen am besten mit einer starken Passphrase sowie einer zweistufigen Verifizierung.
8. Aktualisierte Betriebssysteme, Webanwendungen und Apps: Stellen Sie sicher, dass verwendete Technologien auf dem aktuellsten Stand sind und Updates regelmäßig ausgeführt werden. Mitarbeiter sollten stets mit der neuesten Systemversion arbeiten.
Empfehlenswerte, weiterführende Informationen
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat Maßnahmen als PDF zum Download bereitgestellt.
Alexei Balaganski, Lead Analyst bei KuppingerCole, hat aktuelle Entwicklungen unter dem Titel „Ransomware während der pandemischen Krise“ zusammengefasst.