Security-Pflichten für mobile Mitarbeiter

Remote zu arbeiten, birgt Sicherheitsrisiken. So kommen Sie Cyberkriminellen zuvor. [...]

Rissige Security-Layer sind allzu oft dem Verhalten der Benutzer geschuldet. Diese Maßnahmen helfen (c) pixabay.com

Es ist längst kein Geheimnis mehr, dass der Mensch die größte Schwachstelle in jedem Unternehmensnetzwerk ist. Sei es die Unfähigkeit, ausreichend komplexe Passwörter für mehrere Systeme richtig zu verwalten, schlechte Gewohnheiten in sozialen Kanälen oder mangelndes Gefahrenbewusstsein bei E-Mail-Links, oder die Nutzung von Software. In einer von Remote Work geprägten Post-COVID-Welt stellt das für Unternehmen zunehmend ein Problem dar. Schließlich können sich laxe Sicherheitsgewohnheiten auch auf persönliche Geräte mit Firmendaten ausdehnen, die für die Unternehmens-IT weder sicht- noch kontrollierbar sind.

Es gilt einen Weg zu finden, den Mitarbeitern dabei zu helfen, sich selbst und die Unternehmensressourcen besser zu schützen und gleichzeitig das Budget einzuhalten. Eine Möglichkeit, das zu tun: Sie ermutigen Ihre Mitarbeiter dazu, den nachfolgend aufgeführten Sicherheitspflichten nachzukommen.

Remote Work: Top Security-To-Dos

Cybersecurity-Schulung

Viele Unternehmen haben bereits irgendeine Form von Cybersicherheitsschulung etabliert, aber den Mitarbeitern Awareness zu vermitteln, ist eine schwierige Aufgabe. Bedenken Sie den Nutzen einer solchen Schulungsinitative: Wenn die Mitarbeiter in den Schutz ihres eigenen digitalen Lebens investieren, ist der Schutz der Unternehmensinteressen ein wichtiger Nebeneffekt. Cybersecurity-Schulungen gibt es in vielen verschiedenen Preisklassen und mit unterschiedlichen Schwerpunkten. Einer sollte darauf liegen, sich die richtigen, digitalen Gewohnheiten anzueignen.

Sie sehen gerade einen Platzhalterinhalt von YouTube. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.

Mehr Informationen

Digitale Wallets

Auch digitale Wallets werden traditionell nicht unbedingt als Sicherheitstool betrachtet, können aber aus mehreren Gründen nützlich sein. Je seltener eine Person ihre physische Brieftasche herausnimmt, desto geringer ist die Gefahr, eine Karte zu vergessen oder zu verlieren. Das könnte die Grundlage für eine Identitätskompromittierung darstellen. Wallets können zudem online anstelle einer Kreditkarte verwendet werden oder als Möglichkeit, ein Profil zu erstellen, ohne ein Konto anzulegen. Das trägt dazu bei, den digitalen Fußabdruck einer Person zu minimieren und auf Dienste zu beschränken, die ein hohes Maß an Sicherheit gewährleisten. In vielen Fällen verfügen die Mitarbeiter wahrscheinlich bereits über digitale Geldbörsen (Apple Pay oder Google Wallet). Sie müssen lediglich über den Wert und möglicherweise die Einrichtung aufgeklärt werden.

Passwort-Manager

Obwohl viele Unternehmen Maßnahmen ergreifen, um die passwortbasierte Authentifizierung und die mit ihr verbundenen Risiken zu beseitigen: Es ist noch ein weiter Weg bis „Passwordless„. Auf der Verbraucherseite sieht es noch schlechter aus, nur die wenigsten B2C-Services bieten eine passwortlose Authentifizierung. Im Allgemeinen beschränkt sich das auf Dienste von Branchenriesen wie Microsoft und Google.

Dennoch können Sie Ihr Bestes tun, um eine angemessene Passwortverwaltung zu fördern. Dazu gehört vor allem die Verwendung eindeutiger, komplexer Passwörter (nicht nur gespickt mit Sonderzeichen, sondern auch ausgestattet mit ausreichender Länge) für jede Online-Plattform. Von Ihren Mitarbeitern direkt zu erwarten, diese Aufgabe selbständig und ohne Hilfe bewältigen zu können, ist kein guter Ausgangspunkt – erwägen Sie deshalb die Anschaffung eines Passwort-Managers.

Ein guter Passwort-Manager fördert gute Gewohnheiten, indem er warnt, wenn dasselbe Passwort für mehrere Konten verwendet wird. Im Regelfall gibt er auch Auskunft darüber, wie stark das gewählte Passwort ist und hat in vielen Fällen auch einen Passwort-Generator an Bord. Passwortmanager sind auch für das Identity Monitoring hilfreich, wenn sie im Darknet nach kompromittierten Zugangsdaten Ausschau halten oder warnen, wenn ein bestimmter Service Opfer von Cyberkriminellen wurde (was eine Passwortänderung erforderlich macht).

Zwei-Faktor-Token

Idealerweise sollte die Zwei-Faktor-Authentifizierung (2FA) standardmäßig für kritische Workloads zum Einsatz kommen. Zumindest sollten die Mitarbeiter jedoch für E-Mail- und Finanzkonten den zusätzlichen Authentifizierungsfaktor verwenden. Es gibt verschiedene 2FA-Systeme wie zeitbasierte Einmalpasswörter (TOTP) oder auch Hardware-Token wie den Yubikey von Yubico, der mit einer Vielzahl von Anwendungen und Diensten (sowohl webbasiert als auch lokal) funktioniert.

Laut einer Google-Studie bieten Hardware-Tokens einen stärkeren Schutz gegen gezielte Angriffe als App-basierte Authentifizierung.

Anti-Malware-Lösungen

Anti-Malware-Software schützt die Geräte der Mitarbeiter vor den meisten Malware-Kategorien und -Varianten. Dazu setzt die Software verschiedene Techniken ein – vom Signaturabgleich bis zur KI-basierten Erkennung.

Gerätebasierte Angriffe sind immer noch ein beliebter Weg, um Anmeldeinformationen oder andere sensible Benutzerdaten zu stehlen, unabhängig von Gerätetyp oder Betriebssystem. Angesichts der illustren Geschichte gerätebasierter Angriffe, sollten Sie keine Probleme haben, anschauliche Beispiele dafür zu finden, warum Ihre Mitarbeiter diese Software installieren sollten.

VPN-Dienste

VPNs sind heutzutage in Unternehmensnetzwerken allgegenwärtig, vor allem, weil sie relativ einfach zu implementieren sind. Zudem bieten sie ein gewisses Maß an in nicht vertrauenswürdigen Netzwerken und ermögliche den Benutzern den Zugriff auf Unternehmensressourcen – so, als wären sie vor Ort.

Wenn es darum geht, mitarbeitereigenen Geräten Zugang zum Unternehmensnetzwerk zu gewähren, haben viele Unternehmen berechtigte Bedenken. Dabei ist es ein guter Kompromiss ein Virtual Private Network zu nutzen – insbesondere, wenn öffentliche WLAN-Hotspots Verwendung finden.

Sie sehen gerade einen Platzhalterinhalt von YouTube. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.

Mehr Informationen

Backup-Lösungen

Angesichts der Bedrohung durch Ransomware ist es essenziell, kritische Daten wiederherstellen zu können. Den Mitarbeitern eine Backup-Lösung für ihre persönlichen Geräte zur Verfügung zu stellen, macht durchaus Sinn, wenn auf diesen Geräten mit Unternehmensdaten gearbeitet wird.

Eine mögliche, kostengünstige Alternative ist eine Cloud-Speicherlösung, die resistent gegen Cryptolocker ist. Das heißt, sie kann einen Ransomware-Angriff erkennen und die abgelegten Daten vor Verschlüsselung schützen. Wenn Sie diesen Weg in Erwägung ziehen, sollten Sie bedenken, was Sie verlieren: Die automatische Sicherung bestimmter Dateien oder Ordner nach einem bestimmten Zeitplan und die Überwachungs- oder Berichtstools, die in einer „richtigen“ Backup-Lösung verfügbar sind.

Laptops, Telefone, Netzwerkhardware

Entweder Sie investieren vorab in die Sicherheit oder Sie riskieren Kosten, die durch einen Datenschutzverstoß entstehen können. In der Regel räumen große Unternehmen Investitionen in die Sicherheitsinfrastruktur eine höhere Priorität ein. Doch auch kleine und mittlere Unternehmen sollten abwägen, ob die Sicherheitsrisiken der Remote-Arbeit nicht zusätzliche Ausgaben rechtfertigen – wenn auch möglicherweise nur für eine begrenzte Anzahl von Benutzern, etwa Führungskräfte.

Die Anschaffung von Geräten oder Netzwerkhardware, die Ihre Mitarbeiter von zu Hause aus nutzen können, erhöht das Sicherheitsniveau, da die Reichweite (und Kontrolle) der IT-Verwaltung des Unternehmens ausgeweitet wird. So können Sie potenzielle Bedrohungen im Auge behalten und bei Bedarf im Keim ersticken. Laptops und mobile Geräte sind dabei eher übliche Investitionen, aber Sie sollten auch Netzwerkhardware wie WLAN-Zugangspunkte oder Router und Firewalls in Betracht ziehen, da diese Geräte zunehmend ins Visier von Cyberkriminellen geraten. Wird die Netzwerkhardware im Homeoffice kompromittiert, sind alle Geräte im Unternehmensnetz gefährdet.

Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.

*Tim Ferrill ist IT-Experte und beschäftigt sich in erster Linie mit Windows und Windows Server. Er schreibt für unsere US-Schwesterpublikation CSO Online.


Mehr Artikel

Frauen berichten vielfach, dass ihre Schmerzen manchmal jahrelang nicht ernst genommen oder belächelt wurden. Künftig sollen Schmerzen gendersensibel in 3D visualisiert werden (c) mit KI generiert/DALL-E
News

Schmerzforschung und Gendermedizin

Im Projekt „Embodied Perceptions“ unter Leitung des AIT Center for Technology Experience wird das Thema Schmerzen ganzheitlich und gendersensibel betrachtet: Das Projektteam forscht zu Möglichkeiten, subjektives Schmerzempfinden über 3D-Avatare zu visualisieren. […]

News

KI ist das neue Lernfach für uns alle

Die Mystifizierung künstlicher Intelligenz treibt mitunter seltsame Blüten. Dabei ist sie weder der Motor einer schönen neuen Welt, noch eine apokalyptische Gefahr. Sie ist schlicht und einfach eine neue, wenn auch höchst anspruchsvolle Technologie, mit der wir alle lernen müssen, sinnvoll umzugehen. Und dafür sind wir selbst verantwortlich. […]

Case-Study

Erfolgreiche Migration auf SAP S/4HANA

Energieschub für die IT-Infrastruktur von Burgenland Energie: Der Energieversorger hat zusammen mit Tietoevry Austria die erste Phase des Umstieges auf SAP S/4HANA abgeschlossen. Das burgenländische Green-Tech-Unternehmen profitiert nun von optimierten Finanz-, Logistik- und HR-Prozessen und schafft damit die Basis für die zukünftige Entflechtung von Energiebereitstellung und Netzbetrieb. […]

FH-Hon.Prof. Ing. Dipl.-Ing. (FH) Dipl.-Ing. Dr. techn. Michael Georg Grasser, MBA MPA CMC, Leiter FA IT-Infrastruktur der Steiermärkischen Krankenanstaltengesellschaft m.b.H. (KAGes). (c) © FH CAMPUS 02
Interview

Krankenanstalten im Jahr 2030

Um sich schon heute auf die Herausforderungen in fünf Jahren vorbereiten zu können, hat die Steiermärkische Krankenanstaltengesellschaft (KAGes) die Strategie 2030 formuliert. transform! sprach mit Michael Georg Grasser, Leiter der Fachabteilung IT-Infrastruktur. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*