Die Corona-Pandemie hat Home-Office zum festen Bestandteil in vielen Unternehmen gemacht und viele Beschäftigte möchten, dass es auch so bleibt. Dieser Trend erfordert aber auch eine Anpassung der IT-Security und stellt viele Netzwerk- und IT-Sicherheitsspezialisten vor eine große Herausforderung. [...]
Ob Mitarbeiter ins Home-Office können oder vom firmeneigenen Schreibtisch aus tätig werden sollen, hängt vor allem mit der Zahl der Angriffspunkte in der Netzwerk- und Datensicherheit zusammen. »Das allerdings ist auch eine Frage der Sicherheit«, sagt Patrycja Schrenk, Geschäftsführerin der PSW GROUP. »Eine effektive Absicherung von Unternehmensnetzwerken muss auch bei vielen Remote-Mitarbeitern gewährleistet sein. Genau das stellt aber Netzwerk- und IT-Sicherheitsspezialisten vor eine Herausforderung.« Einer ESET-Studie zufolge haben Hackerangriffe auf Remote Desktop-Verbindungen (RDP) im vergangenen Jahr wesentlich zugenommen. Im Juni 2020 wurden binnen 24 Stunden 3,4 Millionen Attacken auf Unternehmensnetzwerke gefahren. Zudem legt eine Untersuchung von CyberArk dar, dass die Hälfte aller remote arbeitenden Mitarbeiter für Zugriffe auf Unternehmenssysteme unsichere Privatgeräte, 96 Prozent der Befragten identische Passwörter geräte- und anwendungsübergreifend und ein Viertel der Befragten die Browser-eigene, unsichere Passwortspeicherung für Firmengeräte verwendet. Weitere 20 Prozent gestattet anderen Haushaltsmitgliedern die Nutzung der Firmengeräte.
»Viele Unternehmen haben im Jahr 2020 festgestellt, dass die hauseigene IT-Infrastruktur dem plötzlichen Remote-Ansturm nicht standhalten konnte. Sie mussten in der ersten Corona-Welle zügig reagieren und ihre Mitarbeiter ins Home-Office schicken, sollte der Geschäftsbetrieb aufrecht erhalten bleiben. Leider ging das häufig zulasten der IT-Sicherheit, denn vielfach fehlte es an ausreichenden Sicherheitsmaßnahmen«, fasst Schrenk die Situation vieler Unternehmen zusammen. »Jetzt, nach einigen Monaten der Gewöhnung, ist es dringend an der Zeit, die IT-Sicherheit im Home-Office zu erhöhen.« Und das gelingt laut Schrenk mit relativ einfachen Mitteln: „Wichtig ist, IT-Sicherheit im Home-Office nicht als lästige Kostenstelle zu sehen, sondern als Investition in die Absicherung und Zukunftsfähigkeit des eigenen Unternehmens zu begreifen.«
VPN und Multifaktor-Authentifizierung
Der Zugriff auf das Firmennetzwerk müsse sicher sein, weshalb VPN fest vorzuschreiben se. »Idealerweise werden solche Vorschriften in einer Sicherheitsrichtlinie festgehalten, die allen Mitarbeitern sowohl im Home-Office als auch direkt im Unternehmen vorliegt. Sie dient einerseits als verbindliche Leitlinie, gibt Mitarbeitern andererseits aber auch Unterstützung an die Hand«, so Schrenk. Anstelle des üblichen Logins per Nutzername und Passwort könne zudem noch mindestens ein weiterer Sicherheitsfaktor ergänzt werden, etwa die Eingabe einer PIN, die an ein Smartphone versendet wird. In der Sicherheitsrichtlinie können dann auch Vorgaben für Passwörter gemacht werden. »Die sollten komplex und damit sicher sein. Die Verwendung eines Passworts für mehrere Dienste sollte untersagt werden, da kompromittierte Konten zum Öffnen weiterer Accounts dienen«, ergänzt Schrenk.
Awareness schaffen
Die größte Schwachstelle in Unternehmen ist und bleibt der Mensch – und er ist auch wesentlich für die IT-Sicherheit im Home-Office mitverantwortlich. Auf Gefahren wie Spear Phishing, Social Engineering, Phishing, Malware- und Ransomware-Attacken müssen Mitarbeiter vorbereitet werden, um entsprechend reagieren zu können. Awareness-Schulungen sind deshalb ein wichtiger Baustein in der Optimierung der IT-Sicherheit.
Zudem haben unsichere und veraltete Endgeräte nichts im Unternehmensnetzwerk verloren und sollten nicht mehr eingesetzt werden. In der Sicherheitsrichtlinie sollte vermerkt werden, bereitgestellte Sicherheitspatches umgehend einzuspielen – idealerweise automatisch.
»Es ist dringend an der Zeit, die IT-Sicherheit im Home-Office zu erhöhen«
Patrycja Schrenk, GF PSW GROUP
Verschlüsselung der Kommunikationswege
Unsichere Messenger- und Videokonferenzdienste sollten ebenfalls Tabu und die verschlüsselte Kommunikation an der Tagesordnung sein. Vor allen Dingen ist auf die Sicherheit beim Kommunikationsmittel Nummer 1, der E-Mail, zu achten. E-Mail-Zertifikate sind hier das Mittel der Wahl.
»Mein Rat ist, systematisch vorzugehen und zunächst die Risiken für die Organisation zu identifizieren, zu bewerten und zu priorisieren. Daraus lässt sich dann die Sicherheitsrichtlinie ableiten. Bereits erprobte Lösungen können für eine zügige Schadensminderung zeitnah umgesetzt werden, jedoch sollten auch mittel- und langfristige Überlegungen angestellt werden, um die IT-Sicherheit im Home-Office und im gesamten Unternehmen auch in Zukunft zu gewährleisten«, so Schrenk abschließend.
Stress im Home-Office
Auf eine anderes Problem weist die Boston Consulting Group hin: Beschäftigte großer Unternehmen, die oft von zu Hause aus arbeiten und sich zugleich um Kinder oder andere Angehörige kümmern, fühlen sich häufig gestresst und fürchten um ihre Karriere. Da Eltern junger Kinder oft Manager auf mittlerer Führungsebene seien, sollten Firmen aktiv werden.
Be the first to comment