Das seit der Corona-Epidemie übliche Ausweichen ins "Homeoffice" birgt vielfach nicht beachtete sicherheitsrelevante Tücken! Private Geräte, die für Homeofficearbeit genutzt werden, sind ein ganz heikles Thema.

Durch Heimarbeit können Sie zwar Ihre physische Infektion mit einem Virus vermeiden, jedoch nicht die Ihrer IT, vor allem, wenn Sie private Geräte für Ihre Arbeit im Firmennetzwerk nutzen. Hintergrund unter anderem: In den seltensten Fällen sind private Geräte ausreichend gesichert, sei es bezüglich Virenschutz, Firewall etc.. Selbst IT-Nutzer, die einen recht guten Überblick über IT-Sicherheit haben, sind selten so abgesichert wie es für Firmendaten nötig ist.

Wenn der Mitarbeiter sich zum Beispiel beim privaten Surfen einen Virus einfängt und dann ins Firmennetzwerk geht, kann der Schädling auch ins Firmennetz gelangen!
Ganz krass wird es für das Unternehmen, wenn private Cloud-Lösungen genutzt werden, weil das Unternehmen dann die Kontrolle über seine Daten verliert:
Wenn Mitarbeiter ihre Daten in einer Cloud auslagern, dann gehen auch die Firmendaten dorthin. Eine Cloud ist jedoch relativ unsicher. Durch ausgelagerte Fotos in eine Cloud sind u.a. schon Fotos von Prominenten gestohlen und veröffentlicht worden.

Bei den privaten Laptops, Smartphones etc. die auch für das Homeoffice genutzt werden, liegt es sehr viel in Anwenders Hand, wie sicher das Gerät ist. Genau genommen müssen diese Geräte genauso sorgfältig und maßgeschneidert abgesichert werden wie Firmengeräte! 

Ja, irgendwo im Netz heruntergeladene kostenlose Virenschutzprogramme tun laut Testberichten oft einen guten Job, aber nur für den Privatbereich! Für den Schutz von sensiblen Unternehmensdaten reicht das keinesfalls! Und das beste Virenschutzprogramm nützt wenig, wenn es nicht auf dem aktuellsten Stand ist. Die zeitnahe Aktualisierung kann man zum Beispiel im Rahmen von Managed Service Vertrages mit einem IT-Dienstleister sicherstellen, wenn man selbst keine Lust hat die neusten Patches zeitnah einzuspielen.

All das, was für die Sicherheit von Passwörtern, Virenschutz, Firewall, für das Öffnen von Links und Anhängen in Mails, Entsorgung von Speichermedien, Reparatur und Datenklau gilt, gilt natürlich auch für Laptops, PCs und Smartphones, die im Homeoffice genutzt werden!

Wenn Sie auf Firmendaten von zu Hause oder vom Smartphone aus zugreifen, sollten Sie u.a.

- Datensicherungen und Sicherheitsupdates regelmäßig und zeitnah durchführen

- nicht benötigte Schnittstellen deaktivieren (z.B. WLAN und Bluetooth, wenn sie nicht gebraucht werden)

- ein VPN installieren und

- eine Firewall

- und ein Remote Desktop Gateway

- Geräte mit Netzwerkanbindung und Router sollten stets auf dem aktuellsten Firmwarestand sein und über eigene Schutzfunktionen verfügen.

Jedoch kann auch ein irgendwo im Netz heruntergeladener VPN Installer verseucht sein und ein Unternehmen an den Rand des finanziellen Ruins treiben, wenn es zum Beispiel seine Unternehmensdaten verliert oder sensible Daten veröffentlicht werden.

Und nicht jede Firewall passt zu den individuellen Anforderungen und ist sie zu lasch eingestellt, ist ihr Nutzen fraglich.

 

Bitte lassen Sie sich daher von einem IT-Fachmann Ihres Vertrauens beraten, damit der vermeintliche Rettungsanker Homeoffice nicht zum Desaster wird!

Übrigens: Der Gesetzgeber hat 8 Punkte zur Sicherheit von Daten vorgegeben. Dabei sind dokumentierte Regelungen zwischen Arbeitgeber und Arbeitnehmer und regelmäßige Kontrolle Pflicht. Bei Heimarbeit und mobilen Arbeitsplätzen ist eine Regelung nötig bezüglich folgender Aspekte:

1. Zutrittskontrolle: Unbefugte Dritte dürfen nicht physisch an Hardware kommen mit unternehmens- und personenbezogenen Daten.
2. Zugangskontrolle:
Unbefugte dürfen nicht die IT-Systeme nutzen können bzw. in Betrieb nehmen können. Wer kann Laptop oder PC im Homeoffice starten?
3. Zugriffskontrolle:
IT-System darf nur innerhalb der Berechtigung genutzt werden. Wer verhindert, dass Smartphone nicht einem Freund zur Verfügung gestellt wird, weil er sich ein Taxi rufen möchte? Das darf nicht sein, wenn darauf Unternehmensinfos ohne Passwort abrufbar sind!
4. Weitergabekontrolle:
Daten auf den privaten Rechnern dürfen nicht an unbefugte Dritte gelangen. Private Datenträger müssen sicher gelöscht werden, bevor das Gerät aussortiert und z. B. an die eigenen Kinder etc. weitergegeben wird. Wie stellt man das sicher und was soll dabei mit den Unternehmensdaten passieren?
5. Eingabekontrolle:
Wer hat wann personenbezogene Daten eingegeben, geändert, gelöscht?
6. Auftragskontrolle:
Kontrolle der ordnungsgemäßen Anwendung der DV und der getroffenen Regelungen. Wie prüft man, ob Mitarbeiter sich daran halten und ob es funktioniert?
Eine Protokollierung am privaten Device hat keine ausreichende Revisionssicherheit, da es viel zu lange außerhalb des Kontrollbereiches des Unternehmens ist. –> Protokollierung/Backup ist zwingend im Hoheitsbereich des Unternehmens nötig!
7. Verfügbarkeitskontrolle:
Daten müssen anforderungskonform verfügbar sein, also wer Berechtigung hat, muss an sie herankommen können.
Es ist eine Backup-Strategie im Unternehmen nötig, denn wenn ein Mitarbeiter Unternehmensdaten nur auf dem Laptop hat und dieser gestohlen wird, wie will man dann an die Arbeitsergebnisse kommen?
8. Trennungskontrolle:
Daten für unterschiedliche Zwecke müssen getrennt werden.

Grundlagen-Empfehlungen des Bundesamtes für Informationssicherheit (BSI) zum Thema IT-Sicherheit im Homeoffice finden Sie unter https://www.bsi.bund.de/DE/Themen/Cyber-Sicherheit/Empfehlungen/HomeOffice/homeoffice_node.html;jsessionid=7DD408AB966579F095D721578CA95B87.1_cid341

 

Wir schaffen verlässliche und nachhaltige Strukturen auf hohem IT-Sicherheitsniveau und beraten Sie gern!

Ihre Ansprechpartner bei msv

Dipl.-Ing. Martin Schlaak, Geschäftsleitung, zertifizierter Auditor ITQ und Trainer IT-Sicherheit, Datenschutzfachmann, Notfallmanagement
Dietrich Neumann
, Programmierer
Marvin Lachmund
, Fachinformatiker Systemintegration und ERP-Spezialist (IHK)
Robin Schlaak
, Fachinformatiker Systemintegration und ERP-Spezialist (IHK), Trainer IT-Sicherheit
Jan Kozina
, Auszubildender Fachinformatik Anwendungsentwicklung

Wir freuen uns auf eine Kontaktaufnahme per Telefon oder Mail!
Wenn Sie uns besuchen möchten: Unser Firmensitz ist Vordorf und liegt 15km nördlich von Braunschweig. Durch die hervorragende Autobahnanbindung gehören auch Wolfenbüttel, Salzgitter, Wolfsburg, Gifhorn, Peine und Hannover zu unserem Einzugsgebiet. Wir betreuen jedoch auch kleine und mittlere Unternehmen in Schleswig-Holstein, Hamburg, der Lüneburger Heide und im Moseltal.

 

 
 

 

 

 

JSN Boot template designed by JoomlaShine.com