Ein Interview mit André Zingsheim, Principal Consultant bei der TÜV TRUST IT GmbH Unternehmensgruppe TÜV AUSTRIA
Aufgrund der Corona-Krise arbeiten aktuell so viele Menschen wie nie zuvor aus dem Home-Office heraus. Mit dem erhöhten Home-Office Aufkommen steigen momentan nachweislich auch die Hacking-Versuche in diesem Kontext und damit auch die Risiken.
André Zingsheim ist als erfahrener Sicherheitsexperte und als vom BSI zertifizierter Penetrationstester seit vielen Jahren bei der TÜV TRUST IT tätig und führt regelmäßig umfassende und komplexe Sicherheitsanalysen bei Unternehmen unterschiedlicher Branchen und Größen durch.
Wir haben ihn zur aktuellen Situation des erhöhten Home-Office Aufkommens in Unternehmen und den damit einhergehenden Risiken interviewt.
André, welche technischen Voraussetzungen sollten gegeben sein, um im Home-Office sicher arbeiten zu können?
„Unerlässlich für die Arbeit im Home-Office ist das Vorhandensein einer funktionierenden VPN-Verbindung, sofern das Unternehmen nicht vollständig in der Cloud ist. Hiermit kann ich mich in das Firmennetzwerk einwählen, so als wäre ich im Büro. Um das Ganze auch sicher zu gestalten, sollte dieser Anmeldevorgang zusätzlich abgesichert werden, beispielsweise durch Zertifikate oder eine Multi-Faktor Authentifizierung.
Für das VPN an sich sollten ausschließlich kryptografische Verfahren nach dem Stand der Technik, z.B. BSI TR-02102, angewendet werden. Falls sich Unternehmen nicht sicher sind, ob Ihre VPN-Lösung sicher ist, sollten sie sich Rat bei Sicherheitsexperten holen und ggf. eine sicherheitstechnischen Überprüfung durchführen lassen.“
Was ist darüber hinaus noch zu beachten?
„Im Fokus der Betrachtung sollten auch alle Kommunikationsmittel und –wege stehen, die von den Mitarbeitern für die Arbeit im Home-Office genutzt werden. Essentiell ist zunächst einmal eine sichere Möglichkeit, um Remote-Meetings durchführen zu können. Hier gibt es eine ganze Reihe von Lösungen auf dem Markt, die genauer betrachtet und dann mit Sorgfalt ausgewählt werden sollten.
Ein weiteres wichtiges Thema, das nicht vergessen werden darf, sind Cloud-Services, denn die werden ja mittlerweile nahezu von allen Unternehmen eingesetzt. Diese sollten natürlich ebenso nachweisbar sicher gestaltet sein, besonders in der gegenwärtigen Situation, in der aus zeitlicher Not und Mangel an personelle Ressourcen oft Cloud-Services „auf die Schnelle“ etabliert werden.
Außerdem sollte der sichere Einsatz von Mobiltelefonen Beachtung finden. Vor allem, falls die Mitarbeiter nicht mit Firmenhandys ausgestattet sind, ist Vorsicht geboten. Leiten Mitarbeiter beispielsweise ihr Festnetztelefon aus dem Büro auf ihr privates Handy um, um erreichbar zu sein, drohen datenschutzrechtliche und die Informationssicherheit betreffende Probleme. Gerade die Implementierung einer 2-Faktor-Authentifizierung benötigt ein weiteres sicheres Endgerät wie z.B. ein Firmenhandy.“
Welche organisatorischen Maßnahmen sollte ich als Unternehmen darüber hinaus noch treffen?
„An erster Stelle stehen allgemeine Verhaltensregeln für die Arbeit im Home-Office. Bei vielen Unternehmen, deren Mitarbeiter schon lange aus dem Home-Office heraus arbeiten, sind solche Regeln bereits in einer bestehenden Benutzerrichtlinie oder Ähnlichem vorhanden.
Gibt es solche Verhaltensregeln jedoch noch nicht, sollte man schnellstmöglich welche schaffen. Diese Regeln sollten vor allem beinhalten, wie ich mit vertraulichen und schützenswerten Informationen und Daten umgehe. Dazu zählt zum Beispiel, den Laptop beim Verlassen des Arbeitsplatzes auch zuhause zu sperren.
Darüber hinaus sorgt die Corona-Krise allgemein bei vielen Menschen für sehr große Unsicherheit. Für Hacker ist dies natürlich eine günstige Situation, sodass momentan besonders viele Phishing-Mails unterwegs sind und auch die Anzahl an bösartigen Webseiten steigt. Deshalb sollte ein besonderer Fokus auf die Mitarbeiter-Awareness gelegt werden. Mitarbeiter müssen über Angriffsmöglichkeiten und die sich ständig wandelnde Bedrohungssituation regelmäßig informiert werden. Wichtig in diesem Zusammenhang ist auch eine gute Erreichbarkeit der IT für Rückfragen.“
Welche Vorkehrungen kann ein Mitarbeiter selbst noch treffen, um sicher aus dem Home-Office heraus zu arbeiten?
„Grundsätzlich sollte ich mich im Home-Office genauso verhalten wie im Büro. Falls Mitarbeiter mit sensiblen Informationen und/oder Daten in Papierform arbeiten, sollten sie diese sicher aufbewahren, beispielsweise in einem abschließbaren Schrank. Auch für eine sichere Entsorgung, z.B. mithilfe eines Schredders, sollte gesorgt sein. Ist diese Möglichkeit nicht vorhanden, sollte der Arbeitgeber welche zur Verfügung stellen oder über alternative Arbeitsprozesse an dieser Stelle nachdenken.
Ebenso im Augenmerk sollte der physische Zugangsschutz sein, bei Verlassen der Wohnung sollten Fenster geschlossen werden und innerhalb der Wohnung ggf. auch Türen, da kommt es aber natürlich auch auf die individuelle Wohnsituation (z.B. Wohngemeinschaft) an. Auch diese Aspekte sollten übrigens in einer Verhaltensrichtlinie abgebildet sein.“
Wie würdest du die aktuelle Gesamtsituation zum Thema Home-Office vs. Informationssicherheit beschreiben? Gibt es hier bei vielen Unternehmen noch Nachholbedarf?
„In vielen Unternehmen ist das Arbeiten aus dem Home-Office heraus schon lange Normalität und auch gut organisiert, sowohl hinsichtlich der Ausstattung der Mitarbeiter als auch der Informationssicherheit. Dennoch gibt es ebenso viele Unternehmen, die zum jetzigen Zeitpunkt noch nicht angemessen auf die neue Herausforderung „Home-Office“ reagieren können. Insbesondere der massive Anstieg an Home-Office Nutzern hat bereits bei einigen Unternehmen aufgrund der zunehmenden Last zu Störungen geführt.
Bei einigen wird es aktuell sicherlich so sein, dass auf die Schnelle Home-Office Möglichkeiten geschaffen werden mussten, um das „Social-Distancing“ während der Corona-Krise ermöglichen zu können. In diesem Fall sollte versucht werden, sich auf das Wesentliche zu konzentrieren: Eine sichere VPN-Verbindung und Alternativen für Arbeitsprozesse finden, die sich vom Home-Office nicht sicher ausführen lassen.“