Aufgrund des COVID-19-Ausbruchs schicken viele Unternehmen ihre Mitarbeiter, wenn möglich, momentan nach Hause. Auch Unternehmen, die vorher Telearbeit noch nie in Betracht gezogen haben. Das bedeutet, dass aktuell auch keine Homeoffice-Praktiken und Regelungen vorhanden sind und die Fernarbeit daher mit einem erhöhten Risiko verbunden ist. Auf diesem Weg möchten wir deshalb versuchen, diese Lücke zu schließen und außerdem erklären, wie mögliche Risiken minimiert werden können.
Auf den ersten Blick scheint die einzige Veränderung für Büroangestellte der Mangel an Präsenzphasen mit den Kollegen zu sein. Aber das ist nicht alles. Denken Sie beispielsweise an Kommunikationskanäle, gewohnte Arbeitsabläufe, Kollaborationswerkzeuge, Equipment sowie den Zugriff auf dieses Equipment.
Kommunikationskanäle
Wenn Ihre Mitarbeiter im Büro über das lokale Netzwerk arbeiten, übernehmen Ihre Sicherheitslösungen alle Datenaustauschprozesse. Aber wenn Mitarbeiter von zu Hause aus arbeiten, wird die Gleichung um eine zusätzliche Variable erweiter – und zwar in Form von ISPs. Sie wissen nichts über deren Sicherheitsmaßnahmen und haben keine Kontrolle darüber. In einigen Fällen sind die Internetverbindungen von zu Hause nicht nur für Ihre Mitarbeiter, sondern auch für einen potenziellen Angreifer zugänglich. Kurz gesagt, es ist besser, keine Firmengeheimnisse über solche Kommunikationskanäle zu teilen.
Lösung: Wenn Ihre Mitarbeiter eine Verbindung zu Unternehmensressourcen aus der Ferne herstellen müssen, stellen Sie sicher, dass Sie ein zuverlässiges VPN einrichten, um einen sicheren Kanal zwischen Rechnern und Infrastruktur aufzubauen und die Unternehmensdaten vor externen Angriffen zu schützen. Gleichzeitig sollten Sie Verbindungen zu Unternehmensressourcen aus externen Netzwerken ohne VPN verbieten.
Gewohnter Arbeitsablauf
Telearbeiter können den Kollegen nicht einfach einen Besuch abstatten, um ein Arbeitsproblem zu besprechen. Das heißt für Sie, dass der E-Mail-Verkehr zunehmen und neue Gesprächspartner beinhalten wird (mit denen die Interaktion am Arbeitsplatz zuvor rein verbal war). Kurz gesagt, wenn nicht alle im Büro sind, ändert sich der Arbeitsablauf der Mitarbeiter grundlegend. Theoretisch gibt das einem Angreifer mehr Spielraum, insbesondere für BEC-Angriffe. Inmitten des anschwellenden Meeres der Firmenkorrespondenz wird ein kleines Phishingboot sozusagen schwer zu erkennen sein. Mit anderen Worten, werden gefälschte Nachrichten, in denen man nach sensiblen Daten gefragt wird, nicht so ungewöhnlich oder verdächtig erscheinen wie unter normalen Umständen. Darüber hinaus wird die entspanntere häusliche Umgebung viele Menschen wahrscheinlich weniger wachsam machen.
Lösung: Zunächst sollten alle Mitarbeiter, auch wenn sie zu Hause sind, nur die Firmen-E-Mail verwenden. Dadurch wird es zumindest leichter, den Täuschungsversuch eines Cyberkriminellen zu erkennen, falls dieser eine fremde Domain benutzt. Stellen Sie auch sicher, dass Ihre E-Mail-Server durch Technologien geschützt sind, die in der Lage sind, Änderungsversuche der Absenderzeile in Nachrichten zu erkennen. Unsere Sicherheitslösungen für E-Mail-Server und Microsoft Office bieten solche Abwehrmechanismen an. Zum Schluss empfehlen wir Ihnen einen Crashkurs für Ihre Mitarbeiter in Sachen Cyberbedrohungen.
Kollaborationstools
Auch wenn Mitarbeiter sich nicht im selben Raum befinden, können sie auf andere Arten von Zusammenarbeit zurückgreifen. Von denen einige aber nicht die zuverlässigsten sind und einer richtigen Einrichtung bedürfen. So kann beispielsweise ein Google Docs-Dokument mit falsch konfigurierten Zugriffsberechtigungen von einer Suchmaschine indiziert werden und zu einer Quelle von Datenleaks im Unternehmen werden. Dasselbe kann mit Daten in der Cloud passieren. Eine Kollaborationsumgebung wie Slack kann ebenfalls Leaks hervorrufen. Auch zufällig hinzugefügte Außenstehende könnte Zugriff auf den gesamten Verlauf von Dateien und Nachrichten erhalten.
Lösung: Natürlich ist es in Ihrem Interesse, eine Kollaborationsumgebung zu wählen, die in Bezug auf Sicherheit und Funktionen geeignet ist. Im Idealfall sollte für die Registrierung eine Unternehmens-E-Mail-Adresse erforderlich sein. Darüber hinaus ist es sinnvoll, einen speziellen Administrator zu ernennen, der die Rechte erteilt und ggf. widerruft. Am wichtigsten ist jedoch, dass Sie, bevor Sie den Mitarbeitern erlauben, von zu Hause aus zu arbeiten, eine Sensibilisierungssitzung (es kann eine Remote-Sitzung sein) abhalten und darauf bestehen, dass sie nur das in Ihrem Unternehmen eingesetzte (oder von Ihnen genehmigte) Kollaborationssystem verwenden. Es wird auch helfen, zu bekräftigen, dass sie für die Wahrung von Betriebsgeheimnissen verantwortlich sind.
Equipment
Generell haben nicht alle Mitarbeiter Zugriff auf einen Firmenlaptop und Handys sind nicht für alle Aufgaben geeignet. Deshalb werden die Beschäftigten wahrscheinlich den Heim-PC nutzen. Für Firmen, die keine BYOD-Politik betrieben, kann das gefährlich werden.
Lösung: Es liegt auf der Hand, dass den Mitarbeitern Laptops und Handys zur Verfügung gestellt werden sollten, sofern dies möglich ist. Diese Geräte müssen natürlich durch eine geeignete Sicherheitslösung geschützt werden. Darüber hinaus sollten die Lösungen die Fähigkeit besitzen, die Installation von Anwendungen einzuschränken, sensible Geschäftsdaten aus der Ferne zu löschen und persönliche Daten von Firmendaten zu trennen. Auch die automatische Aktualisierung des Betriebssystems und von kritischen Anwendungen sollte aktiviert sein.
Wenn aus irgendeinem Grund Mitarbeiter eigene Geräte verwenden müssen, ist es wohl an der Zeit, eine BYOD-Politik einzuführen, um Geschäftsdaten auf diesen Geräten zu verwalten (z. B. die Erstellung von Partitionen für Geschäftsdaten und privaten Daten). Im Idealfall sollten Sie diesen Geräten den Zugriff zum Firmennetzwerk nur dann erlauben, wenn eine Sicherheitslösung und das aktuellste Betriebssystem installiert ist.
Zugriff auf Firmengeräte
Sie können sich niemals sicher sein, wo und mit wem Ihre Angestellten leben. So wissen Sie z. B. nicht, wer gerade die Bildschirminhalte einsehen kann, während ihr Mitarbeiter einen Tee an einer Theke bestellt. Eine Sache ist es, wenn die Mitarbeiter zuhause sind und praktisch den ganzen Tag alleine sind. Eine andere, wenn sie ein Café oder andere öffentliche Räume besuchen, wo das Risiko eines Leaks oder der Kompromittierung wesentlich höher ist.
Lösung: Die meisten SIcherheitslücken können Sie durch eine aktive Sicherheitspolitik beheben, die unter anderem die Verwendung von einem Passwort und einer automatischen Bildschirmsperre vorschreibt. Bezüglich der Cybersicherheitsprobleme, die insbesondere im Homeoffice entstehen können, kann ein Awareness-Training Abhilfe schaffen.