+3 Magazin Juli 2021 | Page 25

„ IN SACHEN IT-SICHERHEIT IM HOMEOFFICE DARF ES KEINE KOMPROMISSE GEBEN “

Anzeige
In vielen Firmen arbeiten Mitarbeiter heute von Zuhause , sei es partiell oder sogar dauerhaft . Fachkräfte sind in der globalisierten Welt nun einmal nicht immer vor Ort , oder andere Gründe , wie im aktuellen Fall das Coronavirus , erfordern besondere Maßnahmen . Das kann gut gelingen , wenn Unternehmen und Belegschaft ein paar Grundregeln und Sicherheitsmaßnahmen beachten . Im Gespräch mit Michael Veit , IT- Security-Experte bei Sophos , geht es um die wichtigsten Schritte sowie potenzielle Fallstricke rund um das Thema sicheres Arbeiten von zu Hause .
IT-Sicherheit und Homeoffice treiben IT-Administratoren die Sorgenfalten ins Gesicht . Ist dieser „ Mix “ tatsächlich so schwer zu stemmen oder ist die Umsetzung gar nicht so kompliziert , wie viele denken ?
Michael Veit , IT-Security-Experte bei Sophos
Eigentlich ist das Thema Homeoffice nichts Neues in unserer Arbeitswelt , auch wenn das Thema gerade im deutschsprachigen Raum eher ein Mauerblümchendasein gefristet hat . Entsprechend gibt es auch genau für diese Zwecke entwickelte IT-Security-Lösungen , die gerade für kleine und mittlere Unternehmen leicht anzuwenden und vor allem auch erschwinglich sind . Gerade in Zeiten des durch Corona angefeuerten Homeoffice-Booms ist es allerdings essenziell , geplant vorzugehen und vor allem keine Kompromisse zu machen . Diese Gefahr besteht gerade in Situationen , bei denen der Arbeitnehmer möglichst schnell von zu Hause aus einsatzfähig sein soll und in der Folge Privatgeräte zum Einsatz kommen . Auch das ist grundsätzlich natürlich kein Problem , benötigt aber einige Grundregeln , um den sicheren Umgang mit Firmendaten zu gewährleisten .
Warum kann die Nutzung privater Geräte zur Gefahr werden ?
Gerade bei privaten IT-Geräten besteht oft Nachholbedarf in puncto IT-Sicherheit . Für Cyberkriminelle ist das ein gefundenes Fressen . Sie nutzen die Schwachstellen auf den Privatgeräten , um auf Firmendaten zuzugreifen Das gilt übrigens nicht nur für den Laptop oder das Smartphone , sondern letztendlich für alle Geräte , die im heimischen Netzwerk angeschlossen sind – Stichwort Internet of Things . Jedes Unternehmen muss sich die Frage stellen , ob es seine „ sauberen “ Geräte in einen Topf mit den oftmals schlecht gesicherten Smart TVs und Co . und
© iStock ./ SARINYAPINNGAM den Privat-PCs mit veralteten Windows-Versionen werfen will .
Welche IT-Security-Maßnahmen sollten unbedingt beachtet werden , wenn Unternehmen ihre Mitarbeiter von zu Hause arbeiten lassen ?
Zunächst einmal ist es essenziell , alle Geräte , die sich mit dem Firmennetz verbinden sollen , optimal zu schützen . Das ist umso wichtiger , da zu Hause der zusätzliche Schutzschirm , der in der Firma durch den Netzwerkschutz besteht , in den meisten Fällen wegfällt . In der Folge müssen sich alle Endpoint-Geräte zu Hause maximal selbst schützen können . Hierzu gehören vor allem ein effektiver Next-Gen-Endpointschutz inklusive Technologien wie Endpoint Detection & Response sowie die Verschlüsselung aller firmenbezogen genutzten Geräte und Kommunikation . Sind diese Hürden genommen , ist der sichere Fernzugriff auf das Firmennetzwerk das Topthema bei unseren Kunden .
Hier kommt das Thema VPN zum Tragen ?
Genau . VPNs ermöglichen den verschlüsselten Fernzugriff auf Unternehmensnetzwerke und sind damit die Informationsschlagader für alle Homeoffice-Nutzer . Ein erprobtes System , das die IT im Unternehmen allerdings schnell an ihre Grenzen führen kann . Die Firmen-Firewall hat grundsätzlich kein Problem damit , den Datenverkehr zu filtern und Segmente zu trennen , sie kann aber nicht noch zusätzlich alle VPN-Verbindungen von den Homeoffice- Arbeitsplätzen abdecken . Eine mögliche Lösung für dieses Problem ist das Ersetzen des VPN-Gateways durch ein leistungsfähigeres Modell , was aus Budget- und Zeitgründen aber oftmals nicht realisierbar ist . Alternativ und gerade für KMUs interessant ist die Möglichkeit , die VPN-Last auf virtuelle Cloud Gateways auszulagern . Als konkretes Beispiel kann die
Sophos XG Firewall als sogenannte Virtual Appliance in verschiedenen Public-
Cloud-Services wie Azure oder AWS aufgesetzt werden . Der große Vorteil davon ist , dass das Gerät sofort startbereit und sehr gut skalierbar ist , falls noch mehr Traffic bewältigt werden muss . Auch aus Kostensicht eine sehr elegante Lösung , da in der Public Cloud nach genutzten Ressourcen abgerechnet wird und der Kunde den Service einfach wieder runterfahren kann , wenn die Mitarbeiter zurück im Büro sind .
Neben den technischen Lösungen steht weiterhin der Mensch als potenzielle Schwachstelle im Mittelpunkt . Wo sehen Sie hier Handlungsbedarf ?
Sicheres Arbeiten aus dem Homeoffice – darauf müssen Sie achten
Richtig
• Sichere Verbindung zur Zentrale
• Multi-Faktor-Authentifizierung ( 2FA )
• Bester Schutz auf allen Geräten
• Updates überall einspielen , auch auf IoT- und Smart-Home-Geräten
• Verschlüsselung von Geräten und Kommunikation
• Verwaltung von Mobilgeräten
• Absicherung von E-Mail und Web
• Sensibilisierung für IT-Sicherheit
Falsch
• Schnelle , „ temporäre “ Lösungen , zum Beispiel RDP für Remote-Zugang
• Direkter Zugang ins Firmennetz über unsichere BYOD-Geräte
• Remote-Zugang nur mit Benutzername / Passwort
• Standardkennwörter auf IoT- und Smart-Home-Geräten
• Unternehmens- , Smart-Home- , IoT-Geräte und Gäste im selben WLAN
Endbenutzer stellen ein Risiko dar , aber sie sind auch einer der größten Vorteile für Unternehmen , wenn es darum geht , Angriffe frühzeitig zu erkennen und zu verhindern . Grundlage dafür ist die Schaffung einer präsenten Sicherheitskultur im Arbeitsalltag . Leider gibt es hier keine eierlegende Wollmilchsau . Aber klare , leicht verständliche und schnell umsetzbare Prozesse verhindern , dass einfache Fehler den Unternehmen großen Schaden zufügen können . Einen weiteren wichtigen Baustein bildet ein Schulungs- und Sensibilisierungsprogramm , mit dem Mitarbeiter zum Beispiel auf das Erkennen von Phishing-E-Mails trainiert werden .
Mehr Informationen unter : sophos . com