Praxistipps 17.06.2021, 10:26 Uhr

Sicher im Home Office

Das traute Heim ist nicht zuletzt pandemiebedingt auch zum Büro geworden. Zur Freude der Cyberkriminellen. Doch es gibt zum Glück ein paar Gegenmassnahmen, die einen Angriff aufs Home Office zumindest minimieren helfen.
Mithilfe eines VPN wird die Sicherheit im Home Office erhöht
(Quelle: Dan Nelson/Unsplash)
Die verordneten Massnahmen zur Bekämpfung der Covid-19-Pandemie haben hierzulande und weltweit einen Home-Office-Boom sondergleichen bewirkt. Unternehmen, ob gross oder klein, sahen sich Knall auf Fall dazu gezwungen, Remote-Zugänge für die Mitarbeitenden zur Verfügung zu stellen. Beispielsweise standen Kleine und mittlere Unternehmen (KMU) einer Heim- und Telearbeitswelle gegenüber. Nachdem Anfang 2020 im Schnitt 10 Prozent der Beschäftigten vorwiegend von zu Hause aus arbeiteten, taten dies während des Lockdowns fast viermal so viele.
Nach dem Lockdown gingen die Zahlen zwar wieder zurück, mit 16 Prozent der Beschäftigten im Heimbüro ist der Anteil im Vergleich zu Anfang 2020 aber um 60 Prozent gestiegen. Zu diesem Ergebnis kam Ende 2020 eine Studie des Marktforschungsinstituts GFS-Zürich.

Home-Office-Boom vergrössert Zielscheibe

Bei einem solchen Ansturm auf Telearbeit ist nicht nur die Infrastruktur gefragt. Es eröffnen sich auch ganz neue und vergrösserte Angriffsflächen für Cyberkriminelle.
Und die mit dem Home-Office-Betrieb einhergehenden Risiken werden von vielen unterschätzt, wie die KMU-Umfrage von GFS auch zeigt. Dies, obwohl bereits ein Viertel der Schweizer KMU Opfer eines folgenschweren Cyberangriffs war. So ein Angriff kann schwerwiegende Folgen haben: So trug von den schweizweit ca. 38'250 angegriffenen KMU rund ein Drittel (12'930 KMU) einen finanziellen Schaden davon und jeder zehnte Angriff hatte einen Reputationsschaden und/oder den Verlust von Kundendaten zur Folge.
Präventive Massnahmen werden angesichts dieser Zahlen zu selten ergriffen: Trotz der häufigen Cyberattacken hat nur jedes zweite KMU einen Notfallplan für die Sicherstellung der Geschäftsfortführung und rund zwei Drittel führen weder regelmässige Mitarbeiterschulungen durch, noch haben sie ein Sicherheitskonzept im Unternehmen implementiert.
Die Studie zeigt schliesslich, dass dem Thema «Risikofaktor Mensch» zu wenig Beachtung geschenkt wird. denn nur knapp die Hälfte (47 Prozent) der CEOs gab an, über sicherheitsrelevante Themen gut informiert zu sein. Noch drastischer ist das mangelnde Bewusstsein dafür, selbst Opfer eines Cyberangriffs zu werden: Nur gerade 11 Prozent schätzen das Risiko, durch einen Cyberangriff einen Tag ausser Gefecht gesetzt zu werden, als gross ein.

Tipps fürs sichere Heimbüro (Teil 1)

In Sachen Sicherheit am Heimarbeitsplatz bleibt somit einiges zu tun. Dabei kann mit ein paar grundlegenden Security-Massnahmen die Gefahr nicht komplett gebannt, aber eingeschränkt werden. Aus den vielen Vorkehrungen, die offizielle Stellen und IT-Sicherheitsfirmen propagieren (vgl. Kasten am Schluss), haben wir die wichtigsten und schlagkräftigsten Massnahmen zusammengetragen – sowohl für Endanwender als auch für Unternehmen.
Nur Trennkost: Wenn immer möglich sollten separate Geräte für den Geschäfts- und Privatgebrauch verwendet werden. Viele Unternehmen haben unterdessen ihre Mitarbeitenden mit mobilen PCs ausgestattet. Zumindest beweist dies der regelrechte Notebook-Boom im vergangenen Jahr. Falls keine getrennten Geräte zur Verfügung stehen, sollte zumindest für private und geschäftliche Zwecke je ein separates Benutzerkonto auf dem Gerät eingerichtet werden. Nur so lässt sich verhindern, dass heikles Material die Seiten wechselt. Im Übrigen empfiehlt sich die Trennung der beiden Lebensbereiche auch für die Aufrechterhaltung einer gesunden Work-Life-Balance.
VPN nutzen: Der Zugriff auf Unternehmensressourcen – aber natürlich auch das private Surfen im Web – sollte über ein virtuelles privates Netz (VPN) erfolgen. Dabei wird ein verschlüsselter «Kommunikationstunnel» zwischen dem Endgerät und dem Firmennetz oder den Webdiensten erstellt. Grössere Unternehmen betreiben das VPN in der Regel serverseitig und stellen den Mitarbeitenden eine Client-Software zur Verfügung. Ist das nicht der Fall, gibt es eine Reihe von VPN-Anbietern. Kritisch sollte man in diesem Zusammenhang kostenlose Dienste betrachten. Diese Angebote haben meistens einen Haken: Im besten Fall bieten sie die Gratisvariante mit ungenügender Bandbreite an, im schlechtesten Fall werden die Anwender vom Serviceanbieter regelrecht ausspioniert, indem etwa das Surfverhalten aufgezeichnet wird.
Mehrfache Authentifizierung: Die Anmeldung nur mit Benutzername und Passwort birgt viele Risiken, zumal vielerorts nach wie vor einfachste und zum Teil repetitive Passwörter verwendet werden. Solche Kombinationen können Hacker meist in Sekunden knacken. Deshalb sollte wenn immer möglich eine Zwei-Faktor-Authentifizierung (2FA) verwendet werden, die oft auch als Multi-Faktor-Authentifizierung (MFA) bezeichnet wird. Das zugrunde liegende Prinzip: Zusätzlich zum Benutzernamen und Passwort wird ein Einmal-Code für die Anmeldung am Unternehmens- oder Webdienst benötigt. Dieser Einmal-Code kann per SMS verschickt, in einer entsprechenden App auf dem Smartphone des Nutzers generiert oder als Push-Nachricht mit Ja/Nein-Abfrage auf dieses verschickt werden. Ausserdem kann noch Authentifizierungs-Hardware, die per USB am Rechner angeschlossen ist, eingesetzt werden.

Tipps fürs sichere Heimbüro (Teil 2)

Verschlüsseln: Nicht nur bei der Verbindung nach aussen sollten die Unternehmensdaten verschlüsselt werden, auch die lokal gespeicherten Files sind mit Vorteil chiffriert abzulegen. Bei Windows-Rechnern kann hierfür das mitgelieferte Programm BitLocker verwendet werden, bei Macs erfüllt die Anwendung FileVault den gleichen Zweck.
Updaten: Was für den privaten Rechner gilt, ist erst recht für den im Home Office verwendeten Geschäfts-PC wichtig: Das Betriebssystem und alle verwendeten Programme sollten stets mit den neusten Updates versehen sein. Sowohl beim OS als auch bei den meisten verwendeten Programmen wie etwa dem Browser lässt sich dieser Vorgang übrigens automatisieren, sodass die Systemkomponenten in der Regel auf dem aktuellsten Stand sind.
Regelmässige Backups: Gerade in Zeiten grassierender Ransomware-Angriffe ist es umso wichtiger, dass die Daten sowohl aufseiten des Mitarbeitenden als auch beim Unternehmen regelmässig auf weiteren Datenträgern gespeichert werden. Endanwender können hier auch auf Cloud-Speicherdienste zurückgreifen, die meist über die Möglichkeit verfügen, die Files zwischen Rechner und Datenwolke zu synchronisieren. Aber auch dann sind regelmässige Backups etwa auf einen USB-Stick oder eine externe Festplatte empfehlenswert. Dabei sollte darauf geachtet werden, dass der Datenträger nach dem Sicherungsvorgang vom System getrennt wird. Denn Ransomware verschlüsselt in den meisten Fällen alle vom System aus erreichbaren Speichermedien mit.
Wachsam bleiben: Im Heimbüro ist man zwar bei sich zu Hause. Trotzdem sollte auch hier darauf geachtet werden, dass keine Firmendaten und -informationen preisgegeben werden. So sollte bei der Einrichtung des Arbeitsplatzes darauf geachtet werden, dass der Bildschirm nicht von Nachbarn oder Passanten eingesehen werden kann. Falls dies nicht geht, empfiehlt sich der Einsatz einer speziellen Bildschirmfolie, die dessen Inhalt vor fremden (Seiten-)Blicken schützt. Dies ist auch hilfreich, wenn man öfters mit öffentlichen Verkehrsmitteln unterwegs ist. Daneben sollte auch im Home Office der Bildschirm beim Verlassen des Arbeitsplatz gesperrt werden. Selbst Dokumente und Ausdrucke sollten nicht herumliegen, will man vermeiden, dass diese nicht aus Versehen im Schulthek des Kindes verschwinden. Schliesslich ist auch Wachsamkeit bei Telefonaten und Videokonferenzen angesagt. Diese sollte niemand mithören können, sei es ein Familienmitglied oder der neugierige Nachbar.

Fazit

Auch im Home Office lässt es sich durchaus sicher arbeiten. Zumindest kann man mit ein paar einfachen Kniffen den Security Level so weit erhöhen, dass Hacker sich lieber jemand anderes vorknöpfen, der ebenfalls im Heimbüro arbeitet und weniger Sicherheitsvorkehrungen getroffen hat.
Nützliche Ressourcen im Netz
Der Home-Office-Boom hat auch zahlreiche Firmen und öffentliche Stellen dazu bewogen, interessante Informationen zur Sicherheit im Heimbüro zu veröffentlichen. Nützlich ist in diesem Zusammenhang der Leitfaden des Nationalen Zentrums für Cybersicherheit (NCSC). Dieses hat Guidelines sowohl für Endanwender als auch für Firmen zusammengestellt. Gute Tipps vor allem auch zum Thema «Social Engineering» hält darüber hinaus die Schweizerische Kriminalprävention parat. Schliesslich wartet der Baarer IT-Security-Dienstleister InfoGuard mit einer umfassenden Checklistezum Thema Home-Office-Sicherheit auf.




Das könnte Sie auch interessieren