slider

Sicheres und vertrauenswürdiges Arbeiten im Homeoffice – aktuelle Situation der Cybersicher - Prof. Dr. Norbert Pohlmann

Sicheres und vertrauenswürdiges Arbeiten im Homeoffice – aktuelle Situation der Cybersicherheitslage

sicheres Arteiten im Homeoffice - Prof. Norbert Pohlmann

C. Böttger, N. Pohlmann:
„Sicheres und vertrauenswürdiges Arbeiten im Homeoffice der Cybersicherheitslage“,
IT-Sicherheit – Mittelstandsmagazin für Informationssicherheit und Datenschutz,
DATAKONTEXT-Fachverlag,
2/2021

Durch die fortschreitende Digitalisierung bekommt die IT einen immer größeren Stellenwert in allen Bereichen. Dadurch steigt die Abhängigkeit von der IT und damit auch das Schadenspotenzial durch Cyber-Angriffe. Das Bundesamt für Sicherheit in der Informationstechnologie (BSI) hat für das Jahr 2020 durchschnittlich ca. 320.000 neue Schadprogramm-Varianten pro Tag verzeichnet. Dabei handelte es sich unter anderen um Ransomware, Spam, Identitätsdiebstahl und Daten-Leaks. Auch Schwachstellen in IT-Systemen wurden durch mangelnde Softwarequalität und schlechte Updates-Strategien zunehmend problematischer. Generell werden Cyber-Angriffe immer ausgereifter, besonders im Bereich der Destributed Denial of Service (DDoS) werden die Strategien der Angreifer immer intelligenter.



IT-Sicherheitsmaßnahmen

IT-Sicherheitsmaßnahmen sind alle Aktionen, die dazu dienen, vorhandene IT-Sicherheitsrisiken zu minimieren. Dies schließt sowohl organisatorische als auch personelle, technische oder infrastrukturelle IT-Sicherheitsmaßnahmen ein.

Technische IT-Sicherheitsmaßnahmen
Damit Unternehmen auf die neuen Risiken reagieren können, sollten technische IT-Sicherheits-Maßnahmen implementiert werden. Im Folgenden werden ein paar Beispiele aufgeführt.

Sichere Anbindung des Heimarbeitsplatzes an das Unternehmen
Das Homeoffice muss über ein VPN-System an die Institution angekoppelt werden, damit die Daten verschlüsselt und integritätsgesichert übertragen werden. Beispielsweise bei der Verwendung von öffentlichen WLAN-Hotspots ist eine gesicherte VPN-Verbindung unumgänglich. Eine weitere Maßnahme stellt eine sichere Konfiguration des heimischen Routers, des Internet-Zugangs und weiterer Infrastruktur (z.B. Smart Home-Anwendungen) dar.
Professionelle Router bieten darüber hinaus noch zusätzliche Sicherheitsoptionen wie eine Statefull-Packet-Inspection Firewall, DoS-Schutz und Inhaltsfilterung an. Dabei muss der Anwender kein Experte sein, um die Einstellungen umzusetzen. Damit der Router und seine Sicherheitsoptionen einen permanenten Schutz bieten, müssen regelmäßige Firmware-Updates vorgenommen werden.

Zugriffskontrolle / Nutzerauthentifizierung
Darüber hinaus sollte genau definiert werden, wer worauf zugreifen darf. Dank Lösungen wie Single Sign-On (SSO) kann gesteuert werden, auf welche Anwendungen welcher Mitarbeit zugreifen darf. Außerdem sollte mittels eines Authentifizierungsverfahrens sichergestellt werden, dass es sich tatsächlich um den Mitarbeiter handelt, der eine Anwendung verwenden möchte. Die Nutzung einer Zwei-Faktor-Authentifizierung (2FA) sorgt dafür, dass der Zugriff angemessen sicher für IT-Dienste des Unternehmens oder Cloud-Dienste verwendet werden kann. Auch hier gibt es schon professionelle Lösungen, die neben eine hohen Identifikation und Authentifikation zusätzlich digitale Signaturen anbieten, damit die Mitarbeiter auch von zu Hause rechtssicher unterschreiben können.

Verschlüsselung von Unternehmenswerten
Damit die Unternehmenswerte geschützt werden, sollte zum Beispiel alle Notebooks mithilfe einer Festplattenverschlüsselung vor unberechtigten physikalischen Zugriffen geschützt werden. Wenn ein Notebook gestohlen wird, ist der Schaden vielleicht 3.000 Euro (Anschaffungspreis eines neuen Notebooks und die Kosten der Einrichtung) aber die Unternehmenswerte, die in der Regel deutlich höher sind, bleiben geschützt. Aber ein Ordner oder eine Dateiverschlüsselung reduziert ungewollte Zugriffe auf Unternehmenswerte.

Remote-Backups
Im Homeoffice muss ein verschlüsselter Datenträger für Backups eingesetzt, aber auch ein regelmäßiger Backup-Prozess über das VPN mit dem Unternehmen umgesetzt werden. Dies ist für die Aufrechterhaltung der Unternehmenswerte aber auch als Schutz gegen Schäden durch Ransomware wichtig.

Update
Um bekannt gewordene Schwachstellen in Software entgegenzuwirken, müssen feste und spontane Update-Prozesse für die genutzte Software etabliert und sichergestellt werden.

Schnittstellenkontrolle
Eine Schnittstellenkontrolle sowie eine Absicherung der Homeoffice-Netze, beispielsweise durch die Deaktivierung von USB-Ports und das volle und korrekte Ausnutzen von Sicherheitsfunktionen des Routers, erhöht den Schutz von IT-Systemen.

Anti-Malware-Tools
Anti-Malware-Tools sollten modern sein und regelmäßig aktualisiert werden, um einen zuverlässigen Schutz gewährleisten zu können.

Protokollierung
Die Kommunikation zum Unternehmen sollte protokolliert werden, um eine Analyse und Auswertung der Logdaten zu ermöglichen [7].

Videokonferenzsysteme
Besonders wichtig bei der Verwendung von Videokonferenzsystemen ist die Verschlüsselung, die mindestens End-to-End-Verschlüsselung sein muss. Ebenso sind Pre-Meeting Einstellungen wie Warteräume, Zutritt nur für authentifizierte Nutzer, Server des Videokonferenzsystems in der EU zu empfehlen. Ebenso In-Meeting Einstellungen wie die Möglichkeit, Nutzer zu entfernen oder eintreten zu lassen, Zusatzfunktionen wie Chat, Teilen des Bildschirmes, Zugriff auf Ressource, ändern der ID, aktivieren von Mikrofon und Kamera sollten vom Moderator als aktiver Schutz sinnvoll genutzt beziehungsweise eingeschränkt werden.

Cloud-Dienste
Die Arbeit mit Cloud-Diensten erleichtert die Zusammenarbeit im Homeoffice enorm. Neben Office- und weiteren Anwendungen können auch Messenger-Dienste oder PDF-Konverter über einen Cloud-Dienst bereitgestellt werden. Vor der Wahl eines geeigneten Cloud-Dienstes sollten die Risiken für die Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit überprüft werden. Darüber hinaus muss ein Cloud-Dienstanbieter vertrauenswürdig sein. Für einen Cloud-Dienst sollte ein Mindeststandard für Sicherheitsfunktionen seitens des Anbieters existieren. Zusätzlich müssen Cloud-Dienste mittels starker Verschlüsselung und zumindest durch eine 2FA geschützt werden.

Härtung von IT-Systemen
Eine technische Lösung zum Umsetzen verstärkter IT-Sicherheitsmaßnahmen im Homeoffice ist die Härtung von IT-Endgeräten. Dabei wird auf verschiedene Aspekte des IT-Endgerätes eingegangen. Eine Möglichkeit für die Härtung eines IT-Endgerätes ist die Verwendung einer Trusted Computing Base (TCB). Mittels einem Security Kernel, Virtualisierung und einem Trusted Software Layer können IT-Sicherheitsprinzipien durchgesetzt werden.
Durch die Virtualisierung befinden sich auftretende Fehler in Form von Schwachstellen oder Schadsoftware, im Prinzip in einer virtuellen Maschine. Diese befindet sich in einem abgeschlossenen Bereich und werden mittels Isolierung von anderen virtuellen Maschinen abgegrenzt. So kann diese keine weitere virtuelle Maschine infizieren. Der IT-Sicherheitsaspekt der Modularisierung ist eine Möglichkeit, Anwendungen, die zusammengehören, in einer gemeinsamen virtuellen Maschine laufen zu lassen und Anwendungen, die getrennt sein sollen, in verschiedene virtuelle Maschinen auszulagern. IT-Sicherheitsmechanismen wie Trusted Boot, Remote Attestation, Binding und Sealing reduzieren zusätzlich das Risiko eines Schadens durch einen erfolgreichen Angriff auf die IT-Systeme. Beispielsweise bietet die SINA-Lösung der secunet / BSI entsprechende IT-Sicherheitskomponenten, um eine geschützte Bearbeitung, Speicherung und Übertragung von vertraulichen Dokumenten zu gewährleisten.

Personelle Maßnahmen
Die Mitarbeiter brauchen Wissen darüber, welche Unternehmenswerte zu schützen sind, welche Gefahren lauern und welche IT-Sicherheitsmaßnahmen helfen, die Risiken eines Schadens des eigenen Unternehmens zu minimieren. Dazu sollten unterschiedliche personelle Maßnahmen eingeführt werden, damit die Ziele der Mitarbeiter und Unternehmen die gleichen sind und gemeinsam für mehr Sicherheit und Vertrauenswürdigkeit gesorgt werden kann. Beispiele sind:

Sicherheitsbewusstsein schaffen (Security Awareness)
Ziel von Security Awareness ist es, die durch Mitarbeiter verursachten Gefahren für die IT-Sicherheit zu minimieren. Security Awareness soll die Mitarbeiter auch davor schützen, auf Social Hacking, Phishing-Angriffe … rein zu fallen. In Security Awareness Schulungen werden als erstes die wichtigsten Verhaltensregeln im Umgang mit alltäglichen Situationen vermittelt, um Fehlverhalten vorzubeugen. Das sind z.B. der sichere Umgang mit E-Mails und Passwörtern, das sichere Surfen im Internet oder die Bedrohung und das Verhindern von Malware.

Umgang mit (dienstlichen) Informationen
Besonders der Umgang mit dienstlichen Informationen stellt Arbeitnehmer im Homeoffice vor neue Herausforderungen. Auf technischer Seite steht unter anderem die Verschlüsselung und Zwei-Faktor-Authentifizierung (2FA) für den Schutz sensible Daten zur Verfügung. Auf der personellen Seite sollten die Mitarbeiter darüber aufgeklärt werden, wie sensible Informationen auf Papier geschützt werden können. Dabei besteht für den Arbeitnehmer die Aufgabe darin, nach Beendigung der Tätigkeit oder längeren Pause im Homeoffice seinen Arbeitsplatz so zu hinterlassen, dass keine Informationen, die im Zusammenhang mit der Tätigkeit im Unternehmen stehen, zugänglich sind. Beispielsweise von Mitbewohnern, Ehepartner, Kindern oder Freunden eingesehen werden können [8].

Schatten-IT
Die Unterbindung der Schatten-IT sollte mittels Richtlinien und Aufklärung transparent gemacht werden. Unternehmen sollten Bewusstsein über die Risiken von Schatten-IT und ihrer Verwendung schaffen sowie Richtlinien implementieren, die Regeln was erlaubt ist. Wenn möglich, sollten die Unternehmen eigene oder besonders sichere und vertrauenswürdige Dienste zur Verfügung stellen, damit dieses Risiko minimiert wird.

Organisatorische Maßnahmen
Unter organisatorischen Sicherheitsmaßnahmen fällt beispielsweise eine Regelung durch die klar und transparent wird, was das Unternehmen von den Mitarbeitern erwartet. Im Folgenden werden ein paar Beispiele aufgezeigt.

Erreichbarkeit von Mitarbeitern im Homeoffice
Der Informationsfluss muss durch die Schaffung von Kommunikationsinfrastrukturen wie interne Chat-Systeme zur Aufrechterhaltung der Prozesse und Abläufe aufrechtgehalten werden. Zudem muss die Erreichbarkeit des Arbeitnehmers sichergestellt sein, beispielsweise durch Listen der telefonischen Erreichbarkeit von Mitarbeitern im Homeoffice.

Vorfallreaktionen und Meldewege
Im Rahmen der organisatorischen Maßnahmen sollten Geschäftsprozesse und Richtlinien angepasst werden. Besonders relevant sind Vorfallreaktionen wie Meldewege aus dem Homeoffice beim Verlust von IT-Systemen oder mobilen Endgeräten.

Support-Prozesse
Zur Unterstützung der Arbeitnehmer im Homeoffice sollten Support-Prozesse implementiert werden. Beispielsweise wie Mitarbeiter bei Problemen mit der IT aus dem Unternehmen unterstützt werden können.

Clean-Desk
Eine sogenannte Clean-Desk-Richtline hilft dabei sicherzustellen, dass unternehmensbezogene Informationen nicht offen zugänglich sind und ein allgemeiner Zugriffsschutz gegen Unbefugte auf die Homeoffice-IT umgesetzt werden. Dies kann durch abschließbare Schreibtische und Rollcontainer erfolgen. Ferner sollte vor Antritt des Homeoffice definiert werden, welche Informationen außerhalb der Institution transportiert und bearbeitet werden und welche Schutzvorkehrungen zur treffen sind.



Weitere Informationen zum Thema “Sicheres und vertrauenswürdiges Arbeiten im Homeoffice –”:


Artikel:
„Künstliche Intelligenz und Cybersicherheit – Unausgegoren aber notwendig“

“Vertrauen – ein elementarer Aspekt der digitalen Zukunft”

Vorträge:
“Sicheres und vertrauenswürdiges Arbeiten im Homeoffice

“Chancen und Risiken von Smart Home – Vortrag”

“IT-Sicherheit von Smart Home

Informationen über das Lehrbuch: „Cyber-Sicherheit“

kostenlos downloaden
sicheres Arteiten im Homeoffice - Prof. Norbert Pohlmann
Sicheres und vertrauenswürdiges Arbeiten im Homeoffice – aktuelle Situation der Cybersicherheitslage Prof. Dr. Norbert Pohlmann - Cyber-Sicherheitsexperten