LOAD e.V.

Sicheres Home Office – Nicht nur während Corona

Plötzlich Home Office! Um der Corona-Krise Herr zu werden, motivieren offizielle Stellen permanent die Bevölkerung zu Hause zu arbeiten, wenn es denn möglich ist. Home Office ist auch ohne Krise eine Herausforderung und bedarf einiger Gewöhnung, bevor man die damit verbundenen Vorteile ausnutzen kann. Jetzt aber plötzlich alle auf einmal! Über die damit einhergehenden Herausforderungen für die IT-Sicherheit, wurde schon viel geschrieben u.a. [1 – 4]. 

 

 

Um im allgemeinen Chaos etwas für Durchblick zu sorgen, hat LOAD für Euch das Wichtigste zusammengefasst! 
Wie immer gilt, IT-Sicherheit ist kein Hexenwerk! Genauso wie man sich vor einer Viruserkrankung mit Händewaschen einfach schützen kann, helfen ein paar einfache Regeln, nicht Opfer von Cyber-Kriminellen zu werden. 
Im Home Office gibt es generell zwei Kategorien von Gefahren: Gefahren durch die häusliche Umgebung (Arbeitszimmer mit Fenster zur Straße) und  Wegfall der üblichen Sicherheitsmaßnahmen der Firma (z.B. die gut konfigurierte Firewall). 
Im Folgenden haben wir zuerst drei generelle Regeln für Euch zusammengefasst und geben danach eine detaillierte Liste. 

 

Generelle Prinzipien (aka. TL;DR): 

1. Vorsicht vor Betrug! (Watch out for scam!) 

Eine Menge Kriminelle versuchen die aktuelle Verwirrung auszunutzen und geben sich als Gesundheitsbehörden oder WHO aus. Potentielle Anhänge solcher E-Mails haben durchaus mit dem Ausbreiten von Viren zu tun, aber dann digitalen 😉 .
Auch ist zu beobachten, dass es super günstige Angebote für weggehamsterte Lebensmittel oder Medikamente gibt – nur für Dich – wohlgemerkt. 

 

Betrug – besonders online – funktioniert immer durch die Kombination vermeintlicher Autoritäten oder Institutionen (Behörden oder auch der Arbeitgeber), einem vermeintlichen Problem und starkem Zeitdruck. 
Wenn man das Muster kennt, ist es auch einfach, nicht darauf hereinzufallen. 

 

Wenn ein Kollege von seiner vermeintlichen privaten E-Mail-Adresse Dir eine E-Mail schreibt mit der Anforderung von Zugangsdaten oder anderen sensiblen Daten und das mit einem dringenden Termin begründet, solltest Du sehr skeptisch sein. In der Firma könnte man einfach zum Büro des betroffenen Kollegen gehen und nachfragen. Im Home Office ist das natürlich schwieriger. Trotzdem müssen solche Anfragen, so seriös, authentisch oder dringend sie auch sein mögen, immer über einen anderen Kanal verifiziert werden! Zum Beispiel kann man den Kollegen ja auf seinem Dienst-Handy anrufen, dafür ist immer Zeit. 
In Ausnahmesituationen wie der jetzigen ist es umso wichtiger, sich an die etablierten Freigabe- und Entscheidungsprozesse zu halten. Die einfache Tatsache, dass das jetzt nicht durch einen Gang über den Flur erledigt werden kann, ändert daran nichts. 
Wichtig wäre daher auch, von vornherein mehrere Wege zu haben, die Kollegen im Homeoffice zu erreichen. 

 

2. Software auf dem aktuellen Stand halten (Keep your devices updated)

Die Analogie zum Händewaschen in der digitalen Hygiene sind Softwareupdates! Die allermeisten Viren funktionieren auf Systemen mit aktueller Software nicht. 
Also, genauso wie Händewaschen solltet Ihr eure Geräte häufig aktualisieren. 

 

3. Achte auf deine Surf-Gewohnheiten: (Mind your browsing habits)

Mal kurz den Link aus der Freundes-WhatsApp-Gruppe mit dem Arbeitslaptop öffnen? Eher nicht! 
Neben E-Mail-Anhängen sind infizierte Internetseiten eine große Gefahr, um sich digitale Viren einzufangen. 

 

In der Firma sorgen oft die Administratoren (in ihren Ecken und Kellern) dafür, dass die Firmen-Firewall das rechtzeitig erkennt und den Schadcode blockiert, bevor er den Browser erreicht. 
Im Home Office hat man diesen Schutz häufig nicht (sei es, weil das VPN so nicht eingerichtet ist, das VPN plötzlich überlastet ist, oder es kein VPN gibt). 
Daher sollte man jetzt darauf achten komische, unseriöse oder unbekannte Webseiten nicht zu besuchen. Auch ist es vielleicht besser den privaten Gebrauch des Dienstlaptops generell einzuschränken, selbst wenn es die Firma erlaubt. 
Generell ist es eine gute Regel, nur Seiten mit einer verschlüsselten Verbindung (d.h. HTTPS) zu besuchen.

 

Nach den generellen Prinzipien noch 13 etwas genauere Regeln: 

  1. Ihr solltet die allgemeinen Geheimhaltungs- und Vertraulichkeitspflichten immer einhalten.
  1. Betriebliche Informationen und personenbezogene Daten dürfen auf gar keinen Fall unberechtigten Dritten zur Kenntnis gelangen. 
  1. Unbefugte Personen dürfen keinen Zugriff erhalten. 
  1. Die Datenträger müssen verschlüsselt und passwortgeschützt sein. 
  1. Fragt Eure IT-Abteilung, bevor ihr neue Tools (z.B. Dropbox, Google Docs, Trello) etc. verwendet! Auch wenn es so bequem wäre… ([1] hat dazu auch eine gute Liste).
  1. Ebenso sollten Bildschirme immer gesperrt werden, wenn nicht mehr davor gearbeitet wird. (Nicht, dass noch jemand (evtl. das eigene Kind) mit Geschäftspartnern chattet…) 
  1. Wenn möglich, sollte das Firmen-VPN so oft und lange wie möglich verwendet werden. 
  1. Noch besser ist, wenn Laptops nur als Bildschirm und Tastatur dienen und per VPN eine Verbindung zum betriebseigenen Server hergestellt wird. So kann sichergestellt werden, dass betriebliche Informationen und personenbezogene Daten nicht auf den mobilen Geräten gespeichert werden und im Extremfall unwiederbringlich verloren sind.  
  1. Die Clean Desk Policy gilt insbesondere zu Hause.
  1. Die Vertraulichkeit bei Telefon-, Videogesprächen und Webkonferenzen muss sichergestellt sein: Achtung bei Alexa, Siri und Co. Denn digitale Assistenten hören und sehen alles mit. Diese sollten sich auf keinen Fall in der Nähe des Arbeitsplatzes befinden. 
  1. Es muss sichergestellt sein, dass für den Bildschirm ein Sicht- und Blickschutz gilt, bspw. durch Blickschutzfolien und durch ein entsprechendes Platzieren. Vorsicht ist ebenfalls geboten, wenn mit dem Rücken / Bildschirm zum Fenster hin gearbeitet wird.  
  1. Achtung bei der Nutzung von Netzwerkdruckern, auf die auch andere Personen Zugriff haben. Erstens, weil die Ausdrucke sofort entfernt werden müssen und zum anderen, weil auf den Festplatten der Drucker alle Informationen gespeichert bleiben, sei es auch nur verschlüsselt.  Ausdrucke und Notizen sollten vernichtet oder nach Beendigung der Arbeit verschlossen werden.  
  1. Am besten wäre es, wenn man in einem abschließbaren Raum arbeiten kann. Da sich aber die wenigsten den Luxus eines Arbeitszimmers leisten können, sind in Zeiten von Krisen hier Abstriche notwendig. Auf andere Sicherungsmaßnahmen darf aber auf gar keinen Fall verzichtet werden, auch der Sichtschutz auf den Bildschirm muss weitest möglich gesichert sein.  
Bleibt gesund und achtet auf Hygiene…digital wie analog! 

 

Quellen: 

 

Diese Liste wurde von Julia Kunzmann und Burkhard Ringlein für Euch zusammengestellt.