Im Home-Office sind Rechner stärker gefährdet als im gut geschützten Unternehmensnetzwerk – das haben Cyberkriminelle schnell erkannt und bereits in den ersten Tagen der Pandemie ihre Angriffsbemühungen intensiviert. Unternehmen stehen dem aber nicht machtlos gegenüber, sondern können einige grundlegende Maßnahmen umsetzen, um Systeme außerhalb der eigenen IT-Infrastruktur besser abzusichern. Rangee, deutscher Hersteller von Thin Clients und Zero Clients, gibt Tipps:
- Keine privaten Geräte: Weil in der Corona-Anfangszeit viele Mitarbeiter kurzfristig ins Home-Office umziehen mussten und es in vielen Firmen an Mobilgeräten fehlte, arbeiteten einige Beschäftige zu Hause einfach an ihren privaten PCs – und tun das teilweise immer noch. Auf diesen Geräten können Unternehmen allerdings keine Sicherheitsrichtlinien durchsetzen und müssen sich auf die vom Mitarbeiter eingerichteten Schutzmaßnahmen verlassen. Daher sind solche „pragmatischen“ Lösungen ein Risiko und sollten dringend abgelöst werden.
- Regelmäßiges Patchen: Das Haupteinfallstor für Cyberkriminelle sind heute Software-Schwachstellen – fast jede Malware versucht, Sicherheitslücken in Betriebssystemen oder Anwendungen auszunutzen, um ein System zu infizieren. Die schnelle Installation aller verfügbaren Sicherheitsupdates und Patches ist daher die Grundvoraussetzung für eine sichere Arbeit im Home-Office und lässt viele Attacken ins Leere laufen.
- Aktueller Endpoint-Schutz: Auf alle Heimarbeitsrechner gehört ein moderner Endgeräteschutz, der verschiedene Erkennungsmechanismen kombiniert, um fortschrittliche Malware abzuwehren. Natürlich müssen Unternehmen auch diese Sicherheitssoftware regelmäßig aktualisieren, damit sie bestmöglichen Schutz bietet.
- Zwei-Faktor-Authentifizierung: Die klassische Anmeldung an Systemen, Anwendungen und Online-Diensten mit einem Benutzernamen und Passwort ist heute nicht mehr zeitgemäß, weil Cyberkriminelle mittlerweile ziemlich gut darin sind, auch lange Passwörter zu erraten – oder sie bei Malware- und Phishing-Angriffe erbeuten. Komplexere Passwörter erhöhen das Schutzniveau kaum und verleiten Mitarbeiter nur dazu, für mehrere Zugänge dasselbe Passwort zu verwenden. Sicherer ist eine Zwei-Faktor-Authentifizierung, bei der zusätzlich zum Passwort noch ein weiterer Faktor benötigt wird, etwa eine Smartcard, ein Security-Token oder eine aufs Handy geschickte PIN. Das Passwort allein ist dann für einen Angreifer wertlos.
- VPN-Verbindung ins Firmennetz: Für viele Aufgaben benötigen Mitarbeiter einen Zugriff auf Daten oder Anwendungen im Firmennetzwerk. Diesen stellen sie über ein VPN her – einen verschlüsselten Kommunikationstunnel zwischen dem Arbeitsgerät und der Firmeninfrastruktur. Auf diese Weise verhindern Unternehmen, dass Außenstehende Daten auf dem Übertragungsweg abgreifen oder manipulieren. Überdies tun sie sich auch leichter, Sicherheitsrichtlinien anzupassen sowie Updates zu installieren als bei Systemen, die über keine Verbindung zum Firmennetz verfügen.
- Kontrolle von USB-Geräten: Um das Risiko einer Malware-Infektion zu reduzieren und zu verhindern, dass Firmendaten auf privaten Speichern landen, können Unternehmen die USB-Ports der Heimarbeitsrechner zumindest für externe Speichermedien wie USB-Sticks und Festplatten sperren.
- Verschlüsseltes WLAN: Viele Mitarbeiter nutzen zu Hause ein drahtloses Netzwerk. Damit Firmendaten geschützt sind, sollten sie eine sichere WLAN-Verschlüsselung mit WPA2 oder WPA3 aktivieren – die älteren Verschlüsselungsstandards WEP und WPA bieten schon lange keinen ausreichenden Schutz mehr. Die WLAN-Verschlüsselung stellt sicher, dass Angreifer die übertragenen Daten nicht abfangen können, was gerade dann wichtig ist, wenn Mitarbeiter kein VPN nutzen oder nur bestimmte Verbindungen durch den VPN-Tunnel geleitet werden.
- Sicheres Router-Passwort: Auch der Router selbst muss vor unbefugten Zugriffen geschützt werden, damit Cyberkriminelle ihn nicht kapern und alle Datenübertragungen mitlesen können. Ein sicheres Passwort für den Zugang zur Router-Konfiguration ist daher Pflicht – insbesondere, weil die einfachen Default-Passwörter vieler Router-Modelle weit bekannt sind. Die komplexeren Standard-Passwörter, die manche Hersteller jedem Gerät individuell zuweisen, sind zwar sicherer, aber auch nicht ideal, da sie in der Regel auf dem Gerät aufgedruckt sind. Gäste, Handwerker oder andere Besucher könnten sie sich in einem unbeobachteten Moment notieren.
- Sorgsame Auswahl von Cloud-Diensten: Mit dem Home-Office haben Unternehmen häufig neue Cloud-Services und Online-Dienste für den Datenaustausch und die Kommunikation eingeführt. Hier sollten sie nun evaluieren, ob diese tatsächlich den eigenen Sicherheits- und Datenschutzanforderungen genügen, etwa ob sie eine sichere Verschlüsselung nutzen, ob und wo sie Daten speichern oder wie sie sich in die bestehende Sicherheitsinfrastruktur des Unternehmens integrieren lassen.
- Klare Vorgaben für Mitarbeiter: Mit klaren und verbindlichen Vorgaben zum Umgang mit Daten, Anwendungen und Geräten im Home-Office verhindern Unternehmen, dass Mitarbeiter aus Unwissenheit die IT-Sicherheit gefährden oder gegen den Datenschutz verstoßen. Sie sollten auch Kommunikationswege und Ansprechpartner absprechen, damit Abläufe klar geregelt sind und Mitarbeiter nicht auf Betrugsversuche wie Scam-Anrufe vermeintlicher Support-Mitarbeiter hereinfallen. Spezielle Awareness-Schulungen können überdies helfen, das Bewusstsein für Cybergefahren weiter zu schärfen.
"IT-Sicherheit mag bei der Einführung von Heimarbeit im vergangenen Frühjahr nicht immer die höchste Priorität gehabt haben, doch die unsicheren Home-Office-Provisorien dürfen jetzt nicht zur Dauerlösung werden", mahnt Ulrich Mertz, Gründer und Geschäftsführer von Rangee. "Unternehmen sollten die Absicherung von Geräten und Datenübertragungen dringend angehen, um das Risiko von Sicherheitsvorfällen zu minimieren. Als Alternative zu Notebooks und PCs mit Windows, die stark gefährdet sind, eignen sich dabei Thin Clients mit Linux. Diese sind nicht anfällig für Malware und benötigen nur sehr selten Sicherheitsupdates, was IT-Abteilungen die Arbeit erleichtert und auch die oft stark beanspruchten VPN-Verbindungen entlastet."