Corona bringt Viren in die Sicherheitsstrukturen

von (Kommentare: 0)

Das Jahr 2020 wird nicht nur als das Jahr von Corona in die Geschichte eingehen, sondern auch als das Jahr der Hackerangriffe.  Was gab es da nicht alles…sogar Microsoft oder das Bundeskanzleramt waren jüngst betroffen. Das ist auch kein Wunder, denn durch das häufige Corona-bedingte Arbeiten von Home-Offices aus öffnen viele Unternehmen Cyberkriminellen unbewusst Tür und Tor. Es fehlt oft schlicht das Bewusstsein, dass mobile Arbeitsplätze und Heimnetzwerke meist ein anderes Sicherheitsniveau haben als gut gesicherte Unternehmensnetzwerke. So entstehen statt der gesundheitlichen Infektionsgefahren auch zahlreiche virtuelle Infektionsgefahren mit ebenfalls beträchtlicher Tragweite:

1. Gefahr: Cyber-(Un)Sicherheit

Die höhere Aktivität von Cyberkriminellen und Präsenz sogar von Staaten und staatlichen Einrichtungen im Cyberspace hat ebenfalls einen starken Einfluss auf die Informationssicherheit, nicht nur auf private Haushalte mit ihren Home-Offices. Erst Anfang Dezember 2020 soll laut Tagesschau und Heute-Journal sogar die Europäische Arzneimittelbehörde Opfer eines staatlich gesteuerten Hackerangriffs geworden sein . Dabei wurde auf Daten der beiden Corona-Impfstoffe zugegriffen, die dort auf Zulassung warteten. Im Mai 2020 soll gar der Bundestag im Auftrag der russischen Regierung gehackt worden sein.

Homeoffices sind ein Tor zu Unternehmen mit Ihren Geheimnissen und ganz besonders auch zu KRITIS-Unternehmen , welche für die öffentliche Versorgung von größter Bedeutung sind. KRITIS bezeichnet Kritische Infrastrukturen wie Anlagen oder Systeme, die von wesentlicher Bedeutung für die Aufrechterhaltung wichtiger öffentlicher Funktionen, wie der Versorgung, der Gesundheit, der Sicherheit sowie des wirtschaftlichen oder sozialen Wohlergehens der Bevölkerung bedeutend sind. Störung oder Zerstörung dieser kritischen Infrastrukturen haben erhebliche Auswirkungen für Wirtschaft und Gesellschaft, wenn diese Funktionen nicht aufrechterhalten werden könnten.

Jeder, mit dessen geistigem Eigentum oder Leistungen sich ein Gewinn oder Vorteil erzielen lässt, stellt ein potenzielles Angriffsziel dar. Besonders der Schutz kritischer nationaler Infrastrukturen wie Energie, Telekommunikation, Verkehr, Gesundheit, öffentlicher Sicherheit und Verteidigung, aber auch besondere Alleinstellungsmerkmale von Produkten, also wichtige Werte von Unternehmen, sind besondere Ziele für Cyberkriminalität. Bleibt die Frage, ob sich die Manager aller Unternehmen Ihrer Verantwortung um die Sicherheit ihrer „Kronjuwelen“ bewusst sind.

2. Gefahr: Sicherheit in der Supply Chain

Die immer stärkere internationale Verflechtung von Unternehmen rückt das Thema Sicherheit in der Supply Chain zunehmend in den Fokus. Da die Lieferkette auch eine Risikokette darstellt, sind Unternehmen auch von Informationssicherheitsvorfällen ihrer Kunden und Geschäftspartner betroffen. Beispielsweise haben lokale Autobauer erst im Frühjahr gemerkt was passiert, wenn bei Zulieferern im Ausland Corona-bedingt die Bänder stillstehen

Unternehmen tauschen heute immer mehr kritische Daten mit Dritten rund um den Globus aus, von Mitarbeiter- und Lohndaten mit externen HR-Dienstleistern bis hin zu Produktionsplänen mit Entwicklungspartnern und Lieferanten. Das IT-Management kann dabei zwar den Überblick über alle innerhalb des Unternehmens gespeicherten Daten behalten, entlang der gesamten Lieferkette mit allen Sub-Unternehmen und allen Home-Offices ist dies jedoch unmöglich. Wie da ganzheitliche Sicherheit gewahrt bleiben soll, ist fraglich. Die Wertschöpfungskette wird zur Risikokette.

3. Gefahr: Big Data

Big Data verändert das Unternehmensumfeld weiterhin grundlegend und erhöht somit auch die Sicherheitsrisiken. Von strukturierten und unstrukturierten Daten innerhalb des Unternehmensnetzes bis hin zu mobilen Endgeräten und Speicherlösungen:

Das Datenmanagement erfordert neue Ansätze und Methoden. Eine der größten Herausforderungen ist dabei die Sicherung sowohl eingehender als auch ausgehender Geschäftsdaten, wobei unter Umständen auch spezifische rechtliche Vorgaben und Rahmenbedingungen beachtet werden müssen.

4. Gefahr: Daten-(Un)Sicherheit in der Cloud

Cloud-Lösungen sind Trend. Warum? Weil es scheinbar günstig ist und weil es einfach alle machen!

Doch die Kosten durch Angriffe auf die Cloud sowie für Compliance-Nachweise in der Cloud werden weiter steigen – wie auch die Kosten für Sicherheitslücken, Bußgelder und Schadenersatzansprüche etc. Zwar implementieren Unternehmen zunehmend Strategien für mehr Sicherheit in der Cloud, in vielen Bereichen besteht jedoch weiterhin großer Handlungsbedarf. Insbesondere, weil viele Organisationen gar nicht wissen, wo im Unternehmen bereits Cloud-basierte Services genutzt werden. Aktuelle Compliance-Vorschriften fordern zwar eine lückenlose Dokumentation wo genau sensible Daten, insbesondere personenbezogene Daten, gespeichert oder verarbeitet werden. Doch was nützt all dies, wenn Cloud-Lösungen zweckentfremdet verwendet werden, nicht regelkonform zur Anwendung kommen oder letztlich unbekannt ist, welchen Sicherheitsstandards der relevante Server unterliegt?

5. Gefahr: BYOD

Durch die Nutzung privater mobiler Endgeräte am Arbeitsplatz verschwimmen die Grenzen zwischen Privat- und Geschäftsdaten zunehmend. Dies ist gerade jetzt ein besonders aktuelles Thema, da Corona-bedingt viele Mitarbeiter vom Homeoffice aus mit ihrer privaten Infrastruktur arbeiten. Doch nicht jedem Homeoffice werden Drucker, Maus und Tastatur vom Arbeitgeber bereitgestellt, das sichere Netzwerk schon gar nicht. Dies birgt jedoch das Risiko von unbeabsichtigten Datenverlusten . Dieses Risiko wird sich mit der weiteren Verbreitung mobiler Endgeräte und der Bereitstellung von immer mehr Business- Anwendungen über mobile Kanäle weiter erhöhen. Die Implementierung wirksamer „Consumerization“-Strategien ist derzeit oft noch mangelhaft.

Arbeiten im Home-Office ist prinzipiell nichts Anderes als eine Form von „Bring your own Device“ (BYOD)  – und was für eine! Häufig wird nämlich nicht nur verschiedene private Hardware wie dort bereits vorhandene Multifunktionsdrucker über das private Netzwerk mit dem Firmennetzwerk verbunden – ohne jegliche Audits zur Sicherheit! Ist ein Hacker oder Malware über diesen Umweg erst in das Unternehmen eingedrungen, ist es zu spät. Die jeweilige Schwachstelle für diesen Störfall ist nicht immer nachvollziehbar.

6. Gefahr: Soziale Medien und Messenger

Wenn schon dezentral gearbeitet wird, dann soll wenigstens die betriebsinterne Kommunikation so einfach wie möglich sein. Nicht immer wird dafür nur das E-Mail-System oder spezielle Tools genutzt, häufig dienen auch gängige Messenger zur betriebsinternen Kommunikation – auch oder gerade für knackige kurze Nachrichten mit externen Stellen wie Kunden, Patienten oder Lieferanten. Vielen ist dabei gar nicht bewusst, dass die Sicherheit damit völlig auf der Strecke bleibt, denn im privaten Sektor wird diese Sicherheitslücke schließlich allzu oft auch akzeptiert.

Aktuell ist bspw. die ohnehin bedenkliche Sicherheit von WhatsApp in der Diskussion, da die Sicherheitsstandards weiter gelockert werden sollen. Auch darum haben sicherere Messenger stetigen Zulauf im beruflichen wie auch im privaten Bereich. Längst gibt es gängige Tools auch zur unternehmensinternen Kommunikation per Videoschaltung. Jedes Unternehmen möge sich an dieser Stelle fragen lassen, ob oder wie weit die betriebliche Kommunikation in den internen Richtlinien verankert ist.

7. Gefahr: Apps mit Ortung

Ein weiteres Sicherheitsproblem stellen Standortinformationen dar, da diese sich für kriminelle Zwecke nutzen lassen. Da Benutzer zunehmend ihre Standortdaten im Internet preisgeben, etwa mit bestimmten Apps, die Ortung erlauben, und immer mehr GPS-fähige Geräte eingesetzt werden, dürfte eine Zunahme aller Arten von kriminellen Aktivitäten zu verzeichnen  sein, bei denen Standortinformationen eine Rolle spielen. So wird rasch offensichtlich, wo Jemand im Homeoffice arbeiten darf. Zwar ist die Anzahl der Einbrüche durch Corona gesunken, doch sind durch den oft geringeren Sicherheitsstandard in den Homeoffices mehr Daten einfacher abzugreifen.

Projektarbeit Remote

Der Umstieg auf Arbeiten im Homeoffice hat häufig auch Auswirkungen auf laufende Projekte. Damit entfällt die oft nötige Präsenz, da Reisen ebenso vermieden werden sollen wie persönliche Kontakte. Darum sollten sich Projektleiter die Fragen stellen:

  • Was ist das angestrebte Ziel der persönlichen Treffen?
  • Wie ändern sich durch das Homeoffice die Rahmenbedingungen für das Projekt?

Regelmäßig entfallen mit dem Reisen auch Kosten, die zu Lasten des Projektbudgets angefallen wären. So entsteht finanzieller Spielraum für Tools, mit denen – bei sinnvollem Einsatz - die enge Zusammenarbeit virtuell beibehalten werden kann. Besonders agile Projekte werden letztlich auch dadurch erfolgreich, dass die Kommunikationswege kurz sind. Doch auch nonverbale Kommunikation ist unerlässlich, um gemeinsam kreativ zu sein und schnell gemeinsam zu agieren.

Auch remote, via geeignetes Tool, durchgeführte Workshops bieten die Möglichkeit auf einander auch mit Mimik und Gestik zu wirken oder sich bei Bedarf für einzelne Aufgaben vorübergehend zurückzuziehen. Der Austausch witziger Graphiken oder GIF-Animationen zum Thema trägt deutlich zur lockeren Atmosphäre bei. Diese fördert Kreativität und somit das gemeinsame Finden von Lösungen oder Ergebnissen.

Solche digitalen Workshops haben dadurch noch einen weiteren positiven Effekt: Sie treiben „Digitales Team Building“ voran. Das kann einerseits dazu führen, dass in agilen Projekten die Kommunikation im Sprint ansteigt. Andererseits wird die Projektarbeit oft auch produktiver gestaltet, weil sich eine Team-eigene „digitale Etikette“ zum Umgang miteinander entwickelt. So ist es möglich, dass diese „virtuellen Teams“ sogar konstruktiver auf das gemeinsame Ziel hinarbeiten, da sie sich stärker mit dem Team identifizieren.

Natürlich müssen auch bei diesem Vorgehen (Zwischen-) Ergebnisse und Beschlüsse dokumentiert werden, um sowohl eine Überprüfung der Ergebnisse zu ermöglichen als auch an andere Teams zu übergeben. Durch den verstärkt schriftlichen Austausch fällt diese Dokumentation oft sogar leichter als im Präsenzmeeting.

Voraussetzung für diese virtuelle Zusammenarbeit ist jedoch die nötige Infrastruktur in jedem einzelnen Homeoffice. Die nachfolgend genannten Aspekte von Datenschutz und Informationssicherheit müssen gegeben sein, besonders bei der elektronischen Kommunikation.

Arbeiten im Homeoffice: neue Strategien für neue Gefahren

Nicht nur in Zeiten von Corona, schon zuvor stellten immer mehr Unternehmen im Sinne größerer Flexibilität und besserer Work-Life-Balance ihrer Mitarbeiter auf Homeoffice und mobiles Arbeiten um. Sicherlich wird dies häufig auch nach Corona für so manche Firma weiterhin zum gelebten Standard gehören. Andere Organisationen sind dagegen durch Corona erstmals mit dieser Situation konfrontiert. Wir geben Ihnen darum gerne Tipps für die Umsetzung von Homeoffice und mobiler Arbeit.

1. Mobile Hardware

Logischerweise bedarf es für das Büro in den eigenen vier Wänden mobiler Hardware. Am besten sind hierzu Unternehmen aufgestellt, deren Mitarbeiter mit firmeneigenen Notebooks ausgestattet sind. Das ermöglicht die Arbeit von jedem Arbeitsplatz aus – egal ob in der Firma oder zu Hause. Diese mobilen Computer bieten inzwischen zudem höchste Performance bei kleinstem Gewicht.

Werden im Unternehmen dagegen noch Tower-PCs genutzt, so lassen sich zur Not auch diese ins Homeoffice transportieren und dort nutzen. Da viele dieser Computer jedoch noch nicht WLAN-fähig sind, muss zwingend ein LAN-Anschluss in der eigenen Wohnung zur Verfügung stehen.

Sofern weitere private Endgeräte genutzt werden sollen, müssen jedoch auch weitere IT-Sicherheitsrisiken beachtet werden. Oft wird gerade dies bei Druckern mit integrierten Scannern und Faxfunktion vergessen. Daher sollte deren Betrieb nur in Absprache mit der IT-Administration und dem IT-Sicherheitsbeauftragten erfolgen.

2. VPN-Verbindung für Zugriff auf alle Daten und Dokumente

Um die täglichen Aufgaben von zu Hause aus erledigen zu können, müssen Mitarbeiter auf alle nötigen Ordner und Dokumente des Unternehmens wie gewohnt zugreifen können. Das wird auf sichere Art durch eine VPN-Verbindung (Virtual Private Network) ermöglicht. Diese schafft eine verschlüsselte und damit geschützte Verbindung zwischen dem zu Hause genutzten Computer und den Servern des Unternehmens. Dafür ist die Installation einer Software nötig, dem VPN-Client, über den sich Mitarbeiter nach dem Hochfahren des Computers in das Unternehmensnetzwerk einwählen können. Voraussetzung für die Nutzung von VPN ist der Einsatz einer Business-Firewall oder einer SSL-VPN Applikation im Unternehmen.

3. Internet Telefonie

Auch im Homeoffice müssen Mitarbeiter die Möglichkeit haben, wie gewohnt betriebsintern sowie extern zu telefonieren. An dieser Stelle sind Unternehmen mit fest installierten Telefonen im Nachteil. Besser ist dagegen der Einsatz von Firmen-Handys. Noch besser ist jedoch die Nutzung einer VoIP-Lösung (Voice over Internet Protocol) mit SoftClient anstelle eines Tischtelefons. Über eine Software mit Hilfe eines Headsets können Mitarbeiter so unter ihrer gewohnten Rufnummer direkt von ihrem Laptop aus Anrufen tätigen und entgegennehmen. Eine solche TK-Lösung kann lokal im Unternehmen eingerichtet werden oder über Hosting bzw. sichere Cloud-Angebote genutzt werden.

4. Digitale Zusammenarbeit und Kommunikation im Homeoffice

Die Zusammenarbeit und Kommunikation mit Kollegen, Geschäftspartnern wie auch Kunden gehört zum Arbeitsalltag eines Jeden. Das gilt umso mehr für das Arbeiten im Homeoffice. Neben E-Mail und VoIP bieten hier zahlreiche speziell für diesen Zweck entwickelte Systeme die Möglichkeit des digitalen Austausches. Längst gibt es am Markt verschiedene Tools und sichere Messenger mit allen nötigen Funktionen, welche die Zusammenarbeit und Kommunikation auch aus dem Homeoffice heraus ermöglichen. So kann über Einzel- und Gruppenchats sowie Video- oder Telefonkonferenzen kommuniziert werden.

Der Anzahl der Gesprächsteilnehmer sind dabei häufig kaum Grenzen gesetzt. Zudem lassen sich dabei auch Dokumente und Bildschirmansichten mit den Teilnehmern teilen, sofern diese zur Ansicht freigeben werden. Dadurch können Vertriebstermine, Kundengespräche, Teammeetings oder auch Events unkompliziert online durchgeführt oder auch aufgezeichnet werden.

5. Gutes Selbstmanagement und Sicherheit beim Arbeiten im Homeoffice

Die Arbeit im heimischen Umfeld kann angenehm, aber auch herausfordernd sein. Kinder oder pflegebedürftige Angehörige im gleichen Haushalt können für konzentriertes Arbeiten hinderlich sein. Nicht umsonst wird im Homeoffice häufig länger gearbeitet und kürzer Pause gemacht. Aus diesem Grund sind eine strukturierte Arbeitsweise und das Setzen von Zielen entscheidend. Für die nötige Konzentration sollte außerdem auf eine ruhige Arbeitsatmosphäre und genügend Licht geachtet werden. Doch gibt es noch weitere Tipps und Tricks, wie die Arbeit zu Hause effizienter gestaltet werden kann.

Wichtig ist zudem, Unterlagen auf dem Heimarbeitsplatz von Dritten (Angehörige, Besucher, …) nicht eingesehen werden können. Häufig ist das Büro am Wohnsitz ebenerdig mit Schreibtisch direkt am Fenster oder es wird gar auf die Terrasse verlegt. Die nötige Vertraulichkeit muss jedoch gewahrt bleiben, insbesondere wenn es sich um vertrauliche Informationen (Betriebsgeheimnisse, …) oder gar personenbezogene Daten handelt – auch nach den Arbeitszeiten! Darum muss im Home-Office ein abschließbarer Schrank zum Verwahren von Unterlagen und Arbeitsmitteln vorhanden sein und der Rechner sollte gegen Einbruch-Diebstahl gesichert sein.

Besonders wenn Kinder im Haus sind, könnte die Arbeit öfters unterbrochen werden. Dann gilt es Ruhe zu bewahren und zunächst stets den Laptop zuzuklappen oder die Tastatur zu sperren, um den Rechner erstmal vor unbefugtem Zugriff zu sichern. Immerhin weiß man nie, wie lange die Unterbrechung dauert und was noch Alles dazwischenkommt.

6. Arbeitsrecht und Datenschutz berücksichtigen

Auch arbeitsrechtlich sollte der Unterschied zwischen Homeoffice und mobilem Arbeiten berücksichtigt werden. Bei Homeoffice handelt es sich um einen fest installierten Arbeitsplatz zu Hause. Der Arbeitgeber sollte dafür alle (!) notwendige Ausstattung bereitstellen und muss prüfen, ob die arbeits-(schutz-)rechtlichen Standards im heimischen Büro erfüllt sind. Während der Arbeitnehmer in diesem Fall von zu Hause aus arbeiten darf, ist der Arbeitsort beim mobilen Arbeiten dagegen egal. Wie schon erwähnt, sind auch beim Homeoffice, insbesondere bei personenbezogenen Daten, dieselben datenschutzrechtliche Vorschriften wie in den Büroräumen des Unternehmens zu beachten.

Nicht zu unterschätzen sind auch Telefongespräche, die im Homeoffice geführt werden. Oft haben gerade dort die Wände Ohren! Gerade im Sommer sind oft Fenster geöffnet oder der Arbeitsplatz wird gern auf die Terrasse verlegt. Dagegen ist grundsätzlich Nichts einzuwenden, wenn die nötige Sicherheit gewahrt bleibt.

Außergewöhnliche Situationen erfordern außergewöhnliche Maßnahmen

Fazit: Abschließend lässt sich festhalten, dass gerade Heimarbeitsplätze ein signifikantes Risiko für die Informationssicherheit darstellen, dass bislang viel zu wenig Beachtung findet. Kein Wunder also, dass sich ein direkter Zusammenhang mit der Corona-Krise und den Hackerangriffen nicht mehr leugnen lässt.

Je höher das Risiko durch die Vertraulichkeit der Informationen, die über das Home-Office zugänglich sind, desto höher der Bedarf an besonderen Maßnahmen, um auch die Home-Offices des Teams individuell abzusichern.

Insgesamt geht es keinesfalls darum, Datenschutz und Cybersicherheit als Selbstzweck zu betrachten! Vielmehr gilt es, die Handlungsfähigkeit der Organisation im Falle von Cyberkriminalität sicherzustellen und Risiken, sei es durch Haftung für Vorsatz und Fahrlässigkeit, Schadenersatzforderungen oder in Form von empfindlichen Bußgeldern zu vermeiden. Von Erpressungstrojanern oder Datenverlust ganz zu schweigen! Zudem gilt es auch, einen möglichen Vorwurf des „Organisationsverschuldens“ durch etwaigen Mangel an Vorkehrungen von vornherein zu entkräften.

Insbesondere bei Unternehmen oder Organisationen, deren Geschäftsmodell auf ganz spezieller Expertise fußt, reichen die hier genannten Vorschläge bei weitem nicht aus um das Einfallstor Home-Office hinreichend abzusichern. Gerade hier sind spezielle Maßnahmen zwingend nötig, um die Handlungsfähigkeit des Unternehmens nachhaltig abzusichern.

Gern unterstützen wir Sie in der aktuellen Situation und auch in Zukunft bei der kurzfristigen Umstellung auf Homeoffice sowie mobiles Arbeiten! Zudem stehen wir Ihnen für Fragen jederzeit zur Verfügung. Nehmen Sie daher gern Kontakt zu uns auf.

TAGS

Zurück

Einen Kommentar schreiben

Bitte rechnen Sie 4 plus 2.