Zuhause ist man Co-Sicherheitsbeauftragter

Die verstärkte Arbeit im Home-Office führt dazu, dass Mitarbeiterinnen und Mitarbeiter auch eine stärkere Verantwortung für die IT-Sicherheit erhalten. Denn Maßnahmen, die im Büro zentral geregelt werden können, sind zuhause nicht zwangsläufig etabliert.

 

Wer im Home-Office arbeitet, hat in Sachen IT-Sicherheit nicht die gleiche Situation wie im Büro. Wer etwa im Wohnzimmer auf der Couch sitzt anstatt am Schreibtisch, der kämpft nicht nur damit, ob die Arbeitshaltung gesund ist oder dass vielleicht die eigenen Kinder direkt mit im Raum spielen. Mitarbeitende müssen sich auch der IT-Sicherheit in ihren eigenen vier Wänden bewusst werden: Während im Büro beispielsweise der Zugriff auf Serverdaten durch eine Firewall gesichert sind, sind nun auf einmal VPN-Tunnel nötig – und Gedanken daran, ob etwaige lokal gespeicherte Daten auch abgesichert sind.

Die folgenden Best Practice Tipps können Mitarbeiterinnen und Mitarbeitern helfen, das Home-Office sicherer zu machen.

 

1. Richten Sie einen klar definierten Arbeitsplatz ein.

Eine eindeutige Definition hilft mental, weil es eine Trennung von Arbeit und Privatleben unterstützt. Gleichzeitig halten Sie Daten und Unterlagen zusammen – und anderen Haushaltsmitgliedern ist zudem klar, wo ihr Arbeitsbereich ist. Denn wer beispielsweise mit vertraulichen Dokumenten hantiert, ist zu deren Schutz verpflichtet. Dabei geht es nicht darum, dass die eigenen Kinder oder Partner ein signifikantes Sicherheitsrisiko darstellen – aber entsprechende Regelungen, NDAs und Datenschutzbestimmungen müssen eingehalten werden. Gerade bei sensiblen Geschäfts- oder Personendaten.

 

2. Sperren Sie den Bildschirm beim Verlassen des Arbeitsplatzes.

Diese Grundregel aus dem Büro gilt zuhause genauso. Auch hier zählt: So wird sichergestellt, dass Daten vor Unbefugten sicher sind. Und auch, dass die Katze nicht über die Tastatur läuft und Daten löscht oder Kauderwelsch-Mails verschickt.

 

3. Zugangsdaten sollen geheim sein.

Auch diese Best Practice ist ein Klassiker aus dem Büro: Zugangsdaten haben den Sinn, Daten abzusichern. Sie auf ein Post-it zu schreiben und an den Bildschirm zu kleben, führt sie ad absurdum. Im Zweifelsfall helfen Passwort-Manager, die verschiedene Unter-Logins über ein zentrales Login absichern. Komfortabler für den Benutzer und trotzdem sicher.

 

4. Geräte sollten konform zu den Firmenrichtlinien sein.

Bei Arbeitsgeräten an sich ist klar, dass die IT-Abteilung sie so konfiguriert, dass sie den Sicherheitsrichtlinien entsprechen. Was aber, wenn Mitarbeiterinnen und Mitarbeiter nun mit dem eigenen Laptop oder Desktop arbeiten, weil sie kurzfristig kein Gerät aus dem Büro mitnehmen konnten? Dann gilt es, in Rücksprache mit den IT-Verantwortlichen zu klären, welche Schritte nötig sind. Etwa: Sind die Software und das Betriebssystem auf dem aktuellen Stand, wurden notwendige Updates durchgeführt? Ist Sicherheitssoftware – Stichwort Firewall und Virenscanner – installiert und aktiviert? Beim Umgang mit den Firmendaten kommt hinzu, dass der Zugang zum Server sicher gestaltet sein muss – das heißt, entsprechende VPN-Lösungen müssen installiert und korrekt eingerichtet sein.

 

5. Firmendaten möglichst nicht zuhause lagern.

Generell ist wichtig: Am besten sollten möglichst wenige Daten auf der eigenen lokalen Festplatte landen. Soweit realisierbar, sollten Mitarbeiterinnen und Mitarbeiter also remote auf Servern Daten bearbeiten. Wenn sie Daten lokal speichern, sind zwei Dinge wichtig: Die Daten sollten unbedingt auch regelmäßig auf den Server zurückgespielt werden – denn im Home-Office funktioniert die automatische Datensicherung höchstwahrscheinlich nicht. Und die lokalen Daten sollten gelöscht werden, sobald es möglich ist.

Daneben gibt es eine Reihe von Tipps, die generell auch die IT-Sicherheit zuhause erhöhen. Dazu gehört ganz klar, das eigene Heimnetzwerk abzusichern – also einen sicheren WLAN-Schlüssel zu verwenden und beim Kauf von Smart-Home-Geräten darauf zu achten, dass auch diese Sicherheitsstandards erfüllen und nicht Cyberkriminellen Angriffspunkte bieten.

Unternehmen sollten ihren Mitarbeiterinnen und Mitarbeitern auch Sicherheitsregelungen an die Hand geben. Neben der Erinnerung daran, was natürlich von den bestehenden Regelungen auch zuhause einzuhalten ist, geht es dabei darum, was zuhause in anderer Form oder ganz neu hinzukommt: So sollte etwa klar sein, dass VPN-Verbindungen nur dann aktiv sein sollten, wenn sie benötigt werden. Nicht nur aus Sicherheitsgründen, sondern auch für die Systemstabilität. Ein kritischer Blick auf bestehende Richtlinien empfiehlt sich insbesondere da, wo mit sensitiven Daten gearbeitet wird. Kundendaten mit nach Hause nehmen kann da ganz schnell zum Verstoß gegen die Datenschutzgrundverordnung werden, wenn nicht Grundlagen berücksichtigt werden.

 


von Prof. Dr. Daniel Loebenberger, Fraunhofer-Institut für Angewandte und Integrierte Sicherheit AISEC, Weiden in der Oberpfalz / 2020

Kommentar schreiben

Deine E-Mail-Adresse wird nicht veröffentlicht.