Blog : Von Bahnhofshalle und Kinderzimmer ins Unternehmensnetzwerk
Die Digitalisierung hilft in der aktuellen Lage: Ohne Internet wäre ein Aufrechterhalten des Betriebs in vielen Unternehmen im "Home Office" nicht möglich. Um die Corona-Pandemie zu verlangsamen werden mit Hilfe der Verlagerung der Büros in die Privathaushalte die Sozialkontakte sinnvollerweise massiv eingeschränkt. Die VPN-Zugänge zu den Unternehmensnetzen, das Remote Management oder die Fernwartungen helfen, die Gefahr für die Menschen zu verringern. Viele Arbeiten können auch aus der Ferne erfolgen, das schafft aktuell einen großen Nutzen. Doch nicht nur im Arbeitsleben bringt das Vorteile, sogar die Schüler werden über diverse Lernplattformen zu Hause beschult. Doch wie wirkt sich das auf die Sicherheit der Unternehmensnetzwerke aus?
Gehen Sie vom "worst case" aus!
Als Verantwortliche für die Werte und Daten im Unternehmen gehen Sie davon aus, dass Ihre Kollegen und Mitarbeiter nun in der öffentlichen Bahnhofshalle der Stadt arbeiten! Der geschützte Raum des Büros - organisatorisch wie auch technisch - wird verlassen. Es wird vernetzt, was vorher noch nicht vernetzt war, oft genug vom Kinderzimmer aus. Folgende Fragen helfen bei der Risikoabschätzung:
Wird das „Smart Home der Mitarbeiter“, die Lernplattform der Kinder, die sprachgesteuerte Musikbox sowie die Heizungssteuerung nun Teil des Unternehmensnetzwerkes?
Passen die vorhanden Regelungen im Umgang mit den wichtigen Unternehmensdaten auch in die Home-Office-Tätigkeiten?
Sind die Mitarbeiter sensibilisiert, wenn zunehmend Phishing-Mails zum Thema Home-Office und Corona versendet werden?
Wer kann die Inhalte auf den Bildschirmen der Arbeitsplatzrechner im Home-Office sehen? Sind Bildschirmsperren aktiv?
Einschränkung der Berichtigungen prüfen
Es ist davon auszugehen, dass nicht alle Geräte im erweiterten Netz den geforderten Sicherheitsniveaus entsprechen. Hier können schnell wichtige Daten verloren gehen oder manipuliert werden. Dies ist eine Herausforderung für die Mitarbeiter und für die verantwortlichen IT Leiter sowie CISO der Unternehmen. Einige Beispiele zu den Veränderungen durch die Arbeit im Home-Office: Viele Desktop-Rechner werden nach Hause getragen; im Büro gibt es klare Zutrittsregelungen, die daheim naturgemäß fehlen; die Vertraulichkeit der wichtigen Unternehmensdaten kann mit dem „Diebstahl“ eines der Rechner extrem gefährdet sein, denn oftmals sind die Festplatten dieser Systeme nicht verschlüsselt. Die Verantwortlichen sollten diese Zeit nutzen, um die Berechtigungen zu prüfen. Die Einschränkung von Berechtigungen zur Sicherung der Vertraulichkeit ist gegenüber dem Einzelfall einer fehlenden Mitarbeiter-Berechtigung im Home-Office ein Vorteil. Hier einige Tipps für die Vorgangsweise;
Nutzen Sie ausschließlich VPN zur Einwahl in das Unternehmensnetzwerk - das ist aber nur die Verlängerung Ihrer Werkbank außerhalb des Betriebsgeländes.
Konfigurieren Sie ergänzend für jede Anwendungen eine geeignete Authentifizierung und Verschlüsselung für eine sicherere Übertragung.
Aktivieren Sie die Daten- und Festplattenverschlüsselungen. Denn schnell ist aus dem Diebstahl der Hardware auch ein anzeigepflichtiger Datenschutzvorfall geworden.
Informieren Sie die Mitarbeiter und verstärken Sie so die Sensibilisierung.
Schärfen Sie den Mitarbeitern ein, auf keinen Fall die privaten Mail-Accounts für den Versand von betrieblichen Informationen und Dokumenten zu verwenden.
Aktivieren Sie umgehend den Bildschirmschoner / Sperrbildschirm mit kurzer Aktivierungszeit (> 2 Min.).
Für Tablets und Smartphones eine PIN vergeben und „Autosperre“ aktivieren.
Risiko durch die Verwendung privater Endgeräte minimieren
Nun werden zur Arbeit im Home-Office aber auch Laptops, Tablets und Smartphones genutzt, die dem Mitarbeiter privat gehören. Diese Geräte entsprechen nicht den üblichen betrieblichen Anforderungen an Cybersecurity. Die Integrität der Unternehmensdaten ist dadurch gefährdet. Änderungen an Dokumenten können von weiteren Personen erfolgen. Auch das erfordert einige spezielle Maßnahmen zur Aufrechterhaltung der Vertraulichkeit:
Prüfen Sie die Einführung von starker Authentifizierung / Zwei-Faktor-Authentifizierung.
Erinnern Sie an die eindeutige Kennzeichnung von Daten und Informationen, z. B. bei Firmenvertraulichkeit, und definieren Sie vorab diese Sicherheitskriterien.
Nutzen Sie digitale Signaturen und Verschlüsselung für die Integrität, wo immer das möglich ist,.
Bitten Sie die Mitarbeiter, sich Zeit für das Absenden von Mails zu lassen: Sowohl versendete Informationen als auch Dokumente sind mehrfach zu kontrollieren.
Druck durch den Adressaten ist oft schon ein erster Hinweis auf eine Phishing Mail! Lassen Sie sich nicht unter Druck durch den Adressaten setzen.
Erklären Sie den Mitbewohnern klar, dass der Rechner (nun auch) für die Arbeit genutzt wird.
Auch hier den Bildschirmschoner /Sperrbildschirm mit Passwort aktivieren.
Monitoring der VPN-Verbindung
Aber auch hier merken wir plötzlich, dass Verfügbarkeit vor Vertraulichkeit und Integrität kommt. Was nutzt es, wenn alle von Zuhause arbeiten können und wenn der VPN-Einwahlserver nur für wenige Verbindungen gleichzeitig ausgelegt ist? Auch die Kinder sind zu Hause und nutzen die Lernplattformen. Daraus resultieren mehr Download von Informationen, mehr Musik und Filme aus dem Internet, aber auch mehr Videomeetings. Reicht dazu der häusliche Internetanschluss?
Richten Sie ein kontinuierliches Monitoring und eine Anomalieerkennung im Netzwerk ein.
Prüfen Sie täglich die Logfiles der VPN-Gateways, oft reicht es schon, die Anzahl der sich einwählenden Systeme / Geräte und Häufigkeit der Verbindungen je Tag zu vergleichen.
Die Unternehmen sollten die kritischen Prozesse mit neuen Terminen anpassen. z.B. das Erstellen und die Abgabe von Dokumenten.
Vereinbaren Sie mit den Mitarbeitern genaue Zeiten für die Nutzung des Internet: z.B. Arbeit, Schule, die Kinder.
Instruieren Sie die Mitarbeiter, die VPN-Verbindung zu deaktivieren wenn sie diese nicht nutzen.
Organisatorische Anpassungen nicht vergessen
Die Verantwortlichen dürfen nicht vergessen die Risikoanalysen schnellstens anzupassen, um die Maßnahmen zu identifizieren und notwendiges schnell umzusetzen. Das kann zum Beispiel eine Information zur Vertraulichkeit im Home-Office, die Kontrolle der Lauffähigkeit der Virenschutzsoftware und auch das tägliche Auswerten der Logfiles des VPN Server sowie Prüfungen der Anmeldungen an den Anwendungen viel bewirken.
Abschließend hilft bei jeder der erfolgten technischen oder organisatorischen Anpassung: Die kontinuierliche Information an die Mitarbeiter im Home-Office über die modifizierten Regelungen und weisen sie auf die Gefahren hin. Eine kurze Mail ist oft ausreichend und schafft Verständnis.