Startseite > Security > Remote Work ist gekommen, um zu bleiben

Cybersicherheit

Remote Work ist gekommen, um zu bleiben

29. März 2022, 7:08 Uhr | Autor: Arno Edelmann / Redaktion: Diana Künstler

Remote-Mitarbeiter stellen oft ein Risiko für ihr Unternehmen dar. Sie benötigen daher Know-how und Werkzeuge, damit sie sicher von zuhause arbeiten können, ohne das Unternehmen unwissentlich zu gefährden. Sicherheitsrisiken und entsprechende Handlungsempfehlungen.

Das neue hybride Arbeitsmodell birgt Herausforderungen und Chancen gleichermaßen. Sicherheitsteams in den Büros sowie Unternehmensnetzwerke und IT-Infrastrukturen vor Ort werden bei Zunahme von Remote Work durch heikle Wi-Fi-Verbindungen und das Vertrauen in die Mitarbeiter ersetzt, dass diese potenzielle Sicherheitsverletzungen erkennen und melden.

Laut dem Data Breach Investigations Report 2021 (DBIR 2021) von Verizon sind 85 Prozent der Sicherheitsverletzungen auf menschliches Versagen zurückzuführen. In Verbindung mit dem Wissen, dass die durchschnittlichen finanziellen Auswirkungen einer Datenschutzverletzung über 17.000 Euro betragen (95 Prozent der Vorfälle liegen zwischen 690 und 547.600 Euro), wird deutlich, wie wichtig Cybersicherheit ist.

Matchmaker+ Anbieter zum Thema

zu Matchmaker+

Empfehlungen für sichere Remote Work

Remote-Mitarbeiter stellen oft ein Risiko für ihr Unternehmen dar. Sie benötigen Know-how und Werkzeuge, damit sie sicher von zuhause arbeiten können, ohne das Unternehmen unwissentlich zu gefährden. Die Sicherheitsrisiken bei der Fernarbeit lassen sich im Wesentlichen in vier große Kategorien einteilen.

1. Benutzer und Verhaltensweisen
Viele Mitarbeiter sind bereits voll ausgelastet und haben oft nicht die Zeit, neue Technologien von Grund auf zu lernen. Die Einführung von neuen Verhaltens- und Arbeitsweisen in der Sicherheitskultur im gesamten Unternehmen erweist sich oft als eine gute Lösung. So wird Cybersicherheit direkt in den Arbeitsalltag der Mitarbeiter stärker eingebunden.

Empfehlungen:

Unternehmen sollten ihre Mitarbeiter über die üblichen Anzeichen und Gefahren von Social-Engineering- und Phishing-Angriffen informieren – letztere haben laut DBIR 2021 um 11 Prozent zugenommen – und darüber, dass sie niemals Informationen weitergeben sollten, ohne die Anfrage vorher zu überprüfen.
Unternehmen sollten Angriffssimulationen nutzen, um Mitarbeiter darin zu schulen, die üblichen Merkmale von Phishing-Angriffen zu erkennen, wie zum Beispiel falsch geschriebene E-Mail-Adressen und ungewöhnliche URLs.
Es lohnt sich, Schulungen und Richtlinien auf mehrere Angriffsflächen zu erweitern – einschließlich SMS, soziale Medien und Spiele.
Es gilt sicherzustellen, dass die Richtlinien auf dem neuesten Stand sind, einschließlich einer leicht verständlichen Fernarbeitsrichtlinie und AUP* (Acceptable Use Policy).

*Eine so genannte Acceptable Use Policy (AUP) ist eine Richtlinie, mit Auflagen und Best Practices, die ein Anwender akzeptieren muss, bevor er auf ein Firmennetzwerk oder das Internet zugreifen darf.

2. Applikationen
Die Zahl der Apps, die das Arbeiten per Fernzugriff ermöglichen, ist in den letzten Jahren sprunghaft angestiegen. Unternehmen haben die Qual der Wahl: von Video-Tools über File-Sharing-Apps und Workflow-Management-Software bis hin zu Plattformen für die Life-Work-Balance der Mitarbeiter. Jede neue App, die von einem Mitarbeiter verwendet wird, stellt eine neue Angriffsfläche für Cyberkriminelle dar.

Empfehlungen:

Unternehmen sollten sicherstellen, dass Mitarbeiter während der Arbeit nur zugelassene und überprüfte Apps verwenden, die in ihren AUP* klar festgelegt sind.
Es lohnt sich, eine Patch-Richtlinie einzuführen und sicherzustellen, dass die Mitarbeiter ihre Apps auf allen ihren Geräten regelmäßig aktualisieren.
Unternehmen können die Einführung eines Cloud Access Security Brokers (CASB) erwägen, der die Verbindung zu Webanwendungen des Unternehmens verhindert, wenn das Gerät des Mitarbeiters nicht den bestehenden Sicherheitsstandards entspricht, zum Beispiel den neuesten Patch-Updates.
Es ist ratsam, die Richtlinien des BSI (Bundesamt für Sicherheit in der Informationstechnik) so genau wie möglich zu befolgen, einschließlich der Einführung der Zwei-Faktor-Authentifizierung.

3. Geräte
Durch die Fernarbeit waren viele Mitarbeiter gezwungen, sich mit Arbeitsgeräten wie zum Beispiel neuen mobilen Geräten und persönlichen Laptops vertraut zu machen. Selbst wenn die Mitarbeiter mit den Sicherheitsprotokollen im Büro vertraut sind, für Remote Work gelten andere Regeln.

Empfehlungen:

Unternehmen sollten ihre Mitarbeiter anweisen, ihre Bildschirme zu sperren, wenn das Gerät unbeaufsichtigt ist, insbesondere wenn sie in einem Café oder einem öffentlichen Bereich arbeiten.
Es gilt sicherzustellen, dass die Geräte im Ruhezustand regelmäßig Daten verschlüsseln. Die meisten modernen Laptops und Mobiltelefone verfügen zwar über eingebaute Verschlüsselungsfunktionen, doch müssen diese möglicherweise regelmäßig konfiguriert werden.
Unternehmen sollten eine klare und präzise Richtlinie für verlorene oder gestohlene Geräte festlegen, damit die Mitarbeiter das Fehlen eines Geräts so schnell wie möglich der richtigen Person melden können, um das Risiko verlorener oder gestohlener Daten zu mindern.
Es ist ratsam, Software für die Verwaltung mobiler Geräte (MDM) zu verwenden, um den Zugriff auf ein vermisstes Gerät aus der Ferne zu sperren, die Daten darauf zu löschen und Backups davon abzurufen.
Unternehmen sollten sicherstellen, dass die Mitarbeiter Zeit für das regelmäßige Herunterladen von Sicherheitsupdates für alle ihre Geräte einplanen.

4. Netzwerke und Cloud
Für einige Mitarbeiter ist die Fernarbeit ein neuer Prozess. Sie haben ihr heimisches Wi-Fi-Netzwerk noch nie für Arbeitszwecke genutzt.

Empfehlungen:

Unternehmen sollten den Einsatz virtueller privater Netzwerke (VPNs) erwägen, um den Mitarbeitern einen sicheren Fernzugriff auf Arbeitsabläufe und Mitarbeiterschulungen zu ermöglichen.
Es lohnt sich, die Nutzung von öffentlichem Wi-Fi einzu schränken, da dies extrem unsichere Umgebungen sind und eine Brutstätte für Datenangriffe darstellen.
Unternehmen sollten Richtlinien einführen oder diese aktualisieren, um die Mitarbeiter über die verschiedenen verfügbaren Netzwerktypen (VPNs, drahtlose Netze und so weiter.) aufzuklären und darüber, welche in gewissen Szenarien verwendet werden sollten.
Es ist ratsam, sich zu vergewissern, dass alle Mitarbeiter Maßnahmen ergriffen haben, um sicherzustellen, dass ihr eigenes Wi-Fi-Netzwerk zu Hause so sicher wie möglich ist.

Remote Work wird bleiben

Remote Work wird sich durchsetzen. Unternehmen können entweder den starken Anstieg nutzen oder zurückbleiben. Viele Unternehmen profitieren von Produktivitätsvorteilen. Gleichzeitig müssen sie ihre Sicherheitsanforderungen dem kulturellen Wandel anpassen.

Die Kenntnis über die verschiedenen Bedrohungsarten ist der erste Baustein. Anschließend müssen die Mitarbeiter mit den richtigen Werkzeugen ausgestattet und geschult werden. So lernen sie die ersten Anzeichen von Gefahren zu erkennen und die richtigen Entscheidungen zu treffen, um sich selbst und das Unternehmen zu schützen. Erst dann können die Unternehmen von den weitreichenden Vorteilen einer dezentralen, autonomen und flexiblen Arbeitskultur profitieren.