Interview: IT-Security im Homeoffice
»Wenn es zu schön ist, um wahr zu sein, ist es das auch nicht«
Fortsetzung des Artikels von Teil 1
»Ein Zurück wird es nicht mehr geben«
ICT CHANNEL: Was sind Ihre Empfehlungen für die Mitarbeiter, was sollten sie beachten, um auch im Homeoffice eine größtmögliche Sicherheit zu erreichen?
Dydak: Die Nutzung eines VPN beim externen Zugriff auf das Unternehmensnetzwerk ist eine der grundlegendsten Anforderungen. Idealerweise nutzen Mitarbeiter zuhause zwei unterschiedliche Netzwerke. Ein Heim-Netzwerk für die Unternehmenshardware. Alexa und andere Personal Assistants, IP-Kameras oder andere IoT-Geräte ebenso wie die privaten Geräte der Familie sind über einen separaten Gastzugang angebunden. Das reduziert die Gefahr, dass Cyber-Kriminelle ein schwach geschütztes Gerät als Einfalltor in das Unternehmensnetzwerk nutzen. Im Zusammenhang mit IoT-Geräten und der Netzwerkinfrastruktur sind starke Administrationspasswörter wichtig, ein Passwort-Manager kann hier unterstützen. Dazu kommen ein paar Grundprinzipien wie das Sperren des Computers, wenn er nicht verwendet wird. Und nicht zuletzt sind das Patchen seiner Heimgeräte und ein regelmäßiger, sicherer Backup der Daten auch von zentraler Wichtigkeit.
ICT CHANNEL: Was sind hingegen die wichtigsten Sercurity-Aspekte, die Unternehmen ins Auge fassen müssen?
Dydak: Klare Sicherheitsrichtlinien zum Thema Zugangskontrolle und Identitätsmanagement sind essenziell. Eine zentrale Frage ist: Wer benötigt welche Anwendungen und Daten? Schränkt man den Zugriff des Mitarbeiters auf die Anwendungen und Daten ein, reduziert man gleichzeitig das Risiko. Ein Identity- und Access-Management (IAM)-System leistet hier gute Dienste, muss aber natürlich regelmäßig aktualisiert werden. Dies gilt nicht nur für die Zeit im Homeoffice, sondern generell. Prinzipiell sehen wir eine Bewegung von der klassischen Perimetersicherheit zur Identitätssicherheit: Egal, wo der Mitarbeiter ist, das Unternehmen muss diesen sicher authentifizieren und autorisieren können.
Obwohl es selbstverständlich klingt, ist das fehlende Aufspielen aktueller Patches durch die IT-Teams noch immer eines der größten Sicherheitsrisiken. Cyber-Kriminelle dringen nicht selten über bekannte Schwachstellen in das Unternehmensnetzwerk ein. Dazu ist es auch kritisch, defensive Maßnahmen zu ergreifen: Die Überwachung kritischer IT-Instanzen ist wichtig, um potenzielle Angriffe möglichst rasch zu registrieren, sie rechtzeitig einzudämmen und zu eliminieren.
Und wie bereits erwähnt, aber enorm wichtig, sind regelmäßige Schulungen der Mitarbeiter, um sie kontinuierlich hinsichtlich des Themas Sicherheit zu sensibilisieren. Dazu gehören auch Trainings rund um Datenschutzgesetze und -richtlinien, die sich kontinuierlich verändern.
ICT CHANNEL: Viele Unternehmen standen dem Thema Homeoffice lange Zeit kritisch gegenüber. Werden die entstandenen Sicherheitsrisiken die Vorbehalte jetzt weiter untermauern?
Dydak: Nein. Die Pandemie hat gezeigt, dass Home-Office funktioniert. Ein Zurück auf zuvor wird es nicht mehr geben. Die Zukunft wird sicher ein flexibleres Arbeiten – als Mischung aus Büro- und Home-Office bilden. Viele Unternehmen sind allerdings noch nicht ausreichend auf die neuen Home-Office Anforderungen vorbereitet. Dies gilt allgemein auch bei der Ausstattung mit mobilen Endgeräten. Viele Firmen haben bereits begonnen, ihre derzeitige Lage zu analysieren und konkrete Pläne für zukünftige Arbeitsmodelle auszuarbeiten. Ich bin überzeugt, dass die Zahl der mobilen Mitarbeiter, die nur zeitweise im Büro arbeitet, weiter zunimmt. Gerade die jüngeren Generationen erwarten flexible Arbeitsmodelle. Sicherheit sollte daher ein integraler Bestandteil aller Planungen sein: Stichwort Security by Design.
- »Wenn es zu schön ist, um wahr zu sein, ist es das auch nicht«
- »Ein Zurück wird es nicht mehr geben«
Lesen Sie mehr zum Thema
