MEINRADs Blog

Hier ist nichts zu holen – IT-Sicherheit im Home-Office

Geschrieben von Meinrad Reiterer | 31. März 2020


Mit dem biologischen kommt das digitale Virus. Tausende Menschen arbeiten wegen des Coronavirus im Home-Office. Viele Unternehmen waren darauf IT-mäßig nicht vorbereitet, auch die Mitarbeiter nicht. Das birgt Sicherheitsrisiken, die Cyber-Kriminelle schamlos zum Datenklau ausnutzen. Hacker-Angriffe haben in der Krise Hochkonjunktur. Daher muss im Home-Office das gleiche Sicherheitsniveau erreicht werden, wie im Büro. Worauf man besonders achten sollte, haben wir zusammengefasst.

Es ist der Albtraum schlechthin für jedes Unternehmen: Hacker dringen ins Firmennetzwerk ein und stehlen vertrauliche Informationen oder legen den gesamten Betrieb lahm. Um dieses Horrorszenario zu verhindern, versucht man, die internen Netzwerke mittels verschlüsselter Verbindungen, Antiviren-Programmen und Firewalls vor unberechtigtem Zugriff und Cyber-Attacken zu schützen. Da gilt es schon in Nicht-Corona-Zeiten eine Menge zu bedenken. Durch Corona wurden nun aber quasi über Nacht Zigtausend Menschen zu Telearbeitern. Das überrumpelte viele Firmen. Sie mussten binnen weniger Tage die Möglichkeiten zur Heimarbeit für all ihre Mitarbeiter schaffen. Und wenn in der Kürze der Zeit nur improvisierte Sicherheitslösungen gefunden wurden, wird die Sache problematisch: Zusätzlich zum biologischen Erreger kämpft man dann vielleicht auch noch gegen digitale.

Home-Office als Gefahr für Firmendaten

Grundsätzlich ist Home-Office heutzutage keine große Schwierigkeit mehr. Man braucht einen zentralen Firmen-Server, auf den alle Mitarbeiter zugreifen können, ohne dass sie sich im firmeninternen Büro befinden müssen. Alle Daten werden auf diesem Server gespeichert. Der Zugriff darauf ist passwortgeschützt. Das ist auch bei MEINRAD so. Wir setzen seit Jahren auf die Entkopplung der Arbeitsplätze von den beiden Bürostandorten Wolfsberg und Graz (wiewohl wir vor Corona natürlich auch die Büros nutzten) und sind nun dementsprechend gut organisiert und gesichert kollektiv ins Home-Office gesiedelt. Wenn aber alles ganz schnell gehen muss, ist es ein Balanceakt, die Arbeitsfähigkeit und Verfügbarkeit des Unternehmens zu erhalten, gleichzeitig jedoch Vertraulichkeit und Sicherheit zu gewährleisten. Zu denken, als kleine Firma ist man für Hacker eher uninteressant, ist ein großer Irrglaube. Große Firmen mit riesigen Datenbeständen sind in der Regel sehr gut gesichert, was für Hacker Zeit und Aufwand bedeutet. Daher sind kleine Firmen, vor allem wenn sie Sicherheitslücken haben, eine verlockende, weil leichtere, Beute.

Awareness ist alles

Vorsicht ist bekanntlich die Mutter der Porzellankiste. Auch beim Schutz vor Cyber-Kriminalität. Daher gibt es einiges, was man tun kann, um Datenmanipulation oder Malware im Unternehmensnetz zu verhindern.

Was Unternehmen tun können:

  • VPN-Netzwerk (Virtual Private Network) einrichten.
  • Passwortgeschützten Terminalserver einrichten.
  • Firewalls installieren. (Wichtig ist, dass die Software der Firewall im Firmennetzwerk aber auch auf den einzelnen Computern aktuell ist.)
  • Festplattenverschlüsselung einrichten, um einen unerlaubten Zugriff von außen unmöglich zu machen.
  • Back-ups verschlüsseln – Ransomware (Schadprogramme) kann auf verschlüsselte Back-ups nicht zugreifen.
  • Antivirensoftware immer aktuell halten.
  • Kontakt zur IT-Abteilung/dem Zuständigen der ganzen Belegschaft kommunizieren – jeder Mitarbeiter muss wissen, wen er bei Problemen kontaktieren kann.
  • Klare und unmissverständliche Richtlinien an die Mitarbeiter ausgeben bzw. diese entsprechend schulen – am besten im Vorfeld. Insbesondere, wenn die Arbeit außer Haus bisher die Ausnahme war, wissen die Mitarbeiter jetzt nicht, wie sie sich verhalten und was sie beachten müssen.

Was Mitarbeiter tun können:

  • Nur gesicherte WLAN-Verbindungen nutzen. In Zeiten der Ausgangsbeschränkungen kommt das offene Netz vom Lieblingscafé aber sowieso nicht in Frage.
  • Ausschließlich über gesicherte und vertrauenswürdige Kanäle mit den Kollegen kommunizieren.
  • Vorsicht bei E-Mails von unbekannten Absendern walten lassen bzw. sind manche vertraut erscheinende Adressen nur geringfügig modifiziert und erwecken falsche Sicherheit.
  • Keine Anhänge unbekannter Quelle öffnen und nicht auf Links klicken.
  • Keiner Aufforderung zur Passwort-Eingabe nachkommen.
  • Am Telefon keine Passwörter/Zugangsdaten weitergeben, auch wenn der Anrufer sagt, es wäre für die weitere Telearbeit nötig und besonders dringend. Es gibt keinen legitimen Grund für die Weitergabe von Zugangsdaten! Notieren Sie sich Name und Unternehmen des Anrufers und prüfen Sie dessen Identität/Berechtigung. Im Normalfall legt dieser nach der Frage ohnehin gleich auf.
  • Vorsicht bei Überweisungsaufträgen in ungewöhnlicher Höhe oder mit geänderten Kontoverbindungen (auch wenn man eine solche Rechnung erwartet).
  • Keine Fernzugriffe ohne vorherige Abklärung auf Ihre Geräte erlauben (außer natürlich, es handelt sich tatsächlich um den IT-Kollegen) – es kommt derzeit verstärkt zu Aufforderungen, den Zugriff zum Laptop zum Beispiel via TeamViewer zu gewähren.
  • Vorsicht vor Mails zum Thema Coronavirus: Cyber-Kriminelle nutzen die derzeitige Unsicherheit als Köder, indem sie beispielsweise Phishing-Mails mit Links zu Karten mit den aktuellen Fallzahlen oder Ähnlichem versenden. Ein Klick darauf - und schon ist Schadsoftware auf den Computer geschleust.

Sollten Sie ein verdächtiges E-Mail erhalten und es zur Abklärung an die IT-Abteilung Ihrer Firma schicken wollen, so achten Sie darauf, im Betreff einen entsprechenden warnenden Titel zu wählen. Allzu leicht kann es nämlich passieren, dass man gedankenverloren doch auf einen Link klickt, weil das Mail von einem vertrauten Absender – in diesem Fall einem Kollegen – kommt.

Sollte man die Befürchtung haben, auf einen falschen Link geklickt zu haben, gilt: Sofort Meldung erstatten und nicht abwarten, bis sich etwaige Viren munter im Firmennetzwerk ausbreiten. Das kann jedem passieren! Wichtig ist, schnell zu reagieren und auch Kollegen davon zu erzählen, damit diese sensibilisiert werden.

Hier gibt es nichts zu sehen

Ein weiterer Aspekt im Home-Office ist der Datenschutz. Zugriff auf Hard- und Software sowie die Daten dürfen aus rechtlichen Gründen nur Sie als Mitarbeiter haben. Gerade jetzt, wo möglicherweise mehrere Personen im Haushalt von zuhause aus arbeiten, ist es wichtig, dass geschäftlich genutzte Endgeräte wie Laptops vor dem Zugriff unbefugter Personen geschützt sind (dazu zählt auch der Partner). Denn auch im Home-Office müssen Datenschutz und berufsspezifische Verschwiegenheitspflichten gewahrt werden.

 

Die im Text gewählten personenbezogenen Bezeichnungen sollen sich ausdrücklich auf alle Geschlechter in gleicher Weise beziehen. Soweit im Text die männliche Form gewählt wurde, geschah dies aufgrund der besseren Lesbarkeit. Hintergründe zu unserer Entscheidung finden Sie in unserem Artikel So lebt MEINRAD das Thema Gleichberechtigung und gendergerechte Sprache.

Titelbild: © Storyblocks