10 Tipps zur IT-Sicherheit im Home-Office
Nach meinem Erfahrungsbericht zum Home-Office an der Universität (Link) möchte ich an dieser Stelle 10 Tipps für die Sicherheit im Home-Office vorstellen.
Weltweit führte die Coronavirus-Pandemie zu einer neuen Arbeitsweise für einen Großteil der Mitarbeiter*innen, dem Home-Office. Mit der Einrichtung der notwendigen Hard- und Software ist allerdings nur der erste Schritt getan. Unternehmen und deren Mitarbeiter*innen sollten aber auch die Datensicherheit, den Datenschutz, sowie gesetzliche Regelungen z.B. DSGVO nicht außer Acht lassen. Die 10 folgenden Tipps zeigen Ihnen, was Sie als Mitarbeiter*in tun können. Mit diesem Wissen profitieren nicht nur Sie bei ihren privaten Online-Aktivitäten, sondern auch Ihr Unternehmen.
1. Wi-Fi-Router Sicherheit
Damit Sie sicher mit Ihrer Firma kommunizieren können, gibt es einiges beim Router zu beachten:
- Der Router sollte auf dem neuesten Stand sein, alle Updates des Herstellers sind installiert.
- Ändern Sie die W-Lan-Kennung des Routers, meistens voreingestellt auf das Modell des Routers.
- Jedes Gerät besitzt selber ein Passwort zur Anmeldung. Diese Anmeldung an dem Router (nicht W-Lan) sollte individuell eingestellt sein, mit einem starken Passwort mit Groß- und Kleinschreibung, Sonderzeichen, Zahlen und mindestens 10 Zeichen.
- Stellen Sie die W-Lan-Netzwerkverschlüsselung des Routers ein. Diese sollte mindestens auf WPA2 PSK eingestellt und auch mit einem starken Passwort, s.o., geschützt sein.
- Die Funktion des Fernzugriffs sollte deaktiviert werden, falls vorhanden.
Entsprechende Anleitungen, wie Sie die Einstellungen verändern können, finden Sie Im Internet. Dort gibt es viele Beispiele auch als Videos.
2. Sicherheit der genutzten Geräte
Egal ob Sie eigene Geräte nutzen oder nicht, sollten Sie folgendes zur Verfügung gestellt bekommen oder selber schon besitzen:
- Einen zuverlässigen und aktuellen Virenscanner, der auch den Mailverkehr überwachen kann.
- Einen vertrauenswürdigen Zugang (VPN/Virtual Private Network) auf die Firmenwebsites und andere digitale Ressourcen, eventuell mit zusätzlicher Verschlüsselung.
- Die Möglichkeit Dokumente gemeinsam mit Kolleg*innen zu nutzen, über Cloud und/oder VPN.
- Ein Tool um mit ihren Kolleg*innen in Echtzeit zu kommunizieren, z. Bsp. Google Hangouts, Slack, Microsoft Teams oder andere.
- Regelmäßige Erinnerungen an die Aktualisierung ihrer Betriebssysteme und Anwendungen, wenn automatische Updates deaktiviert sind.
- Eine Liste mit Sicherheitseinstellungen für Desktop- und Mobilgeräte je nach verwendetem Betriebssystem, z. Bsp.: Blockieren von Cookies im Browser, Zugriff auf Kamera und Mikrofon, etc.
3. Vertrauenswürdige E-Mails und Webseiten
Ein entscheidender Faktor bei der Soft- und Hardware-Sicherheit ist die Bedrohung durch Phishing- und Spam-E-Mails bzw. manipulierten Webseiten.
Diese erhalten Sie über Anhänge in E-Mails, bzw. werden über Links auf solche Seiten umgeleitet.
Achten Sie auf derartige Mails und Webseiten. Wenn Sie sich über deren Seriosität unsicher sind, lassen Sie sich lieber zunächst von Ihrem Unternehmen, bzw. dem IT-Experten beraten.
4. Wenn möglich nutzen Sie 2FA (Zwei-Faktor-Authentifizierung)
Bei der 2FA wird eine Anmeldung nur nach zweifachem Identitätsnachweis eines Nutzers über zwei unabhängige Komponenten möglich. Das heißt zum Beispiel, dass bei der Anmeldung in einem System mit Passwort oder Identitätskarte, die Anmeldung erst durch die Eingabe einer TAN, die per SMS verschickt wird, oder einer Codenummer, ähnlich der Bankkarte, abgeschlossen werden kann. Eine 2FA zur Anmeldung in Ihren Systemen machen Angriffe deutlich schwieriger.
5. Die Bildschirmsperre
Sperren Sie auch im Home-Office die Bildschirme, wenn Sie den Arbeitsplatz verlassen. Es besteht immer die Gefahr, dass durch Fahrlässigkeit Dritter, z. B. wenn das 4-jährige Kind am Arbeitslaptop des Elternteils spielt, Daten beschädigt werden oder verloren gehen.
6. Regelmäßige Backups
Backups Ihrer Systeme sollten immer die Grundlage der Datensicherheit bilden und regelmäßig, mindestens einmal wöchentlich, durchgeführt werden, damit Ihre Arbeit stets gesichert ist.
7. Fachpersonal für den Notfall
Lassen Sie sich für die Beantwortung sicherheitsrelevanter Fragestellungen Kontaktperson(en) aus ihrem Unternehmen nennen. Beantworten Sie deren Fragen unverzüglich und respektvoll. So wird Sicherheit zur Gewohnheit, zugänglich und machbar.
Auch im Home-Office gilt: Sie müssen nicht unbedingt IT-Experte sein.
Die Einrichtung der Home-Office Lösung und der Zugang zu den Firmensystemen sollte verständlich beschrieben sein oder von den Fachleuten durchgeführt werden. Anweisungen wie „Sie müssen dann noch den Port XY auf Ihrem Router freischalten“ sind nicht nur schwer zu verstehen, sondern obendrein ein weiteres Sicherheitsrisiko. Merken Sie so etwas an und lassen Sie sich im Zweifelsfalle helfen.
8. Individuelles Surfverhalten
Internet-Security-Tools, wie Virenscanner und Firewall, bilden die Basis auf der technischen Seite, das eigene Surfverhalten bzw. die kritische Betrachtung der Quellen trägt aber einen großen Beitrag zur Sicherheit bei. Bei der Nutzung sozialer Medien ist Vorsicht geboten und es sollten nur Inhalte geteilt werden, deren Quelle als seriös gelten.
Lassen Sie sich praktische FAQs (Freqently Asked Questions, eine Liste häufig gestellter Fragen, mit passenden Antworten) zur Verfügung stellen. Außerdem sollte auf ihrer genutzten Kommunikations-Plattform wie Slack, Teams usw. ein eigener Kanal eingerichtet sein, in dem Sie sicherheitsrelevante Fragen stellen und Antworten bekommen können.
9. Weitere Grundlagen berücksichtigen
Neben den bereits genannten Tipps gibt es bestimmte Basics, die unabhängig vom Home-Office von der Unternehmensführung und auch Ihnen durchgeführt werden sollten:
- Sichere Konfigurationen der Hard- und Software.
- Hinterfragen Sie, welche Sicherheitsrisiken verursacht werden können und treffen Sie entsprechende Sicherheitsmaßnahmen. Jegliche Geräte, die mit dem Internet verbunden sind, sollten geschützt werden.
- Kontrollierte Nutzung von Berechtigungen.
- Erstellen Sie Notfallpläne, damit Ihre Geschäftsfähigkeit und Ihre Arbeitsfähigkeit nicht beeinträchtigt wird und Sie im Falle eines Angriffs wissen, was zu tun ist.
10. Arbeiten Sie Step by Step
Berücksichtigen Sie, dass die aktuelle Situation für alle neu ist und lassen Sie sich nicht überfordern. Gehen Sie einen Schritt nach dem anderen und zeigen Sie Verständnis für die IT-Mitarbeiter*innen, und auch den direkten Kolleg*innen gegenüber, wenn es mal nicht so schnell geht.
In der aktuellen Krise verändert sich die IT-Umgebung schnell und dramatisch. Die Verteidigung dieser wird immer komplexer. Die oben genannten Maßnahmen dienen als erste Orientierung.
Arbeiten Sie eng mit Ihren IT-Spezialisten oder dem IT-Unternehmen, das die technischen Anlagen verwaltet, zusammen. Der Schutz Ihrer Daten und der Ihrer Firma ist, mehr denn je, ein wichtiges Thema.
______________________________________________________________________________
Im Original ist der Artikel „10 Tipps für ein sicheres Unternehmen im Home-Office“ von Ovidiu Ursachi, im Blog der masernet GmbH erschienen.
Ovidiu Ursachi
Ovidiu Ursachi ist Geschäftsführer der masernet GmbH und Experte für IT- und Cybersecurity. Er verfügt über mehr als 15 Jahre Erfahrung in der IT-Branche, im Bereich Cybersecurity, Software-Entwicklung und der Umsetzung von Managed Security Services.
Mit dessen freundlicher Genehmigung für KMU.Einfach.Sicher überarbeitet von Bernd Jeuschede.
Bernd Jeuschede
Mitarbeiter im Arbeitsbereich
Informations- und Medientechnologien (IMT)
weitere interessante Blog-Artikel:
Mittelstand-Digital Themenheft „Sicherer Datenaustausch“
„… In diesem Heft finden Sie Anregungen, Informationen und ermutigende […]mehr
Passwortmanager: alle Passwörter am selben Ort gespeichert – wie kann das sicher sein?
Wer hat’s nicht auch schon mal gehört „… und was […]mehr
