„Safer Internet Day“ – Was uns 2020 über Cybersecurity gelehrt hat

Am 9. Februar 2021 findet der internationale „Safer Internet Day“ bereits zum 18. Mal statt. Der weltweit tätige Cybersecurity-Spezialist SEC Consult nimmt den Aktionstag zum Anlass, um mit Empfehlungen zur sicheren Gestaltung von Heimarbeitsplätzen zu einer verantwortungsvollen Internet- und Handynutzung beizutragen.

2020 hat aufgrund der Corona-Pandemie zu einem vermehrten Umstieg auf alternative Arbeitskonzepte geführt und Unternehmen vor neue Herausforderungen gestellt. In kürzester Zeit musste Telearbeitstechnologie implementiert oder massiv verstärkt werden. Die Verbreitung von geschäftskritischen Informationen und essenziellem Wissen über mehrere Systeme unter großem Zeitdruck führte zu einer besonders sensiblen Situation, die Cyberkriminellen vielfältige Eingangstore eröffnete.  


Die Problematik des schnellen Umstiegs auf Telearbeit hat sich zwar im Lauf des Jahres entschärft, doch um langfristigen Risiken vorzubeugen, sollten Unternehmen dieses Thema unbedingt weiter im Blick behalten. Der Schutz von sensiblen Informationen und personenbezogenen Daten ist essenziell für die Handlungsfähigkeit von Unternehmen, insbesondere wenn alternative und mobile Arbeitskonzepte den Geschäftsfortgang sichern müssen.

Learnings aus 2020 für ein sicheres Home-Office

Die Cybersecurity-ExpertInnen von SEC Consult haben die für die Cybersicherheit relevantesten Themen zusammengefasst und stellen im Folgenden die wichtigsten Schritte zur Gestaltung eines sicheren Heimarbeitsplatzes vor.

  • Richtlinien und Prozesse etablieren, Awareness schaffen

Das Unternehmen sollte eine Sicherheitsrichtlinie und klar nachvollziehbare Prozesse für die Datenverarbeitung im Home-Office etablieren, die eindeutige Regeln und Verhaltensweisen vorgeben. Es ist ebenso wichtig, die MitarbeiterInnen regelmäßig zu informieren und sie anzuhalten, sich mit den Vorgaben zu befassen und bei Unklarheiten nachzufragen.

  • Für sicheren Datentransfer und sichere Kommunikation sorgen

Für die Verarbeitung vertraulicher Informationen über das Internet sind eine sichere Verbindung wie z.B. über ein VPN oder spezielle Geräte wie eine Datenkarte nötig. Dabei sollten die MitarbeiterInnen aus Sicherheitsgründen folgende Verbindungsreihenfolge einhalten: Datenkarte > privates WLAN > mobiler Hotspot. Andere Geräte, die mit dem privaten WLAN verbunden sind, sollten nach Möglichkeit ausgeschaltet sein. Die Verschlüsselung gespeicherter und übertragener Daten im Home-Office sowie bei Fernzugriffen auf die Unternehmensinfrastruktur mittels sicherer Algorithmen ist nötig, um einen risikolosen Transfer zu garantieren. Eine geschützte E-Mail-Kommunikation ist mit S/MIME- oder PGP-Verschlüsselung möglich. Auch der Versand von Dokumenten mit kritischen Informationen per verschlüsselten Zip-Dateien über einen zweiten Kanal (z.B. separate SMS für das Zip-Passwort) ist eine sichere Lösung.

  • Unternehmensnetzwerk vor externen Endgeräten schützen

Im Frühjahr 2020 musste schnell reagiert werden und oft war die Verwendung privater Endgeräte die einzige Möglichkeit für Unternehmen, handlungsfähig zu bleiben. Diese Situation hat sich zwar entschärft, doch es gibt immer noch Szenarien, in welchen private Geräte für Tätigkeiten verwendet werden, die nicht durch das Unternehmen verwaltet werden können. Hier müssen die MitarbeiterInnen geschult werden, wie sie ihre privaten Geräte schützen können, um in weiterer Folge die Firmensysteme nicht zu gefährden. Auch für die Telearbeit nötige Software sollte unbedingt vorab von der IT-Abteilung geprüft und über interne Links bereitgestellt werden, um einen versehentlichen Download von mit Malware verseuchten Applikationen oder Programmen zu verhindern.

  • Privat- und Unternehmensgeräte voneinander trennen

Unternehmensdaten haben auf privaten Speichermedien nichts verloren und Privat- und Unternehmensgeräte sollten möglichst voneinander getrennt werden. Der Anschluss von externen Medien und Geräten an den Arbeitscomputer sollte unbedingt zuvor von der IT genehmigt werden. Es geht jedoch nicht nur um Arbeitsmittel wie Laptop, PC oder Drucker. Heute finden sich in vielen Heimnetzwerken neben diversen intelligenten Assistenten und Saugrobotern auch alle erdenklichen Arten von Unterhaltungselektronik. Das Risiko, dass das Firmennetzwerk durch unsichere oder mit Schadsoftware infizierte Privatgeräte gefährdet wird, ist also groß. Hier müssen die MitarbeiterInnen gut informiert und geschult werden, um ein größeres Sicherheitsbewusstsein zu entwickeln – was ihnen letztlich auch privat zugutekommen wird.

  • Auch physischen Schutz nicht vergessen

Im Home-Office ist man zu Hause, fühlt sich also auf sicherem Terrain. Üblicherweise vertraut man auch den Menschen, mit denen man den Wohnbereich teilt. Dennoch sollten die MitarbeiterInnen ihre Familien oder MitbewohnerInnen über die Bedeutung des Datenschutzes, die DSGVO und ihre Verpflichtung gegenüber dem Unternehmen informieren. Am besten ist es, den Bildschirm jedes Mal zu sperren, wenn das Gerät unbeaufsichtigt bleibt, und auch analoge Unterlagen sollten beim Verlassen des Arbeitsplatzes an einem sicheren Ort aufbewahrt werden.

Keine Angst vor dem Home-Office

Auch wenn diese Auflistung zunächst den Eindruck vermitteln mag, Home-Office sei Teufelszeug – mit guter Vorbereitung und den entsprechenden Sicherheitsmaßnahmen können Unternehmen und ihre MitarbeiterInnen die seit der Corona-Pandemie verstärkt eingesetzte Mobilität am Arbeitsplatz zum beiderseitigen Vorteil nutzen.

SEC Consult-Geschäftsführer Ulrich Fleck empfiehlt eine Zwei-Stufen-Strategie: „Kurzfristig sind zeitnahe Security Reviews ratsam, die dabei mithelfen, den Sicherheitsstatus aller Arbeitsplätze, ob im Unternehmen, bei der Telearbeit oder im Home-Office, zu erfassen und rechtzeitig notwendige Maßnahmen zu ergreifen. Sind die Rahmenbedingungen etabliert und gesichert, sollten regelmäßige, tiefgehende Sicherheitsprüfungen durchgeführt werden. Wenn die dafür nötigen personellen Ressourcen unternehmensintern fehlen, können externe SicherheitsspezialistInnen Anwendungen einer Bewährungsprobe unterziehen, mögliche Schwachstellen identifizieren und auch Lösungen zur Beseitigung von Sicherheitslücken anbieten.“

Mehr zur Sicherheit im Home-Office finden Sie hier:

https://sec-consult.com/de/blog/detail/it-sicherheit-im-home-office-was-ist-zu-beachten/

Über die SEC Consult Deutschland Unternehmensberatung GmbH

SEC Consult ist eines der führenden Beratungsunternehmen für Cyber- und Applikationssicherheit. Das Unternehmen mit Niederlassungen in Europa, Asien und Nordamerika ist Spezialist für externe und interne Sicherheitsüberprüfungen, Penetrationstests, den Aufbau von Informationssicherheits-Management und Zertifizierungsbegleitung nach ISO 27001, Cyber-Defence, sichere Software(-Entwicklung) und die schrittweise, nachhaltige Verbesserung des Sicherheitsniveaus. Zu den Kunden von SEC Consult gehören Regierungsbehörden, internationale Organisationen und führende Unternehmen aus verschiedenen Branchen der Privatwirtschaft sowie kritische Infrastrukturen. SEC Consult ist Teil von Atos, weitere Informationen finden Sie unter: www.sec-consult.com

Firmenkontakt und Herausgeber der Meldung:

SEC Consult Deutschland Unternehmensberatung GmbH
Ullsteinstraße 118
12109 Berlin
Telefon: +49 (30) 398202700
http://www.sec-consult.com

Ansprechpartner:
Nicole Singer
E-Mail: n.singer@sec-consult.com
Dorothea Keck
PR-Agentur: Weissenbach PR
Telefon: +49 (89) 5506-7773
E-Mail: SEC_PR@weissenbach-pr.de
Für die oben stehende Pressemitteilung ist allein der jeweils angegebene Herausgeber (siehe Firmenkontakt oben) verantwortlich. Dieser ist in der Regel auch Urheber des Pressetextes, sowie der angehängten Bild-, Ton-, Video-, Medien- und Informationsmaterialien. Die United News Network GmbH übernimmt keine Haftung für die Korrektheit oder Vollständigkeit der dargestellten Meldung. Auch bei Übertragungsfehlern oder anderen Störungen haftet sie nur im Fall von Vorsatz oder grober Fahrlässigkeit. Die Nutzung von hier archivierten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die United News Network GmbH gestattet.

counterpixel