Kontakt & Infos

Kontakt

Sie haben Fragen oder Anregungen? Wir freuen uns auf Ihr Feedback!

tel +49 89 991950-0
fax +49 89 991950-999
info@genua.de

» Kontaktformular

Homeoffice: Remote-Zugriffe schnell absichern

Insights | 14.04.2020
Frau arbeitet im Homeoffice

Vier Handlungsprioritäten für die IT-Security zum Schutz vor Cyberkriminalität.

Die Corona-Pandemie sorgt dafür, dass sich Unternehmen und Behörden intensiv mit der Leistungsfähigkeit ihrer IT-Infrastrukturen im Remote-Modus auseinandersetzen müssen: Laut einer Bitkom-Umfrage hat infolge der Krise bereits fast jeder zweite Berufstätige in Deutschland ganz oder zumindest teilweise sein Büro ins Homeoffice verlegt. Die meisten Organisationen trifft das völlig überraschend – wenn überhaupt, arbeitete meist nur ein kleiner Anteil der Mitarbeiter "remote", also von unterwegs, an unterschiedlichen Unternehmensstandorten, beim Kunden oder eben im Homeoffice. Nun gilt das für den größten Teil der Belegschaft – ohne Vorwarnzeit müssen Arbeitsprozesse und die technologischen Infrastrukturen unter Hochdruck angepasst oder neu eingerichtet werden.

Sicherheitszonen auf das Homeoffice ausweiten

In Punkto Informationssicherheit stellt das Thema Remote Working allerdings auch außerhalb des Krisenmodus eine einzigartige Herausforderung dar. Denn im Büro sorgen im Idealfall umfassende Schutzmaßnahmen der IT-Security dafür, dass die digitale Kommunikation der Mitarbeiter mit mehreren mit mehreren Sicherheitszonen bestmöglich vor externen Angriffen abgeschirmt ist. Sind Desktop-PC, Smartphone oder Laptop jedoch außerhalb dieser Netzwerkinfrastruktur installiert und mit anderen Netzwerken verknüpft, entstehen zusätzliche Angriffsflächen für Cyberkriminelle. Um diese Risiken auszuschalten, sollten IT-Security-Verantwortliche bereits beim Wechsel in Remote Working-Strukturen die folgenden Handlungsfelder priorisieren:

1. Sichere VPN zur Verfügung stellen

Eine VPN-Verbindung zwischen den Endgeräten des Nutzers und dem Firmennetzwerk verschlüsselt den gesamten Datenverkehr im Internet und macht ihn unlesbar für jeden, der ihn abfängt. Wir empfehlen die Verwendung eines VPN auf IPsec-Basis unter Nutzung des aktuellen IKEv2-Protokolls. Da alle Betriebssysteme einen "Native Client" mitbringen, ist man nicht auf Programme von Drittanbietern angewiesen. Diese können aber dennoch sinnvoll sein, da sie die Usability erhöhen und der IT-Abteilung eine einfache Verwaltung ermöglichen. Der sicherste Weg ist, den kompletten Datenverkehr der Remote-Mitarbeiter über das VPN des Arbeitgebers zu leiten. Je nach Anbindung der Firma/Zentrale kann es notwendig sein, die VPN-Zentrale extern zu betreiben oder nur einen Teil des Datenverkehrs über das VPN zu leiten.

2. Laptops mit Zwei-Faktor-Authentifizierung einsetzen

Generell sollte man darauf achten, auch außerhalb der Firmen- bzw. Behördennetzwerke streng abgeschirmte IT-Infrastrukturen aufzubauen und permanent zu schützen. Das setzt zwingend voraus, dass jeder Mitarbeiter nur Geräte verwendet, die von der IT-Security des Arbeitgebers administriert werden – jeder private Rechner, über den Arbeitsdaten kommuniziert werden, ist ein Sicherheitsrisiko.

Wir empfehlen den Einsatz von Laptops, die bereits bei der Aushändigung an die Mitarbeiter über die optimale IT-Security-Ausstattung verfügen. Das ideale Leistungsspektrum veranschaulicht das Security Laptop vs-top von genua: Es verfügt nicht nur über eine Firewall und ein VPN-Gateway, sondern auch über zwei getrennte Arbeitsumgebungen. Eine davon ist gängigen Windows- oder Linux-Programmen vorbehalten, hier können die Mitarbeiter Texte erstellen, E-Mails schreiben, im Internet surfen etc. Die zweite dient ausschließlich der Bearbeitung und verschlüsselten Übertragung sensibler Daten, sie wird von einem Separationssystem strikt von der ersten getrennt. Zusätzlich sind diese besonders geschützten Daten per Zwei-Faktor-Authentifizierung zuverlässig verschlüsselt, ein Zugriff ist nur mittels zugehöriger Smartcard und PIN möglich. Andere Personen im Homeoffice können auf das gesicherte Gerät also ebenso wenig zugreifen wie Dritte, falls das Laptop einmal unterwegs gestohlen oder verloren wird.

3. Remote-Desktop-Tools überprüfen

Viele Arbeitgeber ermöglichen ihren Mitarbeitern den Zugang zu ihren Arbeitsnetzwerken über Remote Desktop Protokolle (wie RDP, Citrix, VNC). Dies ist per se nicht verkehrt, aber bei einigen der beliebtesten RDP-Tools für Linux und Windows wurden 2019 Sicherheitsprobleme festgestellt. RDP-Zugänge sollten keinesfalls offen im Internet erreichbar sein.

Dies ist zum Beispiel für Industrieunternehmen wichtig, die per Remote Desktop-Infrastruktur Fernwartungen und weitere Zugriffe auf den Maschinenpark von Außerhalb zulassen. In diesem Fall sollte man unkompliziert eine starke Verschlüsselung und Autorisierung hinzufügen, gerade wenn nicht die aktuellen Softwareversionen eingesetzt werden. Dazu hat genua mit der genubox eine "Rendezvous-Lösung" für Industrie und Anlagenbau entwickelt. Unser Ansatz ist hier, keine einseitigen Zugriffe vom Fernwartungs-Service in Kundennetze zuzulassen. Stattdessen laufen alle Wartungsverbindungen über einen Rendezvous-Server, der in einer Demilitarisierten Zone (DMZ) neben der Firewall installiert ist, beim Dienstleister oder bei Kunden.

4. Videokonferenzen absichern

Die Kommunikation der Teams im Homeoffice-Modus findet in erster Linie via E-Mail, Telefonat, Chat und Videokonferenzen statt. Im letzteren Fall sollten sich IT-Verantwortliche nicht nur auf die Frage konzentrieren, wie hohe Bandbreiten für einen gute Übertragungsqualität sichergestellt werden. Ebenso wichtig ist die Verschlüsselung von Videokonferenzen gegen den Zugriff ungeladener Gäste: Alle Daten sind im gespeicherten Zustand und während der Übertragung zu schützen, was auch unbedingt die Chat-Funktion der Videokonferenz umfassen muss.

Idealerweise führen die Mitarbeiter jede Videokonferenz über einen bereits hochgesicherten Laptop, siehe Punkt zwei. Ist dies nicht der Fall, sollten nicht nur Administrator-Passworte hochsicher eingerichtet werden, um einen Angriff wie im Falle des Mirai-Botnets zu verhindern, welches dank unveränderter Standard-Passwörter auf Webcams zugreifen konnte. Als IoT-Malware infiziert Mirai Devices wie Webcams, Router oder andere "smarte" Systeme und zwingt sie zur Meldung an einen Befehls- und Steuerungsserver. Mit ebensolchen Attacken ist jetzt und in Zukunft verstärkt zu rechnen.

 IT-Sicherheitslösungen für das Homeoffice

Mehr genua Insights

Security Defined Networking für eine flexible und hochsichere IT

 

Bildquelle: © Flamingo Images

Goetz Salzmann Expert Information Technology, genua GmbH
Um für Sie unsere Webseite zu optimieren, verwenden wir Cookies.
Klicken Sie auf "Cookies zulassen", falls Sie der Nutzung von diesen Cookies zustimmen.
Weitere Informationen dazu finden Sie in unserer Datenschutzerklärung, in der Sie auch jederzeit Ihre Cookie-Einstellungen einsehen und anpassen können.
Datenschutz