Secure Home Office

 Ist der Absprung von einem Home Office System in das Unternehmensnetz geschafft, agiert der Angreifer wie ein interner Nutzer. Sabotageaktionen, Datenmanipulation und Datendiebstahl sind dann erheblich einfacher erfolgreich zu realisieren als bei Angriffen von außen.

Carsten Arzig, Trainer Hacking Bootcamp, KI-Experte

Die Arbeit im Home Office stellt viele Organisationen vor enorme Herausforderungen bei der IT-Sicherheit. In den nächsten Monaten wird es eine der wichtigsten Aufgaben der IT sein, mobile Infrastrukturen sowohl effizient als auch sicher zu betreiben und flexibles Arbeiten zu ermöglichen. Dabei müssen einerseits die personellen, prozessualen und technologischen Voraussetzungen im Eiltempo geschaffen werden. Andererseits muss eine optimale Balance zwischen Sicherheit, Kosten, Funktionsfähigkeit und Flexibilität gewährleistet sein. Wir stellen die wichtigsten Risikofaktoren und Lösungsansätze vor.

genua empfiehlt 
Welche TOP-IT-Sicherheitsrisiken sind bei der Arbeit im Home Office zu beachten?
Orientierungspunkte und Maßnahmen haben wir für Sie im folgenden Überblick zusammengefasst.

Für die Arbeit im Home Office werden häufig private Systeme eingesetzt, die den hohen Anforderungen an die unternehmensweite IT-Security nicht genügen und nicht professionell administriert werden. Aber auch Lösungen, die ausschließlich zu beruflichen Zwecken im Home Office verwendet werden, sind oftmals unzureichend geschützt. Befinden sich diese in nicht ausreichend abgesicherten Netzwerken, besteht das Risiko, dass aus kompromittierten Systemen, die auf das gleiche Netzwerk zugreifen, Angriffe auf den Rechner erfolgen.

Externe Systeme und Plattformen, die etwa für Videokonferenzen genutzt werden, fallen immer wieder durch ernstzunehmende Sicherheitslücken und unzureichende Datenintegrität auf. Bei ihrem Einsatz sind die Nutzer auf die Sicherheitsarchitekturen und Datenschutzvorkehrungen der Anbieter angewiesen. Eine hohe Transparenz, die notwendig ist, um die getroffenen Vorkehrungen zu beurteilen, ist dabei nicht immer gegeben.

Viele Organisationen haben bislang wenig Erfahrung mit mobilen Infrastrukturen und den dafür notwendigen Richtlinien, Prozesse und Ressourcen. Sie können deshalb für ihre Mitarbeiter keine Workflows gestalten, die den IT-Security Standards des Unternehmens gerecht werden. In der Folge entstehen improvisierte Prozesse. So werden zum Beispiel Daten aus Unternehmenssystemen und Intranets per Mail an die eigene Email-Adresse verschickt, oder auf nicht systematisch kontrollierten und vorbereiteten mobilen Datenträgern mitgenommen, um sie auf privaten Geräten zu bearbeiten. Eine klare Trennung zwischen privaten und Unternehmensdaten ist somit nicht mehr gewährleistet. Potenzielle Angreifer können die Unternehmensdaten korrumpieren, beim „Rücktransport“ Infektionen aus den privaten Systemen ins Unternehmen einschleusen, oder Informationen unbemerkt abschöpfen.

Um die unkontrollierte Nutzung privater Netzwerke und Systeme zu vermeiden und die getrennte Datenhaltung zu gewährleisten, setzen viele Unternehmen auf Remote Desktop-Lösungen mit Screen-Sharing. Doch eine umfassende Sicherheit ist damit nicht gewährleistet: Einbrüche über unzureichend gesicherte Remote-Desktops gehören zu den häufigsten Angriffen auf die Infrastruktur von Unternehmen. Schwache und selten gewechselte Passwörter – ebenfalls eine Folge fehlender verbindlicher Vorgaben – sind dabei die Hauptursache.

Virtual Private Networks (VPN) sind ein bewährter Ansatz, um kritische Daten zu schützen. Vorausgesetzt, dass der Datenaustausch aus dem Home Office über einen Firmenrechner stattfindet, der lediglich auf das VPN Zugriff hat. Wenn jedoch kein Firmengerät zur Verfügung steht und der VPN-Zugang von einem privaten Gerät erfolgt, öffnet sich ein Angriffskanal. Ein Angreifer, der den privaten Rechner kompromittiert hat, erhält dann über das VPN Zugang in das Firmennetz.

genua empfiehlt 
Was sollten IT-Security-Verantwortliche bei der Absicherung von Arbeitsplätzen im Home Office gegen Cyberangriffe berücksichtigen? Die folgenden Remote Work Security-Hebel helfen weiter.

Spätestens beim Aufbau einer mobilen Infrastruktur lohnt sich der Blick auf die Qualifikationen der IT-Partner. Dabei sollten internationale Qualitätsnachweise wie Common Criteria oder ISO 27001 zu den Standards beim Thema IT-Security gehören. Darüber hinaus sollte der Partner über nachweisbare Referenzen beim Schutz kritischer Infrastrukturen verfügen. Die so entstehende Transparenz über die Leistungsfähigkeit der Partner bildet die Basis einer umfassenden Home Office Security Governance. Diese sollte einerseits klar festgelegte Prozesse für die regelmäßige Kontrolle der Kommunikationswege, Datenträger und Endgeräte umfassen und andererseits Verschlüsselung, Authentifikationsmechanismen, Firewalls und Virenscansysteme definieren.

Für einige Pionierunternehmen ist mobiles Arbeiten bereits ein integrierter Teil der Unternehmenskultur. Sie nutzen Lösungsstrategien und Technologien, die im Hinblick auf Performance und Sicherheit das Arbeiten innerhalb und außerhalb der physischen Unternehmensgrenzen gleichstellen. Für die meisten Organisationen ist dieser Zustand erst eine Zielmarke. Doch eine abgestimmte Strategie, die sich sowohl auf Investitionen in die tragende Infrastruktur und die Technik für das Home Office als auch auf entsprechende Anwendungen und Workflows fokussiert, ist Voraussetzung für erfolgreiche Remote Work Lösungen. Der prozessuale und technologische Ausbau muss dabei auch von einem kulturellen Wandel begleitet werden, der die Mitarbeiter sensibel für die potenziellen Sicherheitsrisiken macht – sowohl durch Hacker-Angriffe als auch durch Social Engineering, also Verhaltensmanipulation. Erst das Zusammenspiel aus Technologien, Prozessen und einem entsprechenden Mindset schafft die Grundlage für eine nachhaltige Transformation hin zu einer remote-fähigen Organisation.

Die Trennung von Unternehmens- und Privatdaten ist kritisch für eine stabile und sichere Infrastruktur und die Voraussetzung für mobiles Arbeiten. Eine kosteneffiziente Möglichkeit bietet eine umfassend abgesicherte Remote-Desktop-Lösung. Wird der Zugriff durch einen Multi-Faktor, ähnlich wie bei Online-Banking Anwendungen, abgesichert, können Mitarbeiter auf dem Firmenrechner Daten bearbeiten oder Mails lesen, ohne hohen Sicherheitsrisiken ausgesetzt zu sein. Ein begrenzter Datenaustausch entsteht dabei lediglich bei klar definierten Prozessen, wie der Nutzung lokaler Drucker. Allerdings erfordern Remote Desktop-Lösungen eine ständige und ausreichend gute Internetverbindung, was bei der Konzeption von Home Office-Lösungen beachtet werden muss.

Eine Alternative zu Remote Desktop-Lösungen bietet der Zugriff auf ein mit dem Unternehmensnetz verbundenes VPN, der zwar vom Home Office aus, aber ausschließlich über einen gegen unautorisierten Zugriff und Diebstahl geschützten Firmenrechner erfolgt. Damit ist einerseits die konsequente Datentrennung gewährleistet. Andererseits erfüllt das Endgerät die Sicherheitsstandards des Unternehmens und kann von der IT-Abteilung per Fernzugriff gemanagt werden. Entscheidend für die Sicherheit des VPNs ist, dass die Interaktion mit dem potenziell kompromittierten privaten Netzwerk ausgeschlossen werden kann. Das lässt sich entweder über ein tief integriertes VPN realisieren oder über ein für besonders hohe Sicherheitsanforderungen (etwa Geheimhaltungsgrad VS NfD) zugelassenes Hardware-VPN. Sind diese V oraussetzungen gegeben, bietet der Zugriff über VPN eindeutige Vorteile: So können Daten lokal bearbeitet werden, was eine höhere Performance ermöglicht und niedrigere Anforderungen an Qualität und Verfügbarkeit der Internetverbindung stellt.

Eine weitere Lösung besteht im Booten eines vertrauenswürdigen und abgesicherten Betriebssystems von einem externen Medium, etwa einem Bootstick. So kann das potenziell kompromittierte Betriebssystem des Privatrechners umgangen werden. Da aber auch das private Netzwerk kompromittiert sein kann, empfiehlt sich die Kombination mit einer Remote Desktop/VPN-Lösung, die über anerkannte Security-Zertifizierungen verfügen sollte. Damit kann der Mitarbeiter auf interne Webanwendungen zugreifen, Daten werden jedoch nicht permanent lokal gespeichert.