Ich komme aus dem Bereich und ich interessiere mich für

Stay Viable. Stay Secure.

Remote Work: Top-Risiken und IT-Security Ansätze

Ist der Absprung von einem Home Office System in das Unternehmensnetz geschafft, agiert der Angreifer wie ein interner Nutzer. Sabotageaktionen, Datenmanipulation und Datendiebstahl sind dann erheblich einfacher erfolgreich zu realisieren als bei Angriffen von außen.

Carsten Arzig, Trainer Hacking Bootcamp, KI-Experte

Secure Home Office

Die Arbeit im Home Office stellt viele Organisationen vor enorme Herausforderungen bei der IT-Sicherheit. In den nächsten Monaten wird es eine der wichtigsten Aufgaben der IT sein, mobile Infrastrukturen sowohl effizient als auch sicher zu betreiben und flexibles Arbeiten zu ermöglichen.

Dabei müssen einerseits die personellen, prozessualen und technologischen Voraussetzungen im Eiltempo geschaffen werden. Andererseits muss eine optimale Balance zwischen Sicherheit, Kosten, Funktionsfähigkeit und Flexibilität gewährleistet sein. Wir stellen die wichtigsten Risikofaktoren und Lösungsansätze vor.

genua empfiehlt

Welche TOP-IT-Sicherheitsrisiken sind bei der Arbeit im Home Office zu beachten?

Orientierungspunkte und Maßnahmen haben wir für Sie im folgenden Überblick zusammengefasst.

1. Private Systeme und Netzwerke

Für die Arbeit im Home Office werden häufig private Systeme eingesetzt, die den hohen Anforderungen an die unternehmensweite IT-Security nicht genügen und nicht professionell administriert werden.

Aber auch Lösungen, die ausschließlich zu beruflichen Zwecken im Home Office verwendet werden, sind oftmals unzureichend geschützt.

Befinden sich diese in nicht ausreichend abgesicherten Netzwerken, besteht das Risiko, dass aus kompromittierten Systemen, die auf das gleiche Netzwerk zugreifen, Angriffe auf den Rechner erfolgen.

2. Drittanbieter-Plattformen

Externe Systeme und Plattformen, die etwa für Videokonferenzen genutzt werden, fallen immer wieder durch ernstzunehmende Sicherheitslücken und unzureichende Datenintegrität auf. Bei ihrem Einsatz sind die Nutzer auf die Sicherheitsarchitekturen und Datenschutzvorkehrungen der Anbieter angewiesen.

Eine hohe Transparenz, die notwendig ist, um die getroffenen Vorkehrungen zu beurteilen, ist dabei nicht immer gegeben.

3. Improvisierte Workflows

Viele Organisationen haben bislang wenig Erfahrung mit mobilen Infrastrukturen und den dafür notwendigen Richtlinien, Prozesse und Ressourcen. Sie können deshalb für ihre Mitarbeiter keine Workflows gestalten, die den IT-Security Standards des Unternehmens gerecht werden. In der Folge entstehen improvisierte Prozesse. So werden zum Beispiel Daten aus Unternehmenssystemen und Intranets per Mail an die eigene Email-Adresse verschickt, oder auf nicht systematisch kontrollierten und vorbereiteten mobilen Datenträgern mitgenommen, um sie auf privaten Geräten zu bearbeiten. Eine klare Trennung zwischen privaten und Unternehmensdaten ist somit nicht mehr gewährleistet. Potenzielle Angreifer können die Unternehmensdaten korrumpieren, beim „Rücktransport“ Infektionen aus den privaten Systemen ins Unternehmen einschleusen, oder Informationen unbemerkt abschöpfen.

4. Unsichere Remote Desktop Software

Um die unkontrollierte Nutzung privater Netzwerke und Systeme zu vermeiden und die getrennte Datenhaltung zu gewährleisten, setzen viele Unternehmen auf Remote Desktop-Lösungen mit Screen-Sharing.

Doch eine umfassende Sicherheit ist damit nicht gewährleistet: Einbrüche über unzureichend gesicherte Remote-Desktops gehören zu den häufigsten Angriffen auf die Infrastruktur von Unternehmen.

Schwache und selten gewechselte Passwörter – ebenfalls eine Folge fehlender verbindlicher Vorgaben – sind dabei die Hauptursache.

5. VPN-Nutzung über private Endgeräte

Virtual Private Networks (VPN) sind ein bewährter Ansatz, um kritische Daten zu schützen. Vorausgesetzt, dass der Datenaustausch aus dem Home Office über einen Firmenrechner stattfindet, der lediglich auf das VPN Zugriff hat.

Wenn jedoch kein Firmengerät zur Verfügung steht und der VPN-Zugang von einem privaten Gerät erfolgt, öffnet sich ein Angriffskanal. Ein Angreifer, der den privaten Rechner kompromittiert hat, erhält dann über das VPN Zugang in das Firmennetz.

genua empfiehlt

Was sollten IT-Security-Verantwortliche bei der Absicherung von Arbeitsplätzen im Home Office gegen Cyberangriffe berücksichtigen?

Die folgenden Remote Work Security-Hebel helfen weiter.

1. Transparenz & Governance

Spätestens beim Aufbau einer mobilen Infrastruktur lohnt sich der Blick auf die Qualifikationen der IT-Partner. Dabei sollten internationale Qualitätsnachweise wie Common Criteria, Iso Zert 27 001 zu den Mindestvoraussetzungen beim Thema IT-Security gehören.

Darüber hinaus sollte der Partner über nachweisbare Referenzen beim Schutz kritischer Infrastrukturen verfügen. Die so entstehende Transparenz über die Leistungsfähigkeit der Partner bildet die Basis einer umfassenden Homeoffice Security Governance. Diese sollte einerseits klar festgelegte Prozesse für die regelmäßige Kontrolle der Kommunikationswege, Datenträger und Endgeräte umfassen. Und andererseits Verschlüsselung, Authentifikationsmechanismen, Firewalls und Virenscansysteme ebenso definieren wie die zulässigen Ansätze zum Zugriff auf Unternehmenssysteme.

2. Strategie & Mindset

Für einige Pionierunternehmen ist mobiles Arbeiten bereits ein integrierter Teil der Unternehmenskultur. Sie nutzen Lösungsstrategien und Technologien, die im Hinblick auf Performance und Sicherheit das Arbeiten innerhalb und außerhalb der physischen Unternehmensgrenzen gleichstellen.

Für die meisten Organisationen ist dieser Zustand erst eine Zielmarke. Doch eine abgestimmte Strategie, die sowohl Investition in die tragende Infrastruktur und die Technik für das Homeoffice als auch entsprechende Anwendungen und Workflows fokussiert, ist Voraussetzung für erfolgreiche Remote Work Lösungen.

Der prozessuale und technologische Ausbau muss dabei auch von einem kulturellen Wandel begleitet werden, der die Mitarbeiter sensibel für die potenziellen Sicherheitsrisiken macht – sowohl durch technologische Angriffe als auch durch Social Engineering. Erst das Zusammenspiel aus Technologien, Prozessen und einem entsprechenden Mindset schafft die Grundlagen für einen nachhaltige mobile Transformation.

3. Sichere Remote Desktop Lösungen

Die Trennung von Unternehmens- und Privatdaten ist kritisch für eine stabile und sichere mobile Infrastruktur. Eine kosteneffiziente Möglichkeit bietet eine umfassend abgesicherte Remote-Desktop-Lösung.

Wird der Zugriff durch einen Multi-Faktor, ähnlich wie bei Online-Banking Anwendungen, können Mitarbeiter auf dem Firmenrechner Daten bearbeiten oder Mails lesen, ohne hohen Sicherheitsrisiken ausgesetzt zu sein. Ein begrenzter Datenaustausch entsteht dabei lediglich bei klar definierten Prozessen, wie der Nutzung lokaler Drucker.

Allerdings erfordern Remote Desktop Lösungen eine ständige und ausreichend gute Internetverbindung, was bei der Konzeption der mobilen Infrastruktur beachtet werden muss.

4. Sicheres VPN

Eine Alternative zu Remote Desktop Lösungen bietet der Zugriff auf ein mit dem Unternehmensnetz verbundenes VPN, der zwar vom Homeoffice aus, aber ausschließlich über einen gegen unautorisierten Zugriff und Diebstahl geschützten Firmenrechner.

Damit ist einerseits die konsequente Datentrennung gewährleistet. Andererseits erfüllt das Endgerät die Sicherheitsstandards des Unternehmens und kann von der IT-Abteilung per Fernzugriff gemanagt werden. Entscheidend dafür ist, dass die Interaktion mit dem potenziell kompromittierten privaten Netzwerk ausgeschlossen werden kann. Das lässt sich entweder über ein für VS-NfD zugelassenes Hardware-VPN oder ein tief integriertes unumgängliches VPN realisieren.

Sind diese Voraussetzungen gegeben, bietet der Zugriff über VPN eindeutige Vorteile: So können Daten lokal bearbeitet werden, was eine höhere Performance ermöglicht und niedrigere Anforderungen an Qualität und Verfügbarkeit der Internetverbindung stellt.

5. Sicheres Booten

Eine weitere Lösung besteht im Booten eines vertrauenswürdigen und abgesicherten Betriebssystems von einem externen Medium, etwa einem Bootstick. So kann das potenziell kompromittierte Betriebssystem des Privatrechners umgangen werden.

Da aber auch das private Netzwerk kompromittiert sein kann, empfiehlt sich die Kombination mit einer Remote Desktop/VPN Lösung, die ebenfalls für VS-NfD zugelassen sein sollte. Damit kann der Mitarbeiter auf interne Webanwendungen zugreifen, Daten werden jedoch nicht permanent lokal gespeichert.

Skalierbarer Schutz für Unternehmen und öffentliche Organisationen

Sie möchten Ihre IT-Infrastrukturen im öffentlichen Sektor, in der Industrie, in einer KRITIS-Organisation oder im Geheimschutz umfassend und zuverlässig absichern? Unsere zertifizierten und vielfach ausgezeichneten Sicherheitslösungen sorgen für sofortigen Schutz und sind passend skalierbar.