Ich komme aus dem Bereich und ich interessiere mich für

Stay Viable. Stay Secure.

Remote Work: Top-Risiken und IT-Security Ansätze

Ist der Absprung von einem Home Office System in das Unternehmensnetz geschafft, agiert der Angreifer wie ein interner Nutzer. Sabotageaktionen, Datenmanipulation und Datendiebstahl sind dann erheblich einfacher erfolgreich zu realisieren als bei Angriffen von außen.

Carsten Arzig, Trainer Hacking Bootcamp, KI-Experte

Secure Home Office

Die Arbeit im Home Office stellt viele Organisationen vor enorme Herausforderungen bei der IT-Sicherheit. In den nächsten Monaten wird es eine der wichtigsten Aufgaben der IT sein, mobile Infrastrukturen sowohl effizient als auch sicher zu betreiben und flexibles Arbeiten zu ermöglichen.

Dabei müssen einerseits die personellen, prozessualen und technologischen Voraussetzungen im Eiltempo geschaffen werden. Andererseits muss eine optimale Balance zwischen Sicherheit, Kosten, Funktionsfähigkeit und Flexibilität gewährleistet sein. Wir stellen die wichtigsten Risikofaktoren und Lösungsansätze vor.

genua empfiehlt

Welche TOP-IT-Sicherheitsrisiken sind bei der Arbeit im Home Office zu beachten?

Orientierungspunkte und Maßnahmen haben wir für Sie im folgenden Überblick zusammengefasst.

1. Private Systeme und Netzwerke

Für die Arbeit im Home Office werden häufig private Systeme eingesetzt, die den hohen Anforderungen an die unternehmensweite IT-Security nicht genügen und nicht professionell administriert werden.

Aber auch Lösungen, die ausschließlich zu beruflichen Zwecken im Home Office verwendet werden, sind oftmals unzureichend geschützt.

Befinden sich diese in nicht ausreichend abgesicherten Netzwerken, besteht das Risiko, dass aus kompromittierten Systemen, die auf das gleiche Netzwerk zugreifen, Angriffe auf den Rechner erfolgen.

2. Drittanbieter-Plattformen

Externe Systeme und Plattformen, die etwa für Videokonferenzen genutzt werden, fallen immer wieder durch ernstzunehmende Sicherheitslücken und unzureichende Datenintegrität auf. Bei ihrem Einsatz sind die Nutzer auf die Sicherheitsarchitekturen und Datenschutzvorkehrungen der Anbieter angewiesen.

Eine hohe Transparenz, die notwendig ist, um die getroffenen Vorkehrungen zu beurteilen, ist dabei nicht immer gegeben.

3. Improvisierte Workflows

Viele Organisationen haben bislang wenig Erfahrung mit mobilen Infrastrukturen und den dafür notwendigen Richtlinien, Prozesse und Ressourcen. Sie können deshalb für ihre Mitarbeiter keine Workflows gestalten, die den IT-Security Standards des Unternehmens gerecht werden. In der Folge entstehen improvisierte Prozesse. So werden zum Beispiel Daten aus Unternehmenssystemen und Intranets per Mail an die eigene Email-Adresse verschickt, oder auf nicht systematisch kontrollierten und vorbereiteten mobilen Datenträgern mitgenommen, um sie auf privaten Geräten zu bearbeiten. Eine klare Trennung zwischen privaten und Unternehmensdaten ist somit nicht mehr gewährleistet. Potenzielle Angreifer können die Unternehmensdaten korrumpieren, beim „Rücktransport“ Infektionen aus den privaten Systemen ins Unternehmen einschleusen, oder Informationen unbemerkt abschöpfen.

4. Unsichere Remote Desktop Software

Um die unkontrollierte Nutzung privater Netzwerke und Systeme zu vermeiden und die getrennte Datenhaltung zu gewährleisten, setzen viele Unternehmen auf Remote Desktop-Lösungen mit Screen-Sharing.

Doch eine umfassende Sicherheit ist damit nicht gewährleistet: Einbrüche über unzureichend gesicherte Remote-Desktops gehören zu den häufigsten Angriffen auf die Infrastruktur von Unternehmen.

Schwache und selten gewechselte Passwörter – ebenfalls eine Folge fehlender verbindlicher Vorgaben – sind dabei die Hauptursache.

5. VPN-Nutzung über private Endgeräte

Virtual Private Networks (VPN) sind ein bewährter Ansatz, um kritische Daten zu schützen. Vorausgesetzt, dass der Datenaustausch aus dem Home Office über einen Firmenrechner stattfindet, der lediglich auf das VPN Zugriff hat.

Wenn jedoch kein Firmengerät zur Verfügung steht und der VPN-Zugang von einem privaten Gerät erfolgt, öffnet sich ein Angriffskanal. Ein Angreifer, der den privaten Rechner kompromittiert hat, erhält dann über das VPN Zugang in das Firmennetz.

genua empfiehlt

Was sollten IT-Security-Verantwortliche bei der Absicherung von Arbeitsplätzen im Home Office gegen Cyberangriffe berücksichtigen?

Die folgenden Remote Work Security-Hebel helfen weiter.

1. Private Systeme und Netzwerke

Für die Arbeit im Home Office werden häufig private Systeme eingesetzt, die den hohen Anforderungen an die unternehmensweite IT-Security nicht genügen und nicht professionell administriert werden.

Aber auch Lösungen, die ausschließlich zu beruflichen Zwecken im Home Office verwendet werden, sind oftmals unzureichend geschützt.

Befinden sich diese in nicht ausreichend abgesicherten Netzwerken, besteht das Risiko, dass aus kompromittierten Systemen, die auf das gleiche Netzwerk zugreifen, Angriffe auf den Rechner erfolgen.

2. Drittanbieter-Plattformen

Externe Systeme und Plattformen, die etwa für Videokonferenzen genutzt werden, fallen immer wieder durch ernstzunehmende Sicherheitslücken und unzureichende Datenintegrität auf. Bei ihrem Einsatz sind die Nutzer auf die Sicherheitsarchitekturen und Datenschutzvorkehrungen der Anbieter angewiesen.

Eine hohe Transparenz, die notwendig ist, um die getroffenen Vorkehrungen zu beurteilen, ist dabei nicht immer gegeben.

3. Improvisierte Workflows

Viele Organisationen haben bislang wenig Erfahrung mit mobilen Infrastrukturen und den dafür notwendigen Richtlinien, Prozesse und Ressourcen. Sie können deshalb für ihre Mitarbeiter keine Workflows gestalten, die den IT-Security Standards des Unternehmens gerecht werden. In der Folge entstehen improvisierte Prozesse. So werden zum Beispiel Daten aus Unternehmenssystemen und Intranets per Mail an die eigene Email-Adresse verschickt, oder auf nicht systematisch kontrollierten und vorbereiteten mobilen Datenträgern mitgenommen, um sie auf privaten Geräten zu bearbeiten. Eine klare Trennung zwischen privaten und Unternehmensdaten ist somit nicht mehr gewährleistet. Potenzielle Angreifer können die Unternehmensdaten korrumpieren, beim „Rücktransport“ Infektionen aus den privaten Systemen ins Unternehmen einschleusen, oder Informationen unbemerkt abschöpfen.

4. Unsichere Remote Desktop Software

Um die unkontrollierte Nutzung privater Netzwerke und Systeme zu vermeiden und die getrennte Datenhaltung zu gewährleisten, setzen viele Unternehmen auf Remote Desktop-Lösungen mit Screen-Sharing.

Doch eine umfassende Sicherheit ist damit nicht gewährleistet: Einbrüche über unzureichend gesicherte Remote-Desktops gehören zu den häufigsten Angriffen auf die Infrastruktur von Unternehmen.

Schwache und selten gewechselte Passwörter – ebenfalls eine Folge fehlender verbindlicher Vorgaben – sind dabei die Hauptursache.

5. VPN-Nutzung über private Endgeräte

Virtual Private Networks (VPN) sind ein bewährter Ansatz, um kritische Daten zu schützen. Vorausgesetzt, dass der Datenaustausch aus dem Home Office über einen Firmenrechner stattfindet, der lediglich auf das VPN Zugriff hat.

Wenn jedoch kein Firmengerät zur Verfügung steht und der VPN-Zugang von einem privaten Gerät erfolgt, öffnet sich ein Angriffskanal. Ein Angreifer, der den privaten Rechner kompromittiert hat, erhält dann über das VPN Zugang in das Firmennetz.

Skalierbarer Schutz für Unternehmen und öffentliche Organisationen

Sie möchten Ihre IT-Infrastrukturen im öffentlichen Sektor, in der Industrie, in einer KRITIS-Organisation oder im Geheimschutz umfassend und zuverlässig absichern? Unsere zertifizierten und vielfach ausgezeichneten Sicherheitslösungen sorgen für sofortigen Schutz und sind passend skalierbar.