Podium Security im Homeoffice

Wie man gemäss Melani auch im Homeoffice sicher arbeitet

Uhr
von Coen Kaat

Das Coronavirus kommt – und plötzlich arbeiten (fast) alle im Homeoffice. Zu plötzlich mancherorts. Da die Umstellung schnell und ohne grosse Vorarbeit geschehen musste, wurde die IT-Security vielerorts vergessen. Wie man trotz Homeoffice seine Angestellten schützen kann, sagt Max Klaus, stv. Leiter der Melde- und Analysesstelle Informationssicherung (Melani).

Max Klaus, stv. Leiter der Melde- und Analysesstelle Informationssicherung (Melani). (Source: zVg)
Max Klaus, stv. Leiter der Melde- und Analysesstelle Informationssicherung (Melani). (Source: zVg)

Wie lautet Ihr Top-Tipp, wie Mitarbeitende auch von daheim aus ­sicher arbeiten können?

Max Klaus: Der Zugriff ins Unternehmensnetzwerk sollte ausschliesslich mittels VPN-Tunnel und wenn möglich unter Einsatz einer Zwei-Faktor-Authentifizierung erfolgen. Hierfür eignen sich insbesondere hardware-basierte Lösungen wie Smartcards oder RSA-Tokens. Wo dies nicht möglich ist, können auch softwarebasierte Lösungen wie etwa der Google Authenticator zum Einsatz kommen. Weiter sollte der Einsatz von starken Passwörtern erzwungen werden. Hier ist darauf zu achten, dass für jeden Dienst ein separates Passwort verwendet wird und Sequenzen – wie etwa Passwort1, Passwort2 und so weiter – unterbunden werden.

Was ist das grösste Risiko, wenn so plötzlich so viele Mitarbeiter ins Homeoffice wechseln?

Der Umgang mit vertraulichen Informationen muss auch fürs Homeoffice klar geregelt sein. Wie müssen beispielsweise Ausdrucke von sensiblen Informationen entsorgt werden? Ausserdem ist zu regeln, wie Mitarbeitende mit privaten Geräten umgehen. Wenn zum Beispiel ein Mitarbeiter ein privates Gerät verkaufen will, muss sichergestellt sein, dass sich darauf keine sensiblen Unternehmensdaten mehr finden.

Welche technischen Sicherheitsmassnahmen sind unabdingbar im Homeoffice?

Alle im Homeoffice eingesetzten Geräte und Software müssen auf dem neuesten Sicherheits-Stand sein (Patches). Die regelmässige Analyse von Logfiles der Geräte mit Fernzugriff lässt Unregelmässigkeiten frühzeitig erkennen (zum Beispiel Zugriffsversuche durch ausländische IP-Adressen, wenn der grösste Teil der Angestellten in der Schweiz arbeitet). Die Bereitschaft für forensische Analysen sollte gewährleistet sein, insbesondere wenn Mitarbeitende mit privaten Geräten auf die Unternehmensinfrastruktur zugreifen.

Was müssen Unternehmen bei der Sensibilisierung ihrer ­Mitarbeitenden besonders beachten?

Nach dem Motto «steter Tropfen höhlt den Stein» sollten Mitarbeitende immer wieder für die Gefahren im Umgang mit E-Mail, Internet und so weiter sensibilisiert werden. Auch sollten die Mitarbeitenden zum Beispiel wissen, wie sie durch den offiziellen Helpdesk kontaktiert werden, um die Gefahr von Fake-Support-Anrufen einzudämmen. Bei Anträgen auf Rücksetzung von Passwörtern müssen einfache Vorgehensweisen definiert sein, wie sich die Mitarbeitenden eindeutig identifizieren lassen.

Die Antworten der übrigen Podiumsteilnehmer:

Mehr Tipps und Tricks sowie Tools rund um das Arbeiten in den eigenen vier Wänden finden Sie hier im Webdossier.

Webcode
DPF8_179118