Wie man gemäss Melani auch im Homeoffice sicher arbeitet
Das Coronavirus kommt – und plötzlich arbeiten (fast) alle im Homeoffice. Zu plötzlich mancherorts. Da die Umstellung schnell und ohne grosse Vorarbeit geschehen musste, wurde die IT-Security vielerorts vergessen. Wie man trotz Homeoffice seine Angestellten schützen kann, sagt Max Klaus, stv. Leiter der Melde- und Analysesstelle Informationssicherung (Melani).
Wie lautet Ihr Top-Tipp, wie Mitarbeitende auch von daheim aus sicher arbeiten können?
Max Klaus: Der Zugriff ins Unternehmensnetzwerk sollte ausschliesslich mittels VPN-Tunnel und wenn möglich unter Einsatz einer Zwei-Faktor-Authentifizierung erfolgen. Hierfür eignen sich insbesondere hardware-basierte Lösungen wie Smartcards oder RSA-Tokens. Wo dies nicht möglich ist, können auch softwarebasierte Lösungen wie etwa der Google Authenticator zum Einsatz kommen. Weiter sollte der Einsatz von starken Passwörtern erzwungen werden. Hier ist darauf zu achten, dass für jeden Dienst ein separates Passwort verwendet wird und Sequenzen – wie etwa Passwort1, Passwort2 und so weiter – unterbunden werden.
Was ist das grösste Risiko, wenn so plötzlich so viele Mitarbeiter ins Homeoffice wechseln?
Der Umgang mit vertraulichen Informationen muss auch fürs Homeoffice klar geregelt sein. Wie müssen beispielsweise Ausdrucke von sensiblen Informationen entsorgt werden? Ausserdem ist zu regeln, wie Mitarbeitende mit privaten Geräten umgehen. Wenn zum Beispiel ein Mitarbeiter ein privates Gerät verkaufen will, muss sichergestellt sein, dass sich darauf keine sensiblen Unternehmensdaten mehr finden.
Welche technischen Sicherheitsmassnahmen sind unabdingbar im Homeoffice?
Alle im Homeoffice eingesetzten Geräte und Software müssen auf dem neuesten Sicherheits-Stand sein (Patches). Die regelmässige Analyse von Logfiles der Geräte mit Fernzugriff lässt Unregelmässigkeiten frühzeitig erkennen (zum Beispiel Zugriffsversuche durch ausländische IP-Adressen, wenn der grösste Teil der Angestellten in der Schweiz arbeitet). Die Bereitschaft für forensische Analysen sollte gewährleistet sein, insbesondere wenn Mitarbeitende mit privaten Geräten auf die Unternehmensinfrastruktur zugreifen.
Was müssen Unternehmen bei der Sensibilisierung ihrer Mitarbeitenden besonders beachten?
Nach dem Motto «steter Tropfen höhlt den Stein» sollten Mitarbeitende immer wieder für die Gefahren im Umgang mit E-Mail, Internet und so weiter sensibilisiert werden. Auch sollten die Mitarbeitenden zum Beispiel wissen, wie sie durch den offiziellen Helpdesk kontaktiert werden, um die Gefahr von Fake-Support-Anrufen einzudämmen. Bei Anträgen auf Rücksetzung von Passwörtern müssen einfache Vorgehensweisen definiert sein, wie sich die Mitarbeitenden eindeutig identifizieren lassen.
Die Antworten der übrigen Podiumsteilnehmer:
Marcus Griesser, SBB: "Kein Datenaustausch von geschäftlichen Daten auf privaten Heimnetzwerk-Infrastrukturen."
Enrico Lardelli, GKB: "Entscheidend ist der Appell an die Selbstverantwortung und an den gesunden Menschenverstand."
Cornelia Lehle, G Data: "Firmendaten haben auf Privatgeräten nichts zu suchen."
Sonja Meindl, Check Point: "Unternehmen sollten sichergehen, wer Zugriff auf welche Informationen hat."
Andreas Rieder, Ispin: "Wichtig ist, die im Homeoffice geleistete Arbeit nicht zu verlieren."
Michael Rothmund, All for One Group: "Digitale Transformation kann nur funktionieren, wenn auch die Cybersecurity mittransformiert wird."
Urs Rufer, Terreactive: "Sicherheit lässt sich nie durch eine einzige Massnahme erreichen."
Simon Schneiter, Ensec: "Erklären Sie Ihren Mitarbeitenden auch, weshalb sie sich so verhalten sollen!"
Rainer Schwegler, Eset: "Es fehlt oft am richtigen Equipment."