Das Home-Office wurde in der Pandemie von heute auf morgen für Viele fast selbst­ver­ständlich. Im Rückblick wissen wir, dass die Sicher­heit dabei häufig auf der Strecke geblieben ist – wie sollte es auch anders gehen in der Kürze der Zeit? Das sollten wir, spätestens jetzt, ändern.

Das Bundesamt für Sicher­heit in der Informations­technik (BSI) hat sich bereits ausführlich mit der Zukunft des Home-Office beschäftigt. In einer Studie gaben ganze 58% der Unter­nehmen an, dass sie das Home-Office auch weiterhin bei­behalten oder sogar erweitern wollen. Darüber freuen sich Cyber­kriminelle und Hacker­banden: Das Home-Office ist längst zu einem bevorzugten Einfallstor für Hacks, Erpressungen und Viren­befall geworden. Deshalb müssen wir gerade beim Home-Office in Sachen IT-Sicherheit dringend nach­bessern.

Der Knack­punkt bei der IT-Sicherheit im Home-Office besteht darin, dass Geschäfts­führung, IT-Verantwortliche und Mitarbeiter­innen und Mitarbeiter an einem Strang ziehen müssen – nur, wenn jeder und jede Ihren Teil beiträgt, lässt sich eine sichere Infra­struktur aufbauen. Je nach Branche und Art der Daten müssen hier wie im Betrieb auch unterschied­lich hohe Sicherheits­vorkehrungen getroffen werden.

1)    Schaffen Sie eine gute Arbeitsumgebung 

Im Home-Office werden vertrauliche Telefonate geführt, sensible Unternehmensdaten bearbeitet und der Arbeitsplatz manchmal auch verlassen. Eine Firma vertraut Ihren Angestellten – vor allem darauf, dass Betriebsunterlagen, Wissen und Daten nicht in falsche Hände geraten. Im Home-Office liegt diese Verantwortung bei den Mitarbeiterinnen und Mitarbeitern. Sollten sie telefonieren oder an Konferenzen teilnehmen, muss sichergestellt sein, dass die Nachbarn nicht mithören können: Schließen Sie im Zweifelsfall die Fenster oder vermeiden Sie Ihre Meetings auf dem Balkon oder im Garten durchzuführen.

2)    Richten Sie einen Sichtschutz und Zugriffsschutz ein

Auf Laptops, Handys und Tablets sollten Blickschutzfolien eingesetzt werden, die den Bildschirminhalt vor fremden Blicken schützen. Schaut man von der Seite auf Ihr Gerät, erkennt man mit der Schutzfolie nämlich nichts mehr. So sind Sie sowohl im Home-Office als auch auf Dienstreisen vor Blicken Dritter geschützt. Sollten Sie Ihren Platz verlassen, müssen Sie Ihren Rechner vor Zugriffen schützen. Das tun Sie, indem Sie ihn ‚sperren‘. Unter Windows können Sie dafür die einfache Tastenkombination WINDOWS-TASTE+L (L = Lock) nutzen, den Mac sperren Sie mit der Kombination COMMAND+CONTROL+Q. Sollten Sie Ihr berufliches Gerät auch privat nutzen, richten Sie außerdem getrennte Nutzerkonten auf Ihren Geräten ein – eines für die Arbeit, eins fürs Privatleben.

3)    Richten Sie eine Mehr-Faktor-Authentisierung (MFA) bei allen Diensten ein, die sie unterstützen

Die Mehr-Faktor-Authentisierung stellt auf doppelte Weise sicher, dass sich niemand anderes in Ihre Accounts einloggt. Wahrscheinlich kennen Sie das Prinzip bereits von Ihrem Onlinebanking – es reicht nicht bloß, dass Sie Ihr Passwort eintippen, sondern Sie müssen auch noch einen zweiten Code eingeben, den Sie beim Login auf Ihr Smartphone oder auf ein anderes Gerät geschickt bekommen. 
Die Einrichtung ist sehr unkompliziert, sodass sie jeder und jede Mitarbeitende selbst einrichten kann: Man aktiviert die „MFA“ in den Login-Einstellungen des jeweiligen Accounts und gibt an, auf welches Gerät Sie den zweiten Code erhalten möchten. Auf diesem zweiten Gerät müssen Sie eine MFA-Applikation installiert haben, auf die der Code gesendet wird. Das war’s auch schon. Übrigens lohnt es sich auch für den privaten Gebrauch, eine MFA überall dort einzurichten, wo eine Aktivierung möglich ist. Viele Portale bieten dies bereits an – darunter beispielsweise Amazon oder PayPal.

4)    Führen Sie regelmäßige Sicherheitsupdates aller Softwareprodukte durch

Schalten Sie Auto-Updates überall dort ein, wo es möglich ist. Gerade im Home-Office sollte jeder und jede darauf achten, dass die Geräte und die darauf installierten Programme regelmäßig geupdatet werden. Updates sorgen in vielen Fällen dafür, dass Sicherheitslücken geschlossen werden, weshalb Sie damit auf keinen Fall warten sollten. Am besten erinnern Sie in Ihrer Firma regelmäßig an zentraler Stelle – etwa durch den Firmenverteiler – daran, dass Updates installiert werden müssen. In manchen Firmen gibt es sogar fest geblockte Zeitfenster dafür. Eine Erinnerung zu senden bietet sich insbesondere dann an, wenn für eine bekannt gewordene Sicherheitslücke ein Update verfügbar ist, das diese schließt.

5)    Richten Sie ein Virtual Private Network (virtuelles privates Netzwerk, oder kurz VPN) ein

Ein VPN ist eine Netzwerkverbindung, die Sie vor der Einsicht von Unbeteiligten schützt und ihr Kommunikationsnetz nach außen abschirmt. Die Mitarbeiterinnen und Mitarbeiter loggen sich von zuhause in dieses Netz ein wie auch diejenigen, die in Betrieb vor Ort arbeiten. Technisch sind nun alle im selben Netz unterwegs. Gleichzeitig kann dieses Netz von zentraler Stelle aus besonders geschützt werden, indem etwa gleich der gesamten Datenverkehr in diesem Netz verschlüsselt wird – das ist dann aber Sache Ihres IT-Verantwortlichen. Eine Videoanleitung zur Einrichtung eines VPN finden Sie auf unserem YouTube-Kanal (Teil 1 und Teil 2) 

6)    Nutzen Sie ein Mobile Device Management (Mobilgeräteverwaltung) (MDM)

MDM bedeutet, dass Sie mobile Geräte wie Laptops, Tablets und Smartphones an einer zentralen Stelle verwalten können bzw. diese dort verwaltet werden. So können Sie als Administrator oder Administratorin durch die drahtlose Verwaltung der Geräte bestimmte Einstellungen treffen, automatische Aktualisierungen einspielen und im Verlustfall das Gerät sperren. So schützen Sie Ihre Nutzerinnen und Nutzer auch in Ihrem Zuhause. Die Fernverwaltung lässt sich mit einer Software organisieren und bei Bedarf auch vollständig automatisieren.

7)    Stellen Sie sicher, dass sowohl die Endgeräte als auch alle Datenträger verschlüsselt ausgegeben und genutzt werden

Wenn ein Gerät verloren geht, ist zwar das Gerät weg, die Daten aber bleiben sicher. Am einfachsten ist es, Geräte und Datenträger durch die Verschlüsselungstechnik, die Ihr Gerät ohnehin an Bord hat (Bordmittel), zu verschlüsseln. Das ist etwa der Bitlocker unter Windows und die FireVault-Funktion beim Mac. Sie können zum Beispiel außerdem das kostenfreie VeraCrypt einsetzen. Aber Achtung: Bei Verlust der Zugangsdaten kann eine Wiederherstellung der Daten unmöglich werden, denn genau das ist die Aufgabe dieser Hilfsprogramme.

8)    Stellen Sie das Thema in den Vordergrund

Nur die Führungsebene kann dem Thema die Bedeutung geben, die es angesichts der aktuellen Gefahrenlage benötigt. Sie muss dafür sorgen, dass das Thema im Betrieb ernst genommen wird und dass Zeit und Ressourcen zur Verfügung stehen.

Sorgen Sie als Geschäftsführende dafür, dass die wichtigsten Maßnahmen von Ihren IT-Verantwortlichen oder Ihrem Dienstleistungsunternehmen umgesetzt werden. Mitarbeiterinnen und Mitarbeitern ist oft nicht bewusst, dass gerade kleine und mittlere Unternehmen vielleicht sogar um ihre Existenz fürchten müssen, wenn sie ein Cyberangriff trifft. Als Geschäftsführung sind Sie gefragt, Ihre Angestellten zu sensibilisieren, über die Risiken aufzuklären und Ihnen Schutzmaßnahmen zu zeigen.

Machen Sie in Teamsitzungen auf das Thema aufmerksam, erläutern Sie die Gefahrenlage und erinnern Sie Ihre Angestellten regelmäßig an die wichtigsten Maßnahmen.

9)    Schaffen Sie verbindliche IT-Sicherheitsregelungen für das Home-Office

Für eine sichere Arbeit zuhause sollten Sie eine verbindliche Sicherheitsregelung schaffen, auf die sich alle Mitarbeitenden verpflichten. Halten Sie diese Regelung als schriftliche Vereinbarung fest, die von allen Mitarbeiterinnen und Mitarbeitern unterzeichnet wird.

Das ist deshalb besonders wichtig, weil gerade im Home-Office nicht mehr allein die IT-Abteilung oder der IT-Verantwortliche gefragt ist, sondern noch viel stärker als im Büro sonst die Mitarbeiterinnen und Mitarbeiter selbst eine bedeutende Rolle spielen. Verschiedene Dinge können in so einer Vereinbarung stehen - beispielsweise, dass IT-Geräte sicher aufbewahrt werden und stets verschlossen werden müssen. Die Angestellten sollten auch dafür Sorge tragen, dass Dritte keinen Zugriff zu den Geräten haben. Darüber hinaus lässt sich verabreden, welche Netzwerkverbindungen genutzt werden dürfen, welche Daten verschlüsselt werden sollen und was für eine Art Passwort für den Zugriff auf welche Dienste verwendet werden darf. Auch der Umgang mit mobilen Datenträgern sollte dort geregelt sein sowie etwa der Umgang mit verdächtigen Mails u.v.m.

10)    Schulen Sie Ihre Angestellten regelmäßig

Ohne Ihre Mitarbeiterinnen und Mitarbeiter geht es nicht - klären Sie diese deshalb mit Schulungen regelmäßig über die Gefahren, Vorsichtsmaßnahmen und Verhaltensregeln auf.

Kostenlose Schulungsangebote finden Sie regelmäßig auf unserer Veranstaltungsseite.