IT-Security im Homeoffice

Wir können es mittlerweile einfach nicht mehr hören (beziehungsweise lesen): #Corona, #COVID, #Pandemie oder #Ausgangssperre. Die Pandemie hat uns fest im Griff, was unser Privat- sowie Geschäftsleben massiv beeinflusst.

Eine heiß diskutierte Begleiterscheinung der momentanen Situation ist zweifelsfrei auch die Diskussion - und vor allem auch die intensive Nutzung - des Homeoffice.

Durch das Homeoffice wird das Unternehmens-Netzwerk um die privaten IT-Infrastrukturen der Mitarbeitenden erweitert. Somit erweitert sich natürlich auch die Angriffsoberfläche des gesamten Unternehmens. Solide und sichere Lösungen für den Remote-Zugang können hier Abhilfe schaffen, bieten wie so oft jedoch keinen hundertprozentigen Schutz. Was hilft uns ein massiv gebauter Tunnel zwischen zwei Gebäuden, wenn an einem Gebäude die Eingangstür offen steht? Die Antwort lautet hier selbstverständlich, dass uns dieser Tunnel nur wenig Schutz bietet, denn es scheint einfacher ihn zu betreten, wie seine Wände zu durchbrechen.

Im Folgenden möchte ich ein paar Empfehlungen und Gedanken zur Thematik IT-Security im Homeoffice teilen.

1. Privates und Geschäftliches trennen

Die Trennung von privaten und geschäftlichen Angelegenheiten ist keine neue Empfehlung – das obszöne Sprichwort hierzu spare ich mir an dieser Stelle 😉

Diese Trennung sollte sich - wenn umsetzbar - auch im Internetzugang für die geschäftliche IT-Hardware niederschlagen. Heutzutage bieten fast alle gängigen Router die Möglichkeit getrennte Netzwerke für einen reinen Internetzugang bereit zu stellen. Meist spricht man hier von einem Gästenetzwerk, beziehungsweise im kabellosen Kontext von einem Gäste-WLAN. Hier wird über ein separat aufgespanntes (WLAN-)Netzwerk lediglich die Kommunikation in das Internet erlaubt, nicht jedoch zu den restlichen sich im heimischen Netzwerk befindlichen Geräten. Diese Kommunikation ist für das geschäftliche Smartphone oder den Geschäfts-Laptop vollkommen ausreichend, da ein Zugriff auf private Daten oder Ressourcen für die tägliche Arbeit nicht notwendig ist.

Durch diese Maßnahme kann Schadsoftware aus dem privaten Bereich nicht so einfach in das angebundene Unternehmens-Netzwerk überspringen. Umgekehrt schützt es natürlich auch die privaten Daten sich von einem infizierten Unternehmens-Netzwerk an zu stecken.

2. Big Brother is listening

Es mag zunächst ein wenig paranoid klingen, oder sich anhören, als wäre es aus einem dieser „Hacker Filme“, aber es hat durchaus seine Daseins-Berechtigung.

Sogenannten Sprachassistenten feiern seit einigen Jahren ihren Einzug in unsere Wohnungen. Egal ob Siri, Alexa oder Cortana - um nur einige zu nennen - sie alle basieren auf dem gleichen Prinzip. Nach einem Aktivierungswort nehmen sie Befehle und Fragen entgegen und liefern entsprechende Aktionen und Antworten. Um dies zu ermöglichen müssen die Assistenten regelmäßig dazu lernen. Hierzu müssen die gesprochenen Befehle und Fragen analysiert werden - und dies geschieht nicht immer nur durch die IT-Systeme selbst. Man hört immer wieder von Firmen, welche die gesprochenen Worte menschlich analysieren lassen. Auf die Verschwiegenheit und Vertraulichkeit der Beteiligten hat man nahezu keinen Einfluss.

Für Alexa lässt sich das Aktivierungswort zum Beispiel auf „Computer“ ändern. Ein nicht gerade selten benutztes Wort. Fällt es im Rahmen eines geschäftlichen Telefonates im Homeoffice, lauscht Alexa den folgenden Worten des Telefonats. Da es keine gezielte Ansprache des Assistenten war, ist es daher nicht unwahrscheinlich, dass die aufgenommenen Satzteile bei Mitarbeitenden zur Analyse landen. Im schlimmsten Fall finden diese aufgenommenen Informationen dann andere Empfänger:innen wie die ursprünglich dafür vorgesehenen.

Dies ist aber selbstverständlich nur ein Weg, wie aufgezeichnete Informationen, welche im Internet gespeichert sind, in die falschen Hände geraten können. Am besten man lässt es erst gar nicht so weit kommen, dass die Informationen aufgezeichnet und im Internet gespeichert werden. Die zweite Empfehlung lautet daher die Deaktivierung des Sprach-Assistenten während der Heimarbeit.

3. Bildschirm sperren auch im Homeoffice

Im Büro sollte es sich bereits als gängige Praxis eingeschlichen haben, dass man den Bildschirm des elektronischen Arbeitsgerätes sperrt, wenn man den Platz verlässt. Diese kleine Vorsichtsmaßnahme sollte man auch im Homeoffice beibehalten. Somit kann man den psychologischen Effekt des Automatismus beibehalten, oder ihn sogar erst antrainieren, wenn er noch nicht vorhanden ist. Des Weiteren befinden sich derzeit in vielen Fällen auch die anderen Angehörigen des eigenen Haushaltes zuhause.

Ich möchten hiermit natürlich niemand unterstellen, dass er zum feindlichen Agenten in der eigenen Familie wird. Ich denke hier eher an ein anderes Szenario. Gerade wenn Kindergärten und Schulen ebenfalls geschlossen sind, werden die Kleinsten unter uns oft kreativ. Warum dann auch nicht einmal Homeoffice am Laptop der Eltern spielen, wenn diese gerade nicht da sind. Welche unangenehmen Situationen sich daraus ergeben können kann sich jeder selbst ausmalen und lässt sich an dieser Stelle bestimmt auch nicht vollumfänglich beschreiben. Alternativ könnte man für die Begründung dieser Empfehlung auch noch Haustiere heranziehen - allen voran Katzen, welche sich nachweislich gerne auf Computertastaturen niederlassen - zumindest, wenn man der Google Bildersuche glauben darf. Daher: System sperren, wenn man es gerade nicht benötigt.

4. Hatten wir schon den Punkt „Privates und Geschäftliches trennen“?

Wie bereits unter Punkt 1 erwähnt schützt die Trennung von privater und geschäftlicher IT Infrastruktur beide betroffene Parteien. Eine Trennung auf Netzwerkebene bringt natürlich wenig Sicherheit, wenn im Anschluss an die Arbeit mit dem geschäftlichen Laptop, die Arbeit am privaten Rechner beendet wird. Aber warum sollte man so Etwas tun - erst am geschäftlichen Laptop arbeiten und danach am privaten Rechner? Diese Frage wirft eine allgemeine Beobachtung auf, welche ich im Bereich der IT-Security gemacht habe: Bequemlichkeit und IT-Security stehen oft in Konkurrenz zueinander. Es ist nicht bequem einen zweiten Faktor zur Authentifizierung zu nutzen, aber es ist sicherer. Umgekehrt ist es bequemer alle Daten zentral in der Cloud zu speichern, es ist jedoch nicht zwingend sicherer. In unserem Beispiel könnte der private Rechner zum Beispiel einfach den größeren Monitor haben, sprich es ist bequemer daran zu arbeiten. Gleichzeitig sind mit der Nutzung der privaten Hardware auch alle an die geschäftliche Hardware gebundenen Sicherheitsmechanismen ausgehebelt - und das trotz der Tatsache, dass eventuell auf unternehmenskritische Daten zugegriffen wird. Aus diesem Grund sollten geschäftliche Arbeiten nur auf geschäftlicher Hardware vorgenommen werden.

5. Solide und sichere Lösungen für den Remote-Zugang

Wie Eingangs bereits erwähnt ist eine solide und sichere Lösung für den Remote-Zugang der Mitarbeitenden im Homeoffice schonmal ein guter Einstieg in eine sichere IT-Umgebung. Die Variante des klassischen VPNs in das Unternehmens-Netzwerk wird in diesem Fall die am weitesten verbreitete Lösung sein. Jedoch gibt es mittlerweile auch andere Lösungen, die sich zum Beispiel auch durchaus mit privater Hardware sicher nutzen lassen. Die Rede ist von virtuellen Arbeitsplätzen, welche es allen erlauben so zu arbeiten, als wären sie am Büroplatz. Solche Lösungen erfahren gerade im Zusammenhang mit der aktuellen Corona-Pandemie eine erhöhte Nachfrage. Dies hat den Vorteil, dass seitens der Hersteller Investitionen in sichere und einfache Lösung gesteckt werden, von denen Unternehmen profitieren können. An dieser Stelle lohnt es sich auch über den Tellerrand hinaus zu schauen und andere Lösungen wie zum Beispiel das klassische VPN für den Remote-Zugang in Betracht zu ziehen.