Wie man gemäss Ensec auch im Homeoffice sicher arbeitet

Cybersecurity

Das Coronavirus kommt – und plötzlich arbeiten (fast) alle im Homeoffice. Zu plötzlich mancherorts. Da die Umstellung schnell und ohne grosse Vorarbeit geschehen musste, wurde die IT-Security vielerorts vergessen. Wie man trotz Homeoffice seine Angestellten schützen kann, sagt Simon Schneiter, Head GRC Consulting bei Ensec.

Simon Schneiter, Head GRC Consulting bei Ensec. (Source: Ensec)

Wie lautet Ihr Top-Tipp, wie Mitarbeitende auch von daheim aus sicher arbeiten können?

Simon Schneiter: Arbeitgeber sollten soweit möglich sicheres Equipment, eine sichere Verbindung und sichere Applikationen zur Verfügung stellen, sodass sich die Mitarbeitenden selbst nicht über den üblichen Rahmen hinaus um die IT-Sicherheit kümmern müssen. Dazu gehört zwingend eine Multifaktor-Authentisierung beim Remote-Zugriff aufs Firmennetzwerk.

Was ist das grösste Risiko, wenn so plötzlich so viele Mitarbeitenden ins Homeoffice wechseln?

Wir konnten im März beobachten, dass etliche Firmen zu Gunsten eines schnellen Aufbaus von Homeoffice-Möglichkeiten die IT-Sicherheit zu wenig berücksichtigt haben. So verständlich dies unter diesen Umständen ist, birgt es ein erhebliches Risiko. Falsch konfigurierte VPN-Lösungen, schlecht gesicherte Citrix-Zugänge und der Einsatz von Collaboration-Tools deren Sicherheit und/oder Datenschutzstandards zumindest fraglich sind, sind nur einige Beispiele.

Welche technischen Sicherheitsmassnahmen sind unabdingbar im Homeoffice?

Zugriffe aufs Firmennetzwerk sind mit einer Multifaktor-Authentisierung zu schützen. Die Remote-Lösung ist sicher zu konfigurieren – achten Sie auf die Auswahl der Verschlüsselungsalgorithmen. Zudem sollten die Geräte, welche die Mitarbeitenden nutzen, die neusten Sicherheitsupdates und eine aktuelle Anti-Malware-Lösung installiert haben. Kann die Sicherheit des Geräts nicht durch den Arbeitgeber sichergestellt werden, so sind die Anwender entsprechend zu instruieren.

Was müssen Unternehmen bei der Sensibilisierung ihrer Mitarbeitenden besonders beachten?

Besondere Aufmerksamkeit sollte dem sicheren Umgang mit dem Equipment, der Remote-Lösung, dem zusätzlichen Authentisierungsfaktor
und den zur Verfügung gestellten Applikationen gewidmet werden. Die Einhaltung von Datenschutz und Geschäftsgeheimnis ausserhalb der Büroräumlichkeiten sind weitere Punkte, zu denen zusätzliche Tipps und Vorgaben notwendig sind. Daneben sind Phishing-Kampagnen zu beobachten, welche die aktuelle Situation ausnutzen. Darüber sollte die Belegschaft ebenfalls informiert werden. Wie immer gilt: Erklären Sie Ihren Mitarbeitenden auch, weshalb sie sich so verhalten sollen!

Welche rechtlichen Aspekte gilt es beim Homeoffice zu beachten?

Neben Arbeitsrechtlichen Aspekten und allenfalls Haftungsfragen, sind je nach verarbeiteter Daten auch datenschutzrechtliche Fragestellungen abzuklären – insbesondere dann, wenn sich jemand im Homeoffice ausserhalb der Schweiz befindet.

Die Antworten der übrigen Podiumsteilnehmer:

Marcus Griesser, SBB: "Kein Datenaustausch von geschäftlichen Daten auf privaten Heimnetzwerk-Infrastrukturen."
Enrico Lardelli, GKB: "Entscheidend ist der Appell an die Selbstverantwortung und an den gesunden Menschenverstand."
Max Klaus, Melani: "Der Zugriff sollte ausschliesslich mittels VPN-Tunnel und einer Zwei-Faktor-Authentifizierung erfolgen. "
Cornelia Lehle, G Data: "Firmendaten haben auf Privatgeräten nichts zu suchen."
Sonja Meindl, Check Point: "Unternehmen sollten sichergehen, wer Zugriff auf welche Informationen hat."
Andreas Rieder, Ispin: "Wichtig ist, die im Homeoffice geleistete Arbeit nicht zu verlieren."
Michael Rothmund, All for One Group: "Digitale Transformation kann nur funktionieren, wenn auch die Cybersecurity mittransformiert wird."
Urs Rufer, Terreactive: "Sicherheit lässt sich nie durch eine einzige Massnahme erreichen."
Rainer Schwegler, Eset: "Es fehlt oft am richtigen Equipment."