Immer mehr Unternehmen nutzen die Vorzüge von Home-Office als flexibles Arbeitsmodell – gleichzeitig nehmen die Schwierigkeiten mit der Cyber Security zu. Cyberkriminelle sind sich der tendenziell schwächeren Schutzmassnahmen im Heimbüro bewusst und versuchen auf diesem Weg KMU anzugreifen. Mit Phishing-E-Mails versuchen Cyberkriminelle Home-Office-Anwender zu motivieren, auf schädliche Links zu klicken, die danach im Hintergrund Remote Administration Tools auf die Geräte der Mitarbeitenden herunterladen – so erhalten die Angreifer nicht nur Zugriff auf das Endgerät des Nutzers sondern auch auf mit dem Heimnetzwerk verbundene externe Unternehmens-IT.
Angreifer gehen davon aus, dass viele Arbeitnehmer, die von zu Hause aus arbeiten, nicht die gleiche IT-Sicherheit in ihren Heimnetzwerken im Einsatz haben, wie in einer Unternehmensumgebung. Die Kriminellen wissen auch, dass einige Unternehmen nicht genügend wirksame Technologien oder IT-Richtlinien in den Endgeräten Ihrer Mitarbeitenden umgesetzt haben. Das führt dazu, dass die Cyber Security bei einer Verbindung über das offene WLAN-Netzwerk zu Hause wesentlich schwächer ist, als direkt innerhalb des Unternehmensnetzwerks. verbunden sind. Sowohl Führungskräfte als auch die Mitarbeitenden spielen eine wichtige Rolle bei der Wahrnehmung der IT-Sicherheit im Home-Office.
Die Rolle des Unternehmens, um die Cyber Security im Home-Office zu gewährleisten
Das Verhalten von Geschäftsführung und Führungskräfte im KMU ist entscheidend, wenn es darum geht, die Cybersicherheit im Unternehmen auch im Home-Office zu gewährleisten. So sind von ihnen klare Erwartungen zu formulieren, wie das Unternehmen mit Sicherheitsrisiken in den verschiedenen Home-Offices umgeht. Es sind Richtlinien festzulegen und Technologien bereitzustellen, die es den Mitarbeitenden ermöglichen, auch von Zuhause aus mit einer hohen Cyber Security zu arbeiten. Dabei ist entscheidend, dass die Kommunikation zu Richtlinien und Massnahmen zur IT-Sicherheit im Home-Office von der KMU-Leitung erfolgt.
Wie soll die Geschäftsführung mit Cyberrisiken im Home-Office umgehen?
1. Verstehen der möglichen Bedrohungsszenarien für die Organisation.
Führungskräfte sollten mit ihrem internen IT-Sicherheitsteam oder mit einem externen Anbieter IT Services zusammenarbeiten, um mögliche Angriffsszenarien zu identifizieren, die sich durch die Arbeit der Mitarbeitenden von Zuhause aus ergeben. Dabei geht es in erster Linie darum, den Schutz ihrer sensibelsten Informationen und geschäftskritischen Anwendungen zu priorisieren.
2. Klare Anweisungen geben und Kommunikation fördern.
Die Richtlinien für die Cybersicherheit im Home-Office müssen für die Mitarbeitenden klar und verständlich sein. Wichtig sind leicht zu verständliche und umsetzbare Einzelschritte, die auch Mitarbeitende ohne tiefe IT-Kenntnisse befolgen können. Dazu gehört auch die Anweisung an die Nutzer, bei verdächtigen Aktivitäten umgehend das Sicherheitsteam oder den beauftragten externen IT-Dienstleister zu informieren. Für die Kommunikation der Richtlinien eignen sich regelmässige IT-Schulungen für die Mitarbeitenden.
3. Wirksame Sicherheitsfunktionen und -tools bereitstellen.
Führungskräfte von KMU sollen sicherstellen, dass ihr IT Team oder der externe Anbieter von IT Services alle unternehmenseigenen Endgeräte mit den grundlegenden und wirksamen Sicherheitsfunktionen ausstattet. Diejenigen Sicherheitsmassnahmen, die sich auf die Netzwerksicherheit innerhalb des Unternehmens auswirken, sollen das gleiche Schutzniveau auch auf alle externen IT-Umgebungen (Remote-Umgebungen) gewährleisten. Folgende wichtige Sicherheitsfunktionen gehören dazu:
- Ausserhalb des Unternehmens tätige Benutzer sollen sich sicher mit ihren geschäftskritischen Cloud- und On-Premise-Anwendungen (im Unternehmen stationierte IT-Ressourcen) verbinden können, wie etwa Videokonferenzanwendungen.
- Sicherheit aller externen Endgeräte auf allen Notebooks und Mobilgeräten (Endpoint Protection). Dabei sind insbesondere VPN-Tools zur Verbindung mit dem Unternehmensnetzwerk mit Verschlüsselung vorzusehen.
- Multifaktor-Authentifizierung zur sicheren Identifizierung der Mitarbeitenden (MFA). Dies erfolgt etwa durch ein zusätzliches E-Mail oder SMS mit einem einmaligen Link oder Code, dass dem Mitarbeitenden nach Eingabe seiner Login-Daten zugestellt wird. Danach kann er sich mit diesem Link oder Code ein zweites Mal identifizieren, bevor er Zugang zum Unternehmensnetzwerk erhält.
- Die Sicherheitsmassnahmen sollen Angriffsversuche, Schadsoftware oder Command-and-Control-Datenverkehr zur unbefugten Übernahme der Kontrolle über ein Endgerät abwehren und blockieren. Immer öfter kommt dabei künstliche Intelligenz zur automatisierten Echtzeit-Erkennung von Bedrohungen zum Einsatz.
- Die eingesetzte Cyberabwehr soll bösartige Domänen-URLs filtern können, um häufige bzw. bekannte Phishing-Angriffe zu verhindern.
Die Rolle der Mitarbeitenden um die Cyber Security im Home-Office zu gewährleisten
Die Mitarbeitenden müssen vom Unternehmen befähigt werden, die ihnen zur Verfügung gestellten Richtlinien zur Cyberabwehr befolgen und präventive Massnahmen ergreifen zu können.
Wie sollen die Mitarbeitenden mit Cyberrisiken im Home-Office umgehen?
1. Auf gute Passwort-Hygiene achten
Die Mitarbeitenden sollen für die Wahl des Passworts die Richtlinie für wirksame Passwörter verwenden. Die Passwortlänge soll mindestens 12, besser 20 Zeichen umfassen. So ist die Abwehrkraft gegen automatisierte Angriffe hoch. Der Aufwand und die Komplexität für Cyberkriminelle sich Zugang in die Unternehmens-IT zu verschaffen, wird zu gross, wenn lange Passwörter verwendet werden.
2. Systeme und Software laufend aktualisieren.
Mitarbeitende sollen dahingehend instruiert sein, dass sie Aktualisierungen (Updates und Patches) zeitnah auf ihren mobilen Geräten zu installieren.
3. WLAN-Zugangspunkt sichern.
Die Mitarbeitenden sollen die Standardeinstellungen und Standardkennwörter ihrer WLAN-Zugangspunkte (Access Points) Zuhause ändern, um das Risiko eines Angriffs auf das Heimnetzwerk über unbefugt verbundene Geräte zu verhindern.
4. Virtuelles Privates Netzwerk (VPN) verwenden.
Ein VPN trägt dazu bei, eine vertrauenswürdige Verbindung zwischen Mitarbeitenden und ihrer Firma herzustellen und den laufenden sowie sicheren Zugriff auf die Unternehmenstools sicherzustellen. Ein VPN bietet zusätzlichen Schutz vor Phishing- und Schadsoftware-Angriffen, so wie es auch in den Firewalls des Unternehmens im geschäftlichen Büro der Fall ist.
5. Privates und Geschäftliches nicht vermischen.
Mitarbeitende sollen ihre Endgeräte strikt trennen: Arbeitsgeräte sollen sie für die Arbeit und ihre persönlichen Geräte für ihre privaten Themen verwenden. Auch sollen die Angestellten dahingehend instruiert sein, dass sie eine Software oder einen Dienst, den am Arbeitsplatz im Unternehmen aufgrund von Sicherheitsbedenken nicht installieren würden, auch nicht zu Hause auf ihr Arbeitsgerät herunterladen sollen.
Diese relativ einfachen Schritte auf Unternehmensseite als auch auf individueller Ebene tragen dazu bei, einige der häufigsten Sicherheitsrisiken in der Home-Office-Umgebung zu vermeiden. Wichtig ist es auch zu erkennen, dass sich die Gefahrenlage dynamisch entwickelt. Das bedeutet, dass neue Angriffsmethoden und mögliche Bedrohungsszenarien der Unternehmens-IT genau zu verfolgen sind und das KMU die IT-Sicherheitsrichtlinien laufend anzupassen muss. Kompetente Anbieter von Managed IT Services können dabei mit ihrer Expertise beratend oder unterstützend zur Seite stehen.
Titelbild: Kari Shea on Unsplash