Plötzlich Homeoffice – auch plötzlich ein Datensicherheitsproblem?

Datenströme und IT auf dem Prüfstand

Tausendfach passiert: Viele Mitarbeiter haben unter dem Motto „Bring your own device“ (BYOD) ihre privaten Geräte verwendet, um kurzfristig von zu Hause aus arbeiten zu können. Selbst wenn die Arbeitsgeräte der Mitarbeiter mit einer sicheren VPN-Verbindung nach draußen ausgestattet, die Zugänge auf das nötige Maß beschränkt und die Virenscanner auf dem neusten Stand sind, ist klar: Dieses Provisorium ist nicht optimal. Hinsichtlich der Datensicherheit müssen viele Fragen geklärt werden. Diese kommen auch zu einem großen Teil bei firmeneigener Homeoffice-Technik zum Tragen, die kurzfristig eingerichtet worden ist:

Datenaufbewahrung

Wie genau werden die beruflichen Daten verwahrt? Generell ist zu sagen: Es nicht zu empfehlen, ohne die entsprechende technische Einrichtung und Überprüfung private Geräte für die Arbeit zu verwenden, da es dort in der Regel eine Reihe an Sicherheitslücken gibt. Schon allein, wenn die Software nicht auf dem neusten Stand ist, können im schlechtesten Fall trotz VPN-Tunnel schadhafte Dateien ins Firmen-Netzwerk gelangen. Deshalb gilt: Dateien am besten gar nicht auf dem Privatrechner ablegen oder mit privaten Programmen öffnen.

Sicheres Zusammenarbeiten

Deshalb schließt sich die Frage an: Ist es dem Mitarbeiter im Homeoffice überhaupt möglich, die Daten sicher im Firmennetzwerk zu nutzen und abzulegen? Im besten Fall arbeitet er direkt per Remote in der firmeneigenen Cloud-Lösung und nutzt für die Zusammenarbeit mit den Kollegen ein abhörsicheres Konferenzsystem. Denn auf diese Weise laufen die Daten gar nicht erst Gefahr, außerhalb des Netzwerks verarbeitet oder versendet werden zu müssen. Ein weiterer Vorteil: Alle Ergebnisse sind sofort auch am richtigen Ort gespeichert, stehen allen Zugriffsberechtigten zur Verfügung und gehen nicht verloren, wenn die lokale Festplatte einen Defekt hat. Liegt im Unternehmen ein entsprechendes Datensicherheitskonzept vor, ist somit auch das Backup aus dem Homeoffice gleich geregelt.

Remote-Desktop-Steuerung

Wenn Remote-Desktop-Steuerung zum Einsatz kommt – also das Steuern des Büro-Computers aus der Ferne – stellt sich die Frage: Können Hacker das auch? Dabei ist zu unterscheiden, welche Form verwendet wird. Bei Remote-Desktop-Anbietern wie TeamViewer oder AnyDesk erhält der Nutzer über ein selbst gewähltes Passwort Zugang zum Firmen-PC. Der Konfigurationsaufwand ist vergleichsweise gering, da die benötigten Ports in den meisten Firewalls bereits freigegeben sind, sodass die Installation der Client-Software ausreicht. Weiter zu bedenken: Ein Anwender am Büro-Computer kann jede Aktion mitverfolgen und unterbinden – das macht das Bemerken eines Sicherheitsvorfalls einfacher, könnte in einem Großraumbüro allerdings problematisch werden. Darüber hinaus ist auch der Übertragungsstandard relevant. Zu empfehlen ist hier der Standard TLS 1.2, der auch beim Online-Banking zum Einsatz kommt. Dieser wird auch bei unserer Homeoffice-Lösung HomeGuard verwendet.

Bei Microsofts Remote Desktop Protokoll (RDP) hingegen wird eine eigene Session am Büro-Computer aufgebaut. Ist dieser eingeschaltet, kann man sich aus der Ferne anmelden, ohne dass ein zweiter Anwender am selben Rechner die Remote-Verbindung mitbekommt. Allerdings gab es in der vergangenen Zeit vermehrt Hinweise auf die Unsicherheit dieses Protokolls. Kurz gesagt, sollte daher für einen sicheren Einsatz kein RDP über das Internet ohne zusätzlichen VPN-Tunnel genutzt werden. Öffnet man stattdessen den benötigten Port in der Firewall direkt, können Hacker per sogenannter Brute-Force-Attacke in kürzester Zeit die Zugangsdaten berechnen und sich erfolgreich am System anmelden. Der Verzicht auf Drittanbieter, denen man im ersten Fall sein Vertrauen schenken muss, hat damit einen erhöhten Konfigurationsaufwand mit potentiellen Sicherheitsrisiken zur Folge und sollte nur von geschultem Personal durchgeführt werden.

Datenlöschung

Ist es möglich, Dateien, die möglicherweise doch kurzfristig auf Privatrechnern gelandet sind, nach der Homeoffice-Phase rückstandslos zu entfernen? Ein einfaches Verschieben in den Papierkorb ist hierbei nicht ausreichend – eine spezielle Lösch-Software muss her. In diesem Zusammenhang ist es sowieso ratsam, zu überdenken: Ist das Lösch- und Sperr-Management von Firmendaten im Allgemeinen eigentlich noch zeitgemäß? Und wird es wie geplant umgesetzt? Gibt es eine Lösch-Routine gerade hinsichtlich der Aufbewahrungsfristen?

Mobile Device Management

Sollte nicht nur BYOD, sondern generell die Verwaltung von Mobilgeräten zum Dauerthema werden: Lohnt es sich, ein Mobile Device Management (MDM) einrichten zu lassen? Mit diesem System können mobile Geräte von Laptop über Smartphone bis hin zu Tablets zentral und sicher verwaltet werden.

Menschliche Firewall

Der Anwender ist nach wie vor ein wichtiger Faktor in der Datensicherheit, deshalb stellen sich gerade auch im Homeoffice die Fragen: Sind die Mitarbeiter für Phishing-Mails und andere mögliche Cybercrime-Attacken so sensibilisiert, dass sie nicht versehentlich das Tor in das Firmen-Netzwerk öffnen? Gehen sie im Homeoffice behutsam mit sogenannten „lauschenden Assistenten“ um, also schalten sie diese zum Arbeiten aus? Senden sie keine beruflichen E-Mails an private Konten? Werden Zugänge mittels Passwortmanager gesichert? Eine regelmäßige Schulung oder aktualisierte Handreichungen sind an dieser Stelle von hoher Bedeutung.

Chance für neue Lösungen

Auch wenn durch die Corona-Krise plötzlich Mitarbeiter ins Homeoffice wechseln mussten, um arbeitsfähig zu bleiben und dabei eventuell Faktoren der Datensicherheit außer Acht gelassen worden sind, stellt dies auch eine Chance dar, Arbeitsabläufe zu verbessern. Durch die Arbeit im Homeoffice wird klar, welche IT-Lösungen bisher gefehlt haben und nun implementiert werden sollten.