Homeoffice – jetzt sicher machen

Dass die Einführung von Homeoffice aus sicherheitstechnischer Sicht bei vielen Firmen nicht optimal verlaufen ist, liegt in der Natur der Sache. Technisch wurden verschiedenste Ad Hoc Lösungen eingeführt. Wo Homeoffice vorher nicht praktiziert wurde, fehlen wohl auf die notwendigen organisatorischen Massnahmen. Sicherheitsvorgaben wurden, wo vorhanden, temporär ausser Kraft gesetzt, wenn sie Homeoffice behinderten.

Die wenigsten IT-Verantwortlichen werden sich eines ruhigen Schlafes erfreuen und sind sich darüber im Klaren, dass einiges an Arbeit auf sie wartet. Zuerst einmal ist zu klären, ob

a) die Möglichkeit im Homeoffice zu arbeiten wieder zurückgebaut werden soll
b) Homeoffice bestehen bleiben soll und auf ein stabiles Fundament gestellt werden soll

Variante a) scheint, angesichts der aus allen Ecken euphorisch gemeldeten positiven Erfahrungen, die unwahrscheinlichere Option zu sein, auch wenn gewisse Ernüchterungen dann wohl schon noch kommen werden.

Die Überführung der Ad Hoc Lösung in einen geordneten Betrieb steht somit bei vielen auf der To Do Liste ziemlich weit oben.

In diesem Blog wollen wir ein paar Tipps geben, worauf zu achten ist und wo die Stolpersteine liegen können.

Mögliche Gefahren

Durch den Einsatz von IT-Arbeitsplätzen im Homeoffice stehen diese plötzlich ausserhalb des in der Regel gut geschützten Firmennetzwerkes. Dadurch sind sie weniger gut geschützt und können leichter Ziele von direkten Angriffen sein.

Cyber Kriminelle nutzen die aktuelle Unsicherheit vieler, um mit Corona-spezifischen Phishing Angriffen Schadsoftware zu verteilen. Da zum Teil auch von offiziellen Stellen mit aussergewöhnlichen E-Mails gerechnet werden muss, ist das sonst ausgeprägte Misstrauen jetzt viel schwächer.

Im Homeoffice sind gewisse Funktionen wie das Drucken aus Sicherheitsgründen gesperrt oder technisch nicht möglich. Aus Erfahrung weiss man, dass die Benutzer in solchen Fällen einen Plan B entwickeln und sich z.B. die Firmendokumente auf das private E-Mail Konto schicken oder diese aus dem Firmenwebmail auf dem privaten Rechner öffnen, um sie dann auf dem privaten Drucker zu drucken. Oder sie packen ihre gesamten Dokumente auf einen USB-Stick und nehmen sie so mit nach Hause. So landen vertrauliche Dokumente plötzlich an Orten, wo sie definitiv nicht hingehören.

Technische Aspekte

Geräte

Arbeiten von extern sollten grundsätzlich nur mit firmeneigenen Geräten erfolgen. Diese können durch die Firma kontrolliert werden und erlauben es, Sicherheitsvorgaben auch technisch durchzusetzen. Bei Neubeschaffungen kann es sich daher lohnen, auf Notebooks zu setzen. Zusammen mit einem USB-C Port Replikator kann ein komfortabler Büroarbeitsplatz realisiert werden, das mobile Gerät kann bei Bedarf einfach mit ins Homeoffice genommen werden.

Wenn Geräte, welche Daten enthalten, die Firma verlassen, sollten diese immer verschlüsselt werden, so dass die Daten im Falle eines Verlustes oder Diebstahls vor unbefugtem Zugriff geschützt sind. Das ist mit Boardmitteln mit minimalem Aufwand realisierbar (siehe Blog Beitrag).

Remote Access

Da in den meisten Fällen ein Zugriff auf Server im Firmennetzwerk notwendig ist, braucht es eine sichere Verbindung vom mobilen Gerät ins Firmennetzwerk. Hier sollte auf ein Client VPN gesetzt werden. Welches verwendet wird, hängt von der eingesetzten Netzwerkinfrastruktur ab. Der VPN Zugang sollte auf jeden Fall mit einem zweiten Authentifizierungsfaktor geschützt werden. Zudem sollte der sogenannte ‘force tunnel’ Modus verwendet werden, damit auch der Internetverkehr vom Homeoffice Computer über den Internetzugang im Firmennetzwerk läuft. Dort sind in den meisten Fällen Schutzeinrichtungen gegen Spam, Phising Mails und Malware im Einsatz.

Einsatz privater Geräte mit VDI

Will man dennoch auf private Geräte setzen, kommt eigentlich nur eine VDI (virtual desktop infrastructure) Lösung in Frage. Dabei werden im Firmennetzwerk virtuelle Desktops bereitgestellt. Das private Gerät dient dann lediglich als Terminal mit Bildschirm, Tastatur und Maus. Alle benötigten Programme sind auf dem virtuellen Desktop installiert und der Zugriff auf Firmendaten erfolgt immer aus dem internen Netzwerk. Die Daten verlassen so die Firma nur in der Form von Bildinformation auf dem Bildschirm. Um die Sicherheit zu gewährleisten muss die VDI Umgebung restriktiv konfiguriert werden. So darf kein Copy/Paste zwischen dem virtuellen Desktop und dem privaten Gerät möglich sein. Ebenfalls muss der Zugriff auf lokale Speicher und Geräte (Drucker) unterbunden werden. Zu beachten ist, dass die Sicherheit nicht gewährleistet ist, wenn ein Spionagetrojaner auf dem privaten Gerät läuft. Dieser kann dann Eingaben über die Tastatur sowie Bildschirminhalte mitlesen.

Auch bei der VDI Lösung ist eine starke Authentifizierung mit einem zweiten Faktor zwingend. Ansonsten könnten Angreifer mit aus einer Phising Attacke gestohlen Zugangsdaten sehr einfach Zugriff auf den virtuellen Arbeitsplatz und somit auf Programme und Dateien der Firma erlangen. Erfahrungen aus realen Tests zeigen, dass ca. 1/3 der Mitarbeitenden auf eine einigermassen gut gemachte Phising Kampagne hereinfallen und ihre Zugangsdaten preisgeben.

Drucken

Drucken ist ein ganz heikles Thema. Wie soll man etwas ausdrucken, wenn man im Homeoffice sitzt? Da gibt es leider keine sichere Lösung. Darum wenn immer möglich auf Papier verzichten.

 

Organisatorische Aspekte

Offene Fragen

Für das Arbeiten im Homeoffice braucht es organisatorische Vorgaben. Nebst arbeitsrechtlichen Aspekten sollten darin auch sicherheitstechnische Aspekte behandelt werden. Folgende Punkte sollten für diese Vorgaben geklärt werden:

  • Gibt es rechtliche Einschränkungen, welche Auswirkungen auf das Arbeiten ausserhalb des Betriebes haben (insbesondere, wenn Landesgrenzen zwischen Büro und Homeoffice liegen)?
  • Welche Anforderungen werden an einen Arbeitsplatz im Homeoffice gestellt (Vertraulichkeit, ungestörtes Arbeiten, …)?
  • Umfasst Homeoffice auch externes Arbeiten an anderen Orten (ÖV, Hotel, Ferienhaus, …)?
  • Wie werden Kommunikation und Erreichbarkeit sichergestellt?
  • Wie wird der soziale Kontakt innerhalb der Teams sichergestellt?
  • Welche Anforderungen werden an private Geräte gestellt, sofern diese eingesetzt werden?
  • Welche Daten dürfen aus dem Homeoffice bearbeitet werden und welche nicht?
  • Wie soll das Drucken geregelt werden?
  • Wie können die Vorgaben kontrolliert, bzw. durchgesetzt werden?

Vorgaben

Wenn diese Fragen beantwortet sind, sollte ein für Mitarbeitende verbindliches Reglement für Homeoffice (oder externes Arbeiten) erstellt werden. Dieses definiert, wie von ausserhalb des Firmenarbeitsplatzes gearbeitet werden kann und darf. Achten Sie darauf, dass diese Vorgaben auch praxistauglich sind und alle Geschäftsfälle abdecken. Andernfalls müssen Sie damit rechnen, dass Ihre Mitarbeitenden technische Massnahmen versuchen zu umgehen oder Vorgaben nicht einhalten, damit sie ihre Aufgaben (effizient) erledigen können.

Kontrolle

Gerade im Homeoffice ist eine Kontrolle vor Ort unrealistisch und die soziale Kontrolle durch Arbeitskollegen fehlt. Es ist daher eine gute Idee, die Mitarbeiter im Homeoffice eine Vereinbarung unterzeichnen zu lassen, die klar festhält, welche Regeln gelten, wie deren Einhaltung überwacht wird und welche Sanktionen bei Verstössen drohen.

Thomas Gusset

Über den Autor

Thomas Gusset

Thomas Gusset hat über 25 Jahre Erfahrung in Netzwerksicherheit und ist CEO & CTO der NetSec.co AG

Cookieinformation

Diese Seite verwendet Cookies. Details siehe Datenschutzerklärung.

 

Cookies akzeptieren

Back to top