IT-Sicherheit für das Arbeiten zuhause

10 goldene Regeln für ein sicheres Home Office

Dr. Falk Herrmann, CEO von Rohde & Schwarz Cybersecurity

Die Anbindung des Heimarbeitsplatzes erfolgte in den meisten Unternehmen von jetzt auf gleich, also ohne die erforderlichen Vorbereitungen. Videokonferenzen, Cloud-Anwendungen und mobile Endgeräte bieten zwar eine enorme Erleichterung für die dezentrale Zusammenarbeit. Doch eröffnen sich für Cyberkriminelle durch diese Infrastrukturen auch neue Angriffspunkte. Hinzu kommen zigtausende veralteter Computer, ungesicherter Router und schlecht geschützter WLAN-Verbindungen, die mit einem Mal Zugang zu den sensiblen Daten von Unternehmen bieten. Wie aber können Unternehmen unter diesen Bedingungen die Heimarbeitsplätze ihrer Mitarbeiter trotzdem erfolgreich vor Hackerangriffen schützen? Dies zeigen die folgenden 10 goldenen Regeln: 

RSCS-Desktop Security
RSCS-Desktop Security
Quelle: Rohde & Schwarz Cybersecurity
  1. Alle Mitarbeiter, die an das Unternehmensnetzwerk angebunden sind, sollten verbindliche und eindeutige Regelungen für den Schutz der IT und der Daten im Unternehmen erhalten – und zwar schriftlich. 
  2. Endgeräte vor Angriffen aus dem Internet schützen. Der aktuelle Informationsbedarf in der Corona-Krise wird verstärkt von Hackern ausgenutzt. Über gefälschte Webseiten, Emails oder Grafiken, die aus scheinbar vertrauensvollen Quellen stammen, wird Malware auf Rechner geschleust. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt Bürger und Unternehmen vor der Zunahme solcher Angriffe. Der beste Schutz vor Angriffen aus dem Internet ist ein virtueller Browser, den das BSI entwickeln ließ. Kommt dieser zum Einsatz haben Cyber-Kriminelle keine Chance. Mehr dazu im Infokasten „Sicheres Browsen“. 
  3. Daten auf den Endgeräten schützen. Vor allem Organisationen mit hohen Sicherheitsanforderungen sollten die Endgeräte ihrer Mitarbeiter mit einer Festplattenverschlüsselung ausstatten. Nur berechtigte Nutzer können dann per Multi-Faktor-Authentifizierung ihre Daten und das Betriebssystem nutzen. Geht das Gerät verloren oder wird es gestohlen, ist es für Dritte nicht möglich, auf die Daten zuzugreifen.  
  4. Grundlegende Sicherheitsmaßnahmen. Der Arbeitsplatz in den eigenen vier Wänden sollte physisch gesichert werden, indem Türen verschlossen und Bildschirme gesperrt werden. Empfehlenswert ist zudem, die Webcam am Rechner oder Laptop abzudecken, wenn diese nicht benötigt wird, sowie bei Nichtgebrauch das Mikrofon auszuschalten, um mögliche Spionageattacken ins Leere laufen zu lassen.  
  5. Heimische WLAN-Verbindung absichern. Das Standard-Administrator-Passwort sollte durch ein neues, starkes Passwort ersetzt und die WPA2-Verschlüsselung aktiviert wird.  
  6. Betriebssysteme, Webanwendungen und Apps aktualisieren. Alle IT-Technologien eines Unternehmens müssen auf dem aktuellsten Stand sein – das ist ein wesentlicher Schutz vor Hackern. Alle Mitarbeiter sollten daher regelmäßig Updates ausführen und mit der neuesten Systemversion arbeiten. 
  7. Vorsicht vor Betrügern. Angreifer täuschen und tricksen, um an Passwörter, Bankverbindungen oder Zugangsinformationen zu gelangen. Beispielsweise versenden sie täuschend echt wirkende E-Mails. Neben Phishing gilt aber auch Vorsicht bei Anrufen, SMS, Social-Media-Inhalten und gefälschten Nachrichten, die über Messenger verbreitet werden. Dieses sogenannte Social Engineering stellt in Zeiten dramatischer Veränderungen eines der größten Risiken im Home Office dar. 
  8. Unternehmen sollten sichere Kommunikationskanäle nutzen, um die Tablets, Smartphones oder PCs der Mitarbeiter im Home Office an das Unternehmensnetzwerk anzubinden. Empfehlenswert sind Virtual Private Networks (VPN). Sie bauen über einen „gesicherten Tunnel“ Verbindungen zwischen dem Endgerät und dem Unternehmensnetz auf.  
  9. Starke Passwörter nutzen. Passwörter schützen Anwendungen vor unberechtigtem Zugriff. Je komplexer und eindeutiger Passwörter sind, desto schwerer sind sie zu knacken. Eine Multi-Faktor-Authentifizierung beispielsweise unter Einsatz von PIN, Fingerabdruck oder Passwort bietet ergänzend Schutz vor dem Zugriff unbefugter Dritter. Mehr dazu im Infokasten „Sichere Passwörter“. 
  10.  Daten in der Cloud schützen. Für das dezentrale Arbeiten sind Cloud-Anwendungen und Collaboration-Dienste ideal. Doch die Schutzmechanismen der Cloud-Anbieter entsprechen meist nicht den Sicherheitsanforderungen vieler Unternehmen. Es drohen Datenspionage und Compliance-Verletzungen. Die Lösung ist ein datenzentrischer Schutz: Dabei werden Platzhalter in die Cloud eingestellt, die nur Metadaten enthalten, die für Kollaboration und Workflows notwendig sind. Die schützenswerten Nutzdaten werden fragmentiert im Unternehmensnetzwerk oder an einem anderen Ort abgelegt.

Infokasten „sicheres Browsen“

Die meisten Hackerangriffe gelangen über das Internet auf Rechner und in Unternehmensnetzwerke. Damit es für Mitarbeiter möglich ist, sicher zu surfen, hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) gemeinsam mit dem IT-Sicherheitsunternehmen Rohde & Schwarz Cybersecurity den R&S®Browser in the Box entwickelt. Der Nutzer arbeitet darin mit einer vom Betriebssystem separierten Maschine. Er bewegt sich sozusagen in einer virtuellen „Surfumgebung“. Der Vorteil: Anstatt – wie bei Antivirenprogrammen – Schadcodes zu erkennen, werden alle potenziell gefährlichen Aktivitäten in diesem virtuellen Browser isoliert. Jeder Browserstart beseitigt die Schädlinge und versetzt den Browser in seinen Ausgangszustand. Die konsequenteste Netzwerktrennung erreicht man mit einer vollvirtualisierten Surfumgebung. 

Weitere Informationen: http://rohde-schwarz.com/cybersecurity/browser-in-the-box  

Infokasten „sichere Passwörter“

Passwörter schützen die digitale Infrastruktur eines Unternehmens vor dem Zugriff unbefugter Personen. Je stärker ein Passwort ist, desto besser ist sein Schutz. Gute Passwörter sind beispielsweise so genannte Passphrasen, wie „Wir verschlüsseln Datenträger!“ oder „keine-Zellen-in-Excel-verbinden“. Solche Sätze sind leicht zu merken und zu tippen, aber schwierig zu knacken. Ergänzt werden sollten sie um Symbole, Zahlen oder Großbuchstaben.  

Jede Anwendung sollte mit einem eigenen Passwort geschützt werden. Andernfalls muss ein Angreifer lediglich eine Anwendung erfolgreich kompromittieren, um sich bei weiteren Konten erfolgreich anzumelden. Auf haveibeenpwned.com kann man übrigens überprüfen, ob dies bereits geschehen ist.  

Um nicht den Überblick zu verlieren, ist es hilfreich, einen Passwort-Manager zu nutzen. Das Programm speichert die Passwörter in einer Art Tresor – im Bedarfsfall kann man sie dort leicht wieder abrufen. Einen Passwortmanager schützt man am besten mit einer starken Passphrase sowie einer zweistufigen Verifizierung.


Rohde & Schwarz Cybersecurity

Rohde & Schwarz Cybersecurity ist ein führendes IT-Sicherheitsunternehmen, das digitale Informationen und Geschäftsprozesse von Unternehmen und öffentlichen Institutionen weltweit vor Cyberangriffen schützt. Der IT-Sicherheitsexperte bietet innovative Datensicherheitslösungen für Cloud-Umgebungen, erweiterte Sicherheit für Websites, Webanwendungen und Webservices sowie Netzwerkverschlüsselung, Desktop- und Mobile-Security. Die vertrauenswürdigen Sicherheitslösungen werden nach dem Security-by-Design-Ansatz entwickelt und verhindern Cyberangriffe proaktiv.  

Rohde & Schwarz

Rohde & Schwarz ist ein führender Lösungsanbieter in den Geschäftsfeldern Messtechnik, Broadcast- und Medientechnik, Aerospace | Verteidigung | Sicherheit sowie Netzwerke und Cybersicherheit. Mit seinen innovativen Produkten der Kommunikations-, Informations- und Sicherheitstechnik unterstützt der Technologiekonzern professionelle Anwender aus Wirtschaft und hoheitlichem Sektor beim Aufbau einer sicheren und vernetzten Welt. Zum 30. Juni 2019 betrug die Zahl der Mitarbeiterinnen und Mitarbeiter 12.100. Der unabhängige Konzern erwirtschaftete im Geschäftsjahr 2018/2019 (Juli bis Juni) einen Umsatz von 2,14 Milliarden Euro. Der Firmensitz ist München. Das internationale Geschäft wird in mehr als 70 Ländern über Tochterfirmen betrieben. In Asien und Amerika steuern regionale Hubs die Geschäfte.

R&S® ist eine eingetragene Marke der Rohde & Schwarz GmbH & Co.KG.

Anbieter

Logo: Rohde & Schwarz Cybersecurity GmbH

Rohde & Schwarz Cybersecurity GmbH

Mühldorfstraße 15
81671 München
Deutschland

Verwandte Artikel

Rohde & Schwarz Cybersecurity forscht an Verschlüsselungsprojekten der nächsten Generation

Rohde & Schwarz Cybersecurity forscht an Verschlüsselungsprojekten der nächsten Generation

Quantencomputer versprechen die Grenzen der Recheneffizienz stark zu erweitern und damit Probleme zu lösen, mit denen heutige Systeme überfordert sind. Gleichzeitig könnten diese zukünftig sämtliche derzeit gängigen...

Teams Express Solution von Rohde & Schwarz Cybersecurity bietet innerhalb von 24 Stunden komplette Datenkontrolle in Microsoft® Teams™

Teams Express Solution von Rohde & Schwarz Cybersecurity bietet innerhalb von 24 Stunden komplette Datenkontrolle in Microsoft® Teams™

Da aufgrund der aktuellen Situation ein Großteil der Nutzer im Home Office arbeitet, haben viele Behörden und Unternehmen innerhalb von kürzester Zeit auf Microsoft® Teams™ umgestellt. Um Organisationen, die dabei Sicherheitsbedenken haben, zu...

Stephan Klokow, Direktor DPI bei Rohde & Schwarz, in Vorstand des Cluster IT Mitteldeutschland e.V. gewählt

Stephan Klokow, Direktor DPI bei Rohde & Schwarz, in Vorstand des Cluster IT Mitteldeutschland e.V. gewählt

Die Teilnehmer der Mitgliederversammlung des Branchennetzwerkes Cluster IT Mitteldeutschland e.V. wählten Stephan Klokow am 18. Mai zum Vorstand. Er wird künftig den Arbeitskreis „IT-Sicherheit“ unterstützen und die Aktivitäten des Vereins...

:

Photo

Erreichbarkeit durch die Polizei

Die staatlichen Organe zur Gewährleistung der öffentlichen Sicherheit und Ordnung und hier insbesondere die Landespolizeien sind ein wichtiger Teilbereich der Daseinsvorsorge. Im Rahmen des…