Sicherheit geht vor im Homeoffice

18.
Mrz
2020
Corona, Homeoffice, Notfall, Passwort, Sicherheit, Zwei-Faktor-Authentifizierung

Technologie allein kann Sie nicht vollständig schützen – Sie sind Ihre beste Verteidigung.
Wenn Sie Ihren gesunden Menschenverstand einsetzen, können Sie viele Angriffe erkennen und stoppen.

Überlegungen zu einem ​Leitfaden für das Arbeiten im Homeoffice.

Als Folge des Coronavirus (COVID-19) sind immer mehr Unternehmen gezwungen, ihre Mitarbeiter vom Homeoffice aus arbeiten zu lassen. Das ist wichtig und richtig. Aber die Arbeit im Homeoffice kann aus Sicht der IT-Security eine Herausforderung sein! Nicht alle Unternehmen waren darauf vorbereitet und haben die Maßnahmen in kurzer Zeit umsetzen müssen. Vielfach mangelt es aber auch am Verständnis für die Regeln, Technologien und dem notwendigen Training zur Sicherung der Heimarbeitsplätze und Remotezugänge. Darüber hinaus fühlen sich auch nicht alle Mitarbeiter in dieser Situation wohl, da Sie möglicherweise mit der Idee, von zu Hause aus zu arbeiten, nicht vertraut sind.

Handbuch für den Notfall

Im Idealfall nehmen Sie das fertige Handbuch für den Notfall aus Ihrer Schublade und setzen das definierte Konzept nun praktisch um. In der Realität wird es aber wohl so sein, dass Ihnen nun siedend heiß einfällt, dass das Thema “Notfall” ein Punkt auf Ihrer ToDo Liste war, den Sie schon seit Längerem einmal angehen wollten, aber immer wieder “wichtigere Dinge” dazwischen kamen. Anyway – nun müssen Sie ohne fertiges Konzept zumindest das Grundmaß an Sicherheit für Ihr Unternehmen aufrecht erhalten.

Da Ihre Belegschaft in diesen Zeiten ohnehin viel Stress und Veränderungen durchmacht, empfehlen wir Ihnen, sich bei Ihrem Leitfaden für das Arbeiten im Homeoffice nur auf die die wichtigsten Risiken die, die größten Auswirkungen haben werden, zu beschränken. Wenn Sie weitere Risiken oder Themen hinzufügen möchten, so können Sie das selbstverständlich tun.

Bedenken Sie jedoch:

Je mehr Verhaltensweisen, Prozesse oder Technologien Sie von Ihren Arbeitskräften aktuell einfordern,
desto geringer ist die Wahrscheinlichkeit, dass sie auch alle umsetzen können.

Konzept

Bevor Sie mit Ihrem Leitfaden für das Arbeiten im Homeoffice beginnen, müssen Sie sich zuerst mit Ihrem Sicherheitsteam koordinieren, um ein grundlegendes Verständnis dafür zu erlangen, welche Hauptrisiken Sie bewältigen müssen.
Wir legen Ihnen in diesem Artikel dar, was aus unserer Sicht die wichtigsten und häufigsten Risiken für eine zu Hause arbeitende Belegschaft sind. Aber Ihre Risiken können durchaus anders sein.

Jedoch vorab ein Wort der Vorsicht: Ein häufiger Fehler, den Sicherheitsteams machen ist der Versuch, alle Risiken beherrschen zu wollen und die Menschen mit zahlreichen Richtlinien und Anforderungen zu überfordern.

Versuchen Sie die Risiken, denen Sie sich widmen werden, auf so wenig wie möglich zu beschränken. Haben Sie die Risiken identifiziert und priorisiert, so definieren Sie die Verhaltensweisen, mit denen diese Risiken bewältigt werden können.
Arbeiten Sie im Anschluss mit Ihrem Kommunikationsteam zusammen, um Ihre Mitarbeiter in diese Verhaltensweisen einzubeziehen und zu schulen.
Die effektivste Sensibilisierung für Ihr Sicherheitsprogramm können Sie z.B. dadurch erreichen, indem sie betonen, dass dieser Leitfaden nicht nur den Arbeitsplatz sichert, sondern auch Zuhause die Cybersicherheit der Familie unterstützt.

Letztendlich versuchen Sie durch die Zusammenarbeit dieser beiden Teams, Sicherheit dadurch zu erreichen, dass Sie die Anforderungen so einfach wie möglich für Ihre Belegschaft gestalten und Ihre Mitarbeiter dazu motivieren, die notwendigen Änderungen in Ihrem Verhalten umzusetzen.

Sinnvoll wäre es, ein Team aus Schlüsselpersonen zu schaffen, deren Feedback und Input in die Einführung und Umsetzung des Leitfaden für das Arbeiten im Homeoffice mit einfließt. Neben Ihrem Sicherheits- und Kommunikationsteam kann es auch andere Abteilungen geben, mit denen Sie vielleicht zusammenarbeiten und sich koordinieren möchten bzw. müssen, wie z.B. die Bereiche Personalwesen und Recht.

Neben der Kommunikation mit Ihren Mitarbeitern und deren Schulung empfehlen wir auch die Nutzung von Technologien wie z.B. Chat oder Foren, in denen Sie die Fragen der Leute beantworten können, vorzugsweise in Echtzeit.
Eine weitere Möglichkeit ist das Hosten eines Sicherheits-Webcasts, den Sie mehrmals in der Woche wiederholen, damit die Leute eine für sie optimale Zeit wählen und teilnehmen können, die Veranstaltung live miterleben und vielleicht sogar Fragen stellen. Das Ziel ist, dass Sie das sperrige Thema Sicherheit so zugänglich wie möglich machen und den Menschen bei ihren Fragen helfen. Wenn Sie derartige Kommunikationskanäle wirksam nutzen wollen, so denken Sie daran, dass Sie ausreichend Ressource für alle Sicherheitskanäle zur Verfügung stellen, so dass diese moderiert werden und aktiv auf Anfragen reagiert wird.

Dies ist eine fantastische Gelegenheit, Ihre Belegschaft zu engagieren
und dem leidigen aber notwendigen Thema Sicherheit ein freundliches Gesicht zu geben.

Versuchen Sie, diesen Vorteil zu nutzen!

Risiken

Die sichere Nutzung von Technologie kann mitunter überwältigend und verwirrend erscheinen. Vor einigen Jahren war es noch einfach, ein cybersicheres Zuhause zu schaffen; die meisten Häuser bestanden aus nichts weiter als einem drahtlosen Netzwerk und mehreren Computern. Heute ist die Technologie weitaus komplexer geworden und in jeden Teil unseres Lebens integriert – von mobilen Geräten und Spielkonsolen bis hin zu Ihrem Kühlschrank oder Thermostat.

Unabhängig davon, welche Technologie Sie verwenden oder wie Sie sie einsetzen, hier sind einfache Schritte, die Ihnen helfen, sicher zu bleiben.

Updates

Stellen Sie sicher, dass auf jedem Ihrer Computer, Mobilgeräte, Programme und Anwendungen die neueste Version der Software ausgeführt wird.

Cyber-Angreifer sind ständig auf der Suche nach neuen Schwachstellen in der Software, die Ihre Geräte verwenden. Wenn sie Schwachstellen entdecken, nutzen sie spezielle Programme aus, um diese auszunutzen und sich in die von Ihnen verwendeten Geräte zu hacken. In der Zwischenzeit arbeiten die Unternehmen, die die Software für diese Geräte entwickelt haben, hart daran, die Schwachstellen durch die Veröffentlichung von Updates zu beheben.

Indem Sie sicherstellen, dass Ihre Computer und mobilen Geräte diese Updates umgehend installieren, machen Sie es für jemanden viel schwieriger, sich in sie zu hacken.

Um auf dem neuesten Stand zu bleiben, aktivieren Sie einfach die automatische Aktualisierung, wann immer dies möglich ist. Diese Regel gilt für fast jede Technologie, die mit einem Netzwerk verbunden ist, einschließlich internetfähiger Fernseher, Babyphone, Sicherheitskameras, Heimrouter, Spielkonsolen und sogar Ihr Auto.

WLAN

Fast jedes Heimnetzwerk beginnt mit einem drahtlosen Netzwerk, Ihrem WLAN.

Über dieses Netzwerk können alle Ihre Geräte eine Verbindung zum Internet herstellen. Die meisten drahtlosen Heimnetzwerke werden von Ihrem Internet-Router oder einem separaten, dedizierten drahtlosen Zugangspunkt gesteuert. Beide funktionieren auf die gleiche Weise: durch die Übertragung von drahtlosen Signalen. Die Geräte in Ihrem Haus können dann über diese Signale eine Verbindung herstellen.

Das bedeutet, dass die Sicherung Ihres drahtlosen Netzwerks ein wichtiger Teil des Schutzes Ihres Hauses ist.

Wir empfehlen die folgenden Schritte, um es zu sichern:

 

  • Default Administrator Passwort ändern
  • Ändern Sie das Standard-Administrator-Kennwort für Ihren Internet-Router oder drahtlosen Zugangspunkt. Mit dem Administratorkonto können Sie die Einstellungen für Ihr drahtloses Netzwerk konfigurieren.

  • Starke Verschlüsselung
  • Stellen Sie sicher, dass nur Personen, denen Sie vertrauen, eine Verbindung zu Ihrem Drahtlosnetzwerk herstellen können. Aktivieren Sie dazu starke Sicherheitsvorkehrungen. Derzeit ist die beste Option die Verwendung des Sicherheitsmechanismus WPA2. Durch die Aktivierung dieses Mechanismus wird ein Kennwort benötigt, damit sich die Personen mit Ihrem Heimnetzwerk verbinden können, und sobald die Verbindung hergestellt ist, werden ihre Online-Aktivitäten verschlüsselt.

  • Starkes Passwort
  • Stellen Sie sicher, dass das Passwort, das für die Verbindung zu Ihrem drahtlosen Netzwerk verwendet wird, stark ist und sich vom Administrator-Passwort unterscheidet. Denken Sie daran, dass Sie das Passwort nur einmal für jedes Ihrer Geräte eingeben müssen, da diese das Passwort speichern und sich daran erinnern.

  • Gastnetzwerk
  • Viele drahtlose Netzwerke unterstützen das so genannte Gastnetzwerk. Dies ermöglicht Besuchern den Zugang zum Internet, schützt aber Ihr Heimnetzwerk, da sie keine Verbindung zu anderen Geräten in Ihrem Heimnetzwerk herstellen können. Wenn Sie ein Gastnetzwerk hinzufügen, stellen Sie sicher, dass WPA2 und ein eindeutiges Kennwort für das Netzwerk aktiviert sind.

Geräte

Der nächste Schritt besteht darin, zu wissen, welche Geräte mit Ihrem drahtlosen Heimnetzwerk verbunden sind.

Das war früher noch einfach, da Sie meist nur einen oder zwei Computer hatten. Heute kann jedoch fast jedes moderne Gerät mit Ihrem Heimnetzwerk verbunden werden, einschließlich Ihrer Smartphones, Fernseher, Spielkonsolen, Webcam, Babyphone, Steckdosen, Lautsprecher oder vielleicht sogar Ihr Kühlschrank oder Ihr Auto – um nur die bekannten und offensichtlichen Möglichkeiten zu nennen.

Stellen Sie sicher, dass jedes einzelne Gerät sicher ist.

Am besten stellen Sie sicher, dass Sie die automatische Aktualisierung auf diesen Geräten aktiviert haben, wo immer dies möglich ist.

Cyber-Angreifer finden ständig neue Schwachstellen in verschiedenen Geräten und Betriebssystemen. Durch die Aktivierung automatischer Updates laufen auf Ihrem Computer und Ihren Geräten immer die aktuellste Software, was es für jedermann viel schwieriger macht, sich in sie zu hacken.

Backup & Restore

Egal, wie vorsichtig Sie sind, Sie können immer noch gehackt werden. Wenn dies der Fall ist, ist oft die einzige Möglichkeit, Ihre gesamten persönlichen Daten wiederherzustellen, die vorhandene und aktuelle Backup-Sicherung.

Stellen Sie sicher, dass Sie regelmäßig Sicherungskopien aller wichtigen Informationen erstellen.

überprüfen Sie, ob Sie Ihre Daten daraus wiederherstellen können

Viele Daten sind letztendlich dann doch verloren gegangen, da sie zwar bequem und fehlerfrei gesichert werden konnten, jedoch der zweite – und an sich wichtigere – Teil der Sicherung nicht überprüft wurde. Machen Sie sich damit vertraut, wie Sie eine Datensicherung auch wiederherstellen können.

Die meisten Betriebssysteme und mobilen Geräte unterstützen automatische Backups, entweder auf externe Laufwerke oder in die Cloud.

Passwörter & Passphrases:

Der nächste Schritt ist die Verwendung eines starken, einzigartigen Passworts für jedes Ihrer Geräte und Online-Konten.

Die entscheidenden Schlüsselwörter in dieser Aussage sind: stark und einzigartig!

Auf Basis moderner Geräte und deren Rechengeschwindigkeit hat ein aus sechs bis acht Zeichen bestehendes Passwort längst ausgedient, da es veraltet und verwundbar ist. Auch komplexe Passwörtern, die schwer zu merken und schwer einzugeben sind, sind nicht mehr das Maß der Dinge. Und die Idee, ein an sich gutes, da komplexes Passwort in einem festen Zeitzyklus regelmäßig zu ändern, hat sich auch als kontraproduktiv erwiesen.

Verwenden Sie heutzutage stattdessen eine lange und eindeutige Passphrase. Eine Passphrase ist eine Art von Passwort, das eine Reihe von Wörtern verwendet, die leicht(er) zu merken sind, aber nicht unbedingt sinnvoll zueinander passen.

Beispiel: heftig depp undank buhlen basar jener bordell zwirn 47

Je länger Ihre Passphrase ist, desto stärker ist sie. Und eindeutig bedeutet, dass für jedes Gerät oder Online-Konto eine andere Passphrase verwendet wird. Auf diese Weise sind, wenn eine Passphrase kompromittiert wird, alle Ihre anderen Konten und Geräte immer noch sicher.

Sie können die Wörter einer Passphrase auch mit Füllzeichen kombinierten, wie z.B: einem Leerzeichen oder * ~ – _ / | \ usw.

Beispiel: galten-schoss-streng-wollte-wirkte-nach-fetten-drops-nagel

Bedenken Sie nur, dass Sie diese Passphrase dann auch dem jeweiligen Gerät mit der zur Verfügung stehenden Eingabemethode auch eingeben können müssen. Dies gilt insbesondere für die Verwendung von Füllzeichen-

Eine Passphrase kann auch aus Wörtern unterschiedlicher Sprachen bestehen und erschwert somit nochmals die Anwendung einer Bruteforce Attacke auf Basis eines Dictionary bzw. Wörterbuch.

Beispiel: horde punisher zimmer fangen delta lob durban oink kurz

Sie können aber auch eine Passphrase nutzen um daraus ein Passwort ableiten.

Beispiel: “Mein Hund heißt Stella, hat 4 Pfoten, 1 Schwanz und 2 himmelblaue Augen”

Wählt man nun jeweils den Anfangsbuchstaben, die Zahlen und die Satzzeichen, so ergibt sich folgendes Passwort mit der Länge von 16 Zeichen: “MHhS,h4P,1Su2hA.”.

Dieses lässt sich mit Hilfe bestimmter Regeln beliebig weiter absichern, indem Sie z.B. bestimmte Zeichen davor bzw. danach anhängen oder bestimmte Buchstaben durch andere Zeichen ableiten.

Passwort-Manager:

Da man sich diese Fülle an Passwörtern – gerade im beruflichen Umfeld – irgendwann nicht mehr merken kann, empfehlen wir Ihnen, einen Passwort-Manager zu verwenden.

Passwort-Manager sind Programme, die Passwörter und Benutzernamen mittels Verschlüsselung und eines komplexen Masterpassworts für Sie in einem verschlüsselten, virtuellen Safe sicher verwahren. Sie funktionieren ähnlich wie ein Notizbuch, das in einer Schublade eingeschlossen ist und dessen Inhalte somit nur für den Besitzer oder die Besitzerin einsehbar sind. Der Vorteil liegt auf der Hand:

Anstelle von vielen verschiedenen Passwörtern muss sich nur noch eins gemerkt werden

Zwei-Faktor-Authentifizierung (2FA):

Neben der Verwendung eines starken und eindeutigen Passworts ist der Einsatz einer zweistufigen Verifizierung wahrscheinlich der wichtigste Schritt, den Sie zum Schutz Ihrer Online-Konten unternehmen können.

Aktivieren Sie daher unbedingt eine zweistufige Verifizierung (auch Zwei- oder Mehrfaktor-Authentifizierung genannt), wenn dies angeboten wird.

Denn meist ist es viel einfacher, als Sie vielleicht denken. Die 2FA verwendet Ihr Passwort, fügt aber auch einen zweiten Schritt hinzu, wie z.B. die Eingabe eines Codes, der an Ihr Smartphone geschickt wird oder von einer Anwendung, die den Code für Sie generiert.

SIE SELBST:

Eines der größten Risiken, dem Sie ausgesetzt sind, sind Social Engineering Angriffe. Dies gilt insbesonders in Zeiten der dramatischen Veränderung und in einem Umfeld von Dringlichkeit.

Angreifer haben gelernt, dass der einfachste Weg, um das zu bekommen, was sie wollen, darin besteht, auf Sie zu zielen und nicht auf Ihren Computer oder andere Geräte.

Wenn sie Ihr Passwort, Ihre Kreditkarte oder die Kontrolle über Ihren Computer haben wollen, werden sie versuchen, Sie auszutricksen, damit Sie es ihnen geben, oft, indem sie ein Gefühl der Dringlichkeit erzeugen.

Sie könnten Sie beispielsweise anrufen und vorgeben, der technische Support von Microsoft zu sein, und behaupten, dass Ihr Computer infiziert ist, während sie in Wirklichkeit nur Cyberkriminelle sind, die von Ihnen Zugang zu Ihrem Computer haben wollen. Oder vielleicht schicken sie Ihnen eine E-Mail-Warnung, dass Ihr DHL-Paket nicht zugestellt werden konnte, und setzen Sie unter Druck, auf einen Link zu klicken, um Ihre Postanschrift zu bestätigen, während sie Sie in Wirklichkeit dazu verleiten, eine bösartige Website zu besuchen, die sich in Ihren Computer einhackt.

Letztendlich sind Sie die größte Verteidigung gegen Angreifer.

Wenn Sie Ihren gesunden Menschenverstand einsetzen, können Sie viele Angriffe erkennen und stoppen.

Social Engineering ist ein psychologischer Angriff, bei dem die Angreifer ihre Opfer austricksen oder täuschen, damit sie einen Fehler machen. Der Schlüssel zur erfolgreichen Abwehr ist die Ausbildung der Mitarbeiter, was Social Engineering ist, wie man die häufigsten Indikatoren für ein Social Engineering Angriff erkennt und was sie tun sollen, wenn sie einen entdecken.

Achten Sie darauf, dass Sie sich nicht nur auf Angriffe per E-Mail-Phishing konzentrieren, sondern auch andere Methoden, wie Telefonanrufe, SMS, soziale Medien oder gefälschte Nachrichten.

Aktuell ist nicht die Frage “ob”, sondern “wie”

  • Erliegen Sie nicht der Versuchung, das Thema Sicherheit im Notfall schleifen zu lassen und bisherige Standards aufzugeben, nur damit die Umsetzung schneller geht
  • Holen Sie die Mitarbeiter mit ins Boot und sensibilisieren Sie diese auch für Ihre persönlichen Belange bei diesem Thema
  • Nutzen Sie starke und einmalige Passwörter bzw. Passphrases
  • Verwenden Sie immer eine Zwei-Faktor-Authentifizierung, wenn dies angeboten wird

Technischer Support Manager und Redakteur

Der ProBlog Newsletter

Bleiben Sie auf dem Laufenden mit unseren interessanten News, Updates und Insights
zu modernen IT-Security & IT-Infrastruktur-Lösungen.

Members Only:
Alle Newsletter-Empfänger erhalten jetzt Zugriff auf exklusive Inhalte!

Bitte füllen Sie kurz das Formular aus.
Anschließend erhalten Sie eine E-Mail, mit der Sie Ihre Anmeldung bestätigen können.

 

 

Der ProBlog

ist ein Angebot der

ProSoft GmbH
Bürgermeister-Graf-Ring 10
82538 Geretsried

 

Kontakt und Support

Telefon +49 (0) 8171/405-0
Fax  + 49 (0) 8171/405-400
info@prosoft.de

Share This