News, Microsoft 365, Dynamics 365 (CRM)

Teleworking und meine Sicherheit

08.06.2020 von Oliver Oswald
Allgemein
Was ist eigentlich
Modern Workplace

Für viele war es ein erster wichtiger Schritt ins moderne Arbeiten – wohlgemerkt mehr erzwungen als gewollt.

Nach nun einigen Wochen bzw. Monaten von „Social-Distancing“ und Stunden der Arbeit aus der Isolation kann man zwischenzeitlich schon ein Resümee ziehen, wie sich die Unternehmen bzw. Ihre MitarbeiterInnen beim Thema „Teleworking“ so schlagen. Für viele war es ein erster wichtiger Schritt ins moderne Arbeiten – wohlgemerkt mehr erzwungen als gewollt.

Dementsprechend hastig wurden auch die Pläne für zukünftige Projekte in diesem Bereich vorgezogen und in Windeseile implementiert – leider bei vielen mit Abstrichen in den verschiedensten Bereichen – wobei wir uns heute auf die „Unternehmenssicherheit beim Teleworking“ fokussieren möchten.

1. Mein Arbeitsgerät bzw. meine Arbeitsplattform

Hier gibt es bereits die ersten Probleme, dass viele Unternehmen nicht für alle MitarbeiterInnen portable Arbeitsgeräte zur Verfügung stellen konnten und hier der Umweg über private Geräte genommen wurde – „… denn heutzutage braucht man ja sowieso nichts mehr, ist ja alles in der Cloud …“

Hier könnte man gleich in die untiefen der Hardware- bzw. Softwaresicherheit abtauchen – für einen groben Überblick sollte man aber zumindest folgende Punkte beachten:

  • Zu meinem Arbeitsgerät habe nur ich physischen Zugang – weder Freund noch Feind sollte unkontrolliert daran gelangen können
  • Mein Arbeitsgerät ist zum Arbeiten da – somit sind nur für die Arbeit relevanten Geräte an dem System angeschlossen (dies gilt auch vor allem für USB- sowie andere mobile Datenträger)
  • Software sollte auf meinem Gerät auf meine Arbeit zugeschnitten sein und im Idealfall keine nicht notwendigen Apps enthalten. Dies lässt sich auf vom Unternehmen bereitgestellten Geräten in den meisten Fällen sicherstellen – auf Privatgeräten jedoch sieht die Welt meistens ziemlich düster aus.

 

2. Mein Internetzugang bzw. mein Netzwerk

Da wir uns beim Teleworking nicht im vom Unternehmen verwalteten Netzwerk befinden, sollte man auch hier einige grundlegende Punkte beachten, die durchaus einen gewaltigen Beitrag zur Sicherheit leisten:

  • LAN / Verkabeltes Netzwerk
    • Hier sollte man darauf achten, dass das Netzwerk bis zum Internet-Zugang nicht durch andere Benutzer und/oder Geräte kompromittiert werden kann – umso einfacher verkabelt und umso weniger Geräte, desto weniger Sicherheitsrisken entstehen dabei
  • WLAN / Funknetzwerk
    • Sowohl die Verschlüsselung sollte einem aktuellen sicheren Standard entsprechen (WPA2) wie auch das Kennwort dafür sollte generellen Sicherheitsstandards entsprechen (mindestens 8 Zeichen lang, mindestens alphanumerisch – idealerweise mit Sonderzeichen)
    • Natürlich gilt auch hier der Grundsatz der Risikominimierung des verkabelten Netzwerks
  • WWAN / Datenkarte
    • Bei dieser Anbindung besteht das größte direkte Risiko für mein Arbeitsgerät, da es direkt ohne Geräte dazwischen (wie z.b. Router oder Firewall) von extern ansprechbar ist
  • Öffentliche Netzwerke / Public WiFi
    • Davon kann ich in jeder Hinsicht nur abraten – ein geteiltes Netzwerk (auch nicht, wenn der Anbieter Host-Isolation verspricht) mit vielen Unbekannten – und im schlimmsten Fall ohne Schutz zwischen den Geräten.

 

3. Meine Schutzmechanismen

Im Allgemeinen fängt der Schutz schon bei der Aktualität meiner verwendeten Applikation und dem darunterliegenden Betriebssystem an – somit wäre es ein erster Schritt (falls ich die Möglichkeit auf meinem Arbeitsgerät habe) hier Programm- und Sicherheitsupdates auf meinem Arbeitsgerät möglichst aktuell zu halten. Zusätzlich sollten noch folgende Basisfunktionen verwendet werden:

  • Software-/Hardwarefirewall
    • Eine Firewall bietet richtig konfiguriert und verwendet einen Schutz für mein Gerät von außen (externe Netzwerke, wie zB Internet)
  • Virenschutzlösung
    • Aus gutem Grund hat Microsoft zwischenzeitlich eine konkurrenzfähige Virenschutzlösung in sein Betriebssystem mit eingebaut – denn die Gefahr durch Viren oder ähnlich geartete Schadsoftware ist nach wie vor mehr als relevant.
  • VPN
    • Hier hat man in den meisten Fällen nicht die Wahl, da so gut wie jedes Unternehmen eine VPN-Lösung bereits implementiert und aktiv in Verwendung hat. Wichtig ist es auch diese aktiv und permanent zu verwenden.

 

4. Meine Zugangsdaten bzw. mein Passwort

Ob nun für den Zugang zum Firmennetzwerk als auch zu den Cloud-Diensten meines Unternehmens gibt es immer einen Nenner, der es für Angreifer einfach macht, einen Schwachpunkt zu finden: Der Benutzer / der Benutzername. In den meisten Fällen sind es Kombinationen aus Vor- und/oder Nachname oder in der Cloud-Welt vielleicht sogar eine E-Mail-Adresse die einen Rückschluss auf den Benutzernamen zulassen. Umso mehr sind hier Passwortrichtlinien und Multi-Faktor-Authentifizierung zwei besonders wichtige Maßnahmen zum Schutz der persönlichen Identität im Unternehmen.

  • Passwortrichtlinie
    • optimale Passwortlänge von 12-15 Zeichen
    • alphanumerische Inhalte sowie Sonderzeichen
    • regelmäßige Änderung (z.b. alle 30 Tage)
    • keine fortlaufenden sowie Wörterbuch-Wörter
    • jeder Benutzer sein eigenes Kennwort – niemals Passwörter zwischen Benutzeridentitäten teilen
    • lieber ein Passwort vergessen als es auffindbar (vor allem für andere!) verschriftlichen
  •   Multi-Faktor-Authentifizierung
    • „zweiter“ oder „mehrter“ Teil einer Passwort-Eingabe – verhindert Identitätsdiebstahl auch bei Bekanntwerden des Passworts
    • soll oder eher darf nicht vom selben Gerät kommen, auf dem die Passwort- bzw. MFA Eingabe erfolgt

 

5. Meine Daten

Zu diesem Thema scheiden sich in vielen Fällen immer die Geister – jedoch gibt es einen triftigen Grund, warum die bei der Arbeit relevanten Daten (zB Dokumente, die ich benutze bzw. erstelle) immer auf einem, vom Unternehmen definierten, nach Berechtigungen eingeschränkten und  zentral zugänglichen Ort abgelegt werden sollten: Datenverlust durch Systemausfall oder Diebstahl. Viele haben es schon mindestens einmal erlebt, dass die Arbeit von mehreren Stunden wenn nicht auch Tagen einfach so verloren war – und dennoch war man im Grunde selbst daran schuld.

Die Cloud und seine mannigfaltigsten Dienste verschiedenster Hersteller (OneDrive, SharePoint Online, Microsoft 365, Teams um nur einige zu nennen)  liefern uns hier genau die richtigen Werkzeuge um diese Daten genau an den richtigen (im Idealfall vom Unternehmen vorgegebenen) Orten abzulegen. Zusätzlich ergibt sich auch hier eine breite Palette von Synergieeffekten – vor allem das Thema der Zusammenarbeit ist hier die Gegenwart (und hoffentlich auch die Zukunft)

 

Natürlich haben diese Punkte alle keinen Anspruch auf Vollständigkeit, wäre in dieser Kürze auch mehr als unverfroren – jedoch sollen Sie dem einen oder anderem Benutzer (wie auch Administrator oder Entscheider) eine Idee geben, in welche Richtung sie vielleicht noch optimierungsbedarf haben. Wichtig sind diese Themen gerade heute mehr denn je, denn die Digitalisierung (und ihre vielfachen Facetten) ist schon lange nicht mehr aufzuhalten und sollte gerade im Bereich der Sicherheit als Chance gesehen und ernst genommen werden.

Ansprechpartner

Jetzt gemeinsam starten!

Wir gestalten Busniess Process Automation!

Wenn Sie Interesse an einem Beratungsgespräch haben, freuen wir uns auf Ihren Anruf oder E-Mail Nachricht!