Schutzempfehlungen des BSI für das Homeoffice im Überblick
Deutschlands oberste Behörde für IT-Sicherheit, das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt: „Cyber-Kriminelle nutzen die Corona-Krise vermehrt aus“. Deshalb gibt die Behörde in verschiedenen Ratgebern Empfehlungen und Ratschläge für sicheres Arbeiten im Homeoffice. Auf den Webseiten des Amtes finden sich dazu verschiedene Ratgeber.
Auch das BSI weiß, dass viele Unternehmen von der Situation überrascht wurden und unvorbereitet handeln mussten. Daher rät das Amt als Erstes: „Bei ad hoc eingerichteten Lösungen für mobiles Arbeiten können in der Regel nicht alle Anforderungen der Informationssicherheit von Anfang an vollständig umgesetzt werden. Es empfiehlt sich, zunächst die Maßnahmen auszuwählen, welche durch die Institution zeitnah umgesetzt werden können.“
Grundschutz-Parallele
Ähnlich wie beim IT-Grundschutz differenziert das Amt verschiedene Sicherheitsbereiche und gibt jeweils entsprechende Hinweise. Grundlegend sind das regelmäßige Einspielen von Sicherheits-Updates, die Verwendung aktueller Virenschutzprogramme und der Einsatz eines VPN (Virtual Private Network). Der Zugriff auf die Unternehmens-IT sollte ausschließlich über das VPN erfolgen. Firewalls und Datensicherungen gelten ebenfalls elementar. Bei Telearbeit wird häufig mit Unternehmensdaten auf privaten Geräten gearbeitet. Auch diese Daten sollten gesichert werden.
Besondere Aufmerksamkeit bedarf die für das Homeoffice genutzte private Netzinfrastruktur, wie DSL- und WLAN-Router. Die Software auf diesen Geräten muss aktuell gehalten werden, ein hinreichender Zugriffsschutz ist unverzichtbar. Passwortschutz und automatische Bildschirmsperre sollten auch bei privaten IT-Geräten selbstverständlich sein. In der Regel dürfen selbst Familienangehörige keinen Zugriff auf Unternehmensdaten erhalten. Daher kann es hilfreich sein, betriebliche Daten verschlüsselt zu speichern.
Aufgaben der IT-Abteilung
Am Missbrauch und Einbruchsversuche zu erkennen, muss die IT-Abteilung die VPN-Zugänge überwachen. Außerdem sollten für die Arbeit im Homeoffice Richtlinien erstellt werden. Zu den wichtigsten organisatorischen Maßnahmen zählen Passwortrichtlinien sowie Support-Prozesse für die technische Unterstützung an mobilen Arbeitsplätzen, außerdem Notfallpläne.
Verwendete Videokonferenzsysteme müssen den Sicherheitserfordernissen des Unternehmens entsprechen. „Besonders wichtig sind dabei die eingesetzten Protokolle“, schreibt das BSI. Videokonferenz-Software erfordere oft „tief greifende Berechtigungen von Clients oder Browser-Plugins, wie Zugriff auf Webcam, Mikrofone, Screensharing oder Fernsteuerung“. Auch das muss mit den Sicherheitsanforderungen des Unternehmens übereinstimmen. Wenn viele Mitarbeiter ungeplant im Homeoffice arbeiten, greifen zahlreiche Unternehmen verstärkt auf Cloud-Dienste zurück. Bei der Auswahl von Anbietern sollten die Mindeststandards der IT-Sicherheit beachtet werden. Es empfiehlt sich, dort abgelegte Daten zu verschlüsseln.
Einen Hinweis hebt das Amt besonders hervor: „Geben Sie mobile Geräte unterwegs nicht aus der Hand. Lassen Sie mobile Geräte nicht unbeobachtet liegen, auch nicht nur kurzzeitig.“ Dieser Rat ist sicherlich nicht nur in Corona-Zeiten relevant.