Wie man gemäss Ispin auch im Homeoffice sicher arbeitet
Das Coronavirus kommt – und plötzlich arbeiten (fast) alle im Homeoffice. Zu plötzlich mancherorts. Da die Umstellung schnell und ohne grosse Vorarbeit geschehen musste, wurde die IT-Security vielerorts vergessen. Wie man trotz Homeoffice seine Angestellten schützen kann, sagt Andreas Rieder, Head of Business Security Consulting bei Ispin.
Wie lautet Ihr Top-Tipp, wie Mitarbeitende auch von daheim aus sicher arbeiten können?
Andreas Rieder: Sichern/Back-up. Wichtig ist, die im Homeoffice geleistete Arbeit nicht zu verlieren. Daher dürfen die Arbeitsergebnisse nicht nur lokal gespeichert werden: Sie müssen im Idealfall immer direkt im Firmennetz abgelegt werden. Wenn die Mitarbeitenden private Geräte verwenden, muss sichergestellt sein, dass die Daten richtig, also im Unternehmen, gespeichert werden.
Was ist das grösste Risiko, wenn so plötzlich so viele Mitarbeiter ins Homeoffice wechseln?
Denken Sie an die gesteigerten Anforderung an die Verfügbarkeit der Lösung, wenn plötzlich eine grosse Zahl von Mitarbeitern von zuhause aus arbeitet. Gegebenenfalls müssen Sie die Kapazitäten der Infrastruktur (HW/SW/Lizenzen) ausbauen. Bei Arbeit ausserhalb des Firmennetzwerkes und damit verbundenem Austausch mit dem Unternehmensnetzwerk gilt es, die IT-Systeme der Mitarbeiter im Focus zu haben. Diese müssen möglichst gut geschützt werden – in jedem Fall ist zu verhindern, dass die Firmeninfrastruktur infiziert werden kann. Sie sollten darauf achten, dass mindestens eine Antivirus-Software oder eine Endpoint-Protection Lösung auf den Mitarbeiter-Systemen installiert ist. Gleichzeitig sollten die Mitarbeiter-Systeme immer auf dem neusten Stand sein beziehungsweise auch im Homeoffice laufend aktualisiert werden können.
Welche technischen Sicherheitsmassnahmen sind unabdingbar im Homeoffice?
Bei Arbeit ausserhalb des Firmennetzwerkes gilt es, die IT-Systeme der Mitarbeiter im Focus zu haben. Diese müssen möglichst gut geschützt werden – in jedem Fall ist zu verhindern, dass die Firmeninfrastruktur infiziert werden kann. Sie sollten darauf achten, dass mindestens eine Antivirus-Software oder eine Endpoint-Protection Lösung auf den Mitarbeiter-Systemen installiert ist. Gleichzeitig sollten die Mitarbeiter-Systeme immer auf dem neusten Stand sein bzw. auch im Homeoffice laufend aktualisiert werden können.
Was müssen Unternehmen bei der Sensibilisierung ihrer Mitarbeitenden besonders beachten?
Technologie allein kann die Mitarbeitenden im Homeoffice nicht umfassend schützen. Der beste Schutz gegen Cyberangriffe sind die Mitarbeitenden selbst. Klären Sie Ihre Mitarbeitenden über die spezifischen Gefahren im Homeoffice auf und befähigen Sie sie, mit diesen Gefahren umzugehen. Dabei sollten Sie Ihre Mitarbeitenden speziell über die Gefahren von Phishing-E-Mails aufklären und sie gezielt auf das Erkennen und Behandeln von solchen Mails schulen. Die Verbreitung von Phishing-Mails hat im Zusammenhang mit dem Coronavirus bereits massiv zugenommen, und von Melani und dem BAG liegen entsprechende Warnungen vor.
Welche rechtlichen Aspekte gilt es beim Homeoffice zu beachten?
Mitarbeiter im Homeoffice müssen sich über ihre Pflichten beim mobilen Arbeiten im Klaren sein – und sie müssen sich richtig verhalten. Daher gilt es, dies zu dokumentieren und klar zu kommunizieren. Insbesondere der Abfluss von Daten ist zu verhindern. Daher sollte verbindlich geregelt sein, wie Informationen (sowohl auf Papier wie auch digital) ausserhalb der Firma zu transportieren und zu bearbeiten sind und welche Schutzmassnahmen zu treffen sind. In diesem Zusammenhang müssen die Mitarbeiter verbindliche Anweisungen erhalten, damit der Datenschutz auch im Homeoffice sichergestellt ist. Damit sollte allen Mitarbeitern klar sein, dass man zum Beispiel vertrauliche Informationen nicht über private Mail-Accounts senden darf, oder dass man vertrauliche Papierdokumente nicht in der Altpapiersammlung entsorgen kann.
Die Antworten der übrigen Podiumsteilnehmer:
Marcus Griesser, SBB: "Kein Datenaustausch von geschäftlichen Daten auf privaten Heimnetzwerk-Infrastrukturen."
Enrico Lardelli, GKB: "Entscheidend ist der Appell an die Selbstverantwortung und an den gesunden Menschenverstand."
Max Klaus, Melani: "Der Zugriff sollte ausschliesslich mittels VPN-Tunnel und einer Zwei-Faktor-Authentifizierung erfolgen. "
Cornelia Lehle, G Data: "Firmendaten haben auf Privatgeräten nichts zu suchen."
Sonja Meindl, Check Point: "Unternehmen sollten sichergehen, wer Zugriff auf welche Informationen hat."
Michael Rothmund, All for One Group: "Digitale Transformation kann nur funktionieren, wenn auch die Cybersecurity mittransformiert wird."
Urs Rufer, Terreactive: "Sicherheit lässt sich nie durch eine einzige Massnahme erreichen."
Simon Schneiter, Ensec: "Erklären Sie Ihren Mitarbeitenden auch, weshalb sie sich so verhalten sollen!"
Rainer Schwegler, Eset: "Es fehlt oft am richtigen Equipment."