KMUtmacher Gastbeitrag: Relevante Sicherheitsanforderungen in der IT durch neue Arbeitsmodelle

New Work = New IT?

Es hat sich gezeigt, dass neue Arbeitsmodelle, wie z.B. auch Hybrid Office, auch nach der Corona-Pandemie fester Bestandteil des Arbeitsalltags sein werden. So möchten nach einer Studie von Microsoft 73% aller Beschäftigten auch in Zukunft die Möglichkeit haben, aus dem Home-Office zu arbeiten.

Dennis Ramin ist IT-Berater und Geschäftsführer der Biscuit GmbH und erklärt im folgenden KMUtmacher-Gastbeitrag, wie sich dadurch auch die Sicherheitsanforderungen an die Informationsinfrastruktur von mittelständischen Unternehmen ändern.

In vielen Bereich hat sich digitales und flexibles Arbeiten bereits etabliert. Für uns im IT-Support ist es beispielsweise üblich Probleme remote zu beheben - nur selten ist noch ein Einsatz vor Ort nötig. Durch die Corona-Pandemie ist das Thema Home-Office und New Work plötzlich auch in Branchen angekommen, die sich zuvor noch gar nicht damit beschäftigt und sozusagen "digitales Neuland" betreten haben.

Hybrid Work - was heißt das?

Mitarbeitergespräche, Team-Meetings und Verhandlungen mit Kunden werden als Videomeeting oder per Telefon geführt.
Mit Cloud-Tools werden von mehreren Nutzern gleichzeitig digitale Flipcharts gefüllt, es wird zusammen an Dokumenten gearbeitet und alle Dokumente werden digital auf Servern gespeichert. Schulungen, Präsentationen und kreative Brainstormings stehen regelmäßig in den Terminkalendern und sogar für Teamevents finden sich Lösungen und es wird sich virtuell z.B. auf Plattformen wie „gather.town“ für Weihnachtsfeiern oder ein Feierabendbier getroffen.

Neue IT-Anforderungen

Diese Veränderungen bringen jedoch auch neue technische Anforderungen mit sich, um ein sicheres und ungestörtes Arbeiten zu ermöglichen. Arbeitsabläufe sollten nicht durch zu langsame Technik, schlechte Verbindungen oder veraltete Software verzögert werden. Es muss sichergestellt sein, dass jeder Arbeitsplatz und jeder Mitarbeitende entsprechend ausgestattet ist, um uneingeschränkt arbeiten zu können.

Diese Vernetzung und Flexibilität birgt auch einige Risiken wie z.B. ungesicherte Umgebungen, nicht geschützte Endgeräte oder die Unachtsamkeit (oftmals aufgrund von Unwissen) der Mitarbeitenden.

Diese möglichen Sicherheitslücken gibt es beim hybriden Arbeiten:

  • Es wird von unterschiedlichsten Orten auf Unternehmensdaten zugegriffen.
  • Regelmäßig wird zwischen gut geschützten Firmennetzwerken und weniger gut geschützten bis hin zu unverschlüsselten Netzwerken oder öffentlichen Hotspots gewechselt.
  • Für Angreifer sind solche nicht gesicherten Netzwerke meist ein leichtes Ziel, um Zugang zu sensiblen Daten zu erlangen. Gleichzeitig ist es für IT-Abteilungen schwierig verdächtige Zugriffe anhand von IP-Adressen zu identifizieren und unbefugte Zugriffe abzuwehren.
  • Der Zugriff auf die Firmendaten erfolgt nicht mehr nur über den Arbeitscomputer. Mitarbeitende nutzen häufig private Geräte, um etwa Chats oder E-Mails auf dem privaten Handy abzurufen. Die Privatgeräte sind teils nicht auf aktuellem Stand, ein ausreichender Passwortschutz und regelmäßige Updates sind nicht immer gegeben. Auch andere Geräte im gleichen Netzwerk stellen eine potentielle Gefahr dar.
  • Zu guter Letzt spielt auch immer der Faktor Mensch eine Rolle. Während der Pandemie hat sich gezeigt, dass Mitarbeitende in Remote Work anfälliger für Cyberangriffe sind. Häufigere Ablenkung im Homeoffice und der fehlende Austausch mit Kollegen erhöht die Wahrscheinlichkeit, dass ein Phishing-Versuch nicht als solcher erkannt wird und es dadurch gelingt Schadsoftware auf dem Gerät zu installieren.

So schließen Sie diese Sicherheitslücken:

  • Moderne und mobile Geräte auf einem aktuellen Softwarestand bieten mehr Sicherheit und erhöhen die Produktivität
  • Rechtevergabe für Mitarbeitende mit sog. SSO (Single Sign On) einrichten. Damit lassen sich mit geringem Aufwand Zugriffsrechte vergeben und entziehen. Sie behalten somit den Überblick, wer auf welche Daten Zugriff hat.
  • Verschlüsselte Datenübermittlung mit einem VPN (Virtual Private Network) sicherstellen, um den Zugriff aus öffentlichen Netzwerken möglichst sicher zu gestalten und bei der Software auf eine End-to-End Verschlüsselung achten.
  • Sicherheitskultur etablieren und in Form von gezielten Schulungen die Mitarbeitenden sensibilisieren und ein Bewusstsein für potenzielle Gefahren schaffen.
  • Mobile Device Management (MDM) einführen, um damit Geräte aus der Ferne konfigurieren, aktualisieren, verwalten, orten oder löschen zu können.

Checkliste: IT-Sicherheit im Home Office

  • WLAN-Netzwerke mit Passwort schützen (und dieses regelmäßig ändern)
  • Unterschiedliche und sichere Passwörter für Anwendungen und Dienste verwenden
  • Regelmäßige Software-Updates durchführen
  • Unterlagen und Geräte für Unbefugte unzugänglich aufbewahren

Diesen Beitrag teilen