Home Office in Zeiten der Corona-Situation

Eine Auswirkung der Coranavirus-Pandemie ist, dass viele Unternehmen und Privatpersonen kurzfristig und ohne viel Vorbereitung Home-Office nutzen müssen. Die Einhaltung von Sicherheitsmaßnahmen ist dabei essenziell.

Symbolbild

Als zielgerichtete Orientierung bietet dieser Artikel einen Leitfaden in Bezug auf Sicherheitsaspekte in Verbindung mit Home-Office, dessen Bedeutung gerade jetzt unzweifelhaft ist.

Organisatorische Maßnahmen

  1. Home-Office nützen. Bestärken Sie Führungskräfte und Mitarbeitende zur Nutzung von Home-Office-Lösungen.
  2. Niedrige Hürden für Home-Office. Legen Sie dazu durchdachte Regeln fest und vermeiden Sie es, die Verwendung kompliziert zu machen. Sorgen Sie für eine rasche Entscheidungsfindung und Umsetzung.
  3. Einfache Kommunikation ermöglichen. Achten Sie darauf, dass Ihre Teams arbeitsfähig sind und der notwendige Informationsfluss ermöglicht wird. Machen Sie dazu die nötigen Endgeräte verfügbar und nutzbar – falls erforderlich und durchführbar, auch redundant.
  4. Eindeutige Sicherheitsregeln mit Blick auf das Wesentliche definieren. Legen Sie klare Regeln in Bezug auf IT-Sicherheit fest und konzentrieren Sie sich dabei auf das Wesentliche (z.B.: regelmäßige Aktualisierung der Betriebssystemsoftware, Verschlüsselung von Notebooks, Remote-Löschung bei Firmen-Geräten)
  5. Zugänglich machen von Kontaktdaten. Stellen Sie sicher, dass Kontaktdaten (z.B.: E-Mail-Adressen, private Telefonnummern, Handy-Nummern etc.) für autorisierte Personen abrufbar bzw. verfügbar sind. Drucken Sie beispielsweise die Kontaktliste aus, damit diese auch bei einem Internetausfall verfügbar ist. Lassen Sie solche Listen nicht arglos liegen und verwahren diese sicher, aber einfach erreichbar, wenn Sie diese nicht benötigen.

Neben organisatorischen Maßnahmen sind aus der Perspektive der IT-Sicherheit die folgenden technischen Möglichkeiten sinnvoll, sofern diese rasch umsetzbar sind.

Technische Maßnahmen

  1. Anti-Virus und Firewalls. Aktivieren bzw. installieren Sie Programme zum Schutz vor Schadsoftware (z.B. Virenscanner) und Programme, die verhindern, dass jemand aus der Ferne unautorisiert auf Ihren Computer zugreift (sog. Firewalls).
  2. Ausreichend sichere Passwörter. Verwenden Sie nur Passwörter, die ausreichenden Schutz bieten und berücksichtigen Sie dabei aktuelle Vorgaben. Hinweise dazu erhalten Sie unter Passwort-Auswahl, im Österreichischen Sicherheitshandbuch oder beim BSI.
  3. Passwort-Manager. Nützen Sie Passwörter für Zugänge wenn möglich nur einmal und greifen Sie dabei auf einen geeigneten Passwort-Manager zurück, den Sie mit einem ausreichend sicheren Passwort oder andren Authentifizierungsmethoden schützen.
  4. Aktivieren Sie Multi-Faktor-Authentifizierung wo möglich. Zweifaktor-Authentifizierung ist eine sehr gute Möglichkeit Zugänge abzusichern. Stellen Sie diese ein, wo es rasch und einfach durchführbar ist.
  5. Zugriffsbeschränkungen auf Ihren Geräten umsetzen. Sperren Sie Ihr Gerät in jedem Fall, wenn Sie Ihren Home-Office-Arbeitsplatz verlassen. Beschränken Sie den Zugriff auf Ihr Gerät insbesondere für die Dauer des Home-Office. Nützen Sie ausreichend sichere Passwörter, um den Zugang zu Ihrem Computer zu schützen.
  6. VPN-Dienste verwenden. Nützen Sie sogenannte VPN-Dienste, um eine geschützte Verbindung zu Ihrem Firmennetzwerk aufzubauen.
  7. Software aktuell halten. Setzen Sie auf regelmäßige Aktualisierungen Ihrer Betriebssystemsoftware und wichtiger Programme bzw. Apps. Damit können Sie auftretende Sicherheitslücken schließen und den Schutz Ihres PCs bzw. Notebooks auf dem neuesten Stand halten.
  8. Verschlüsseln von Betriebssystemen. Wenden Sie Verschlüsselungsmethoden an, um die Daten zu schützen. Möglich ist dies beispielsweise mittels Bitlocker (Windows), FileVault (macOS), LUKS (Linux) oder Veracrypt (Windows, macOS, Linux).
  9. Verschlüsseln von Smartphones bzw. Tablets. Aktivieren Sie die Verschlüsselung mobiler Endgeräte. Auf aktuellen Android-Versionen ist die Verschlüsselung standardmäßig aktiv, ältere Versionen bieten dazu einen entsprechenden Menüpunkt („Einstellungen > Sicherheit > Telefon verschlüsseln“ bzw. bei manchen Geräten „Andere Sicherheitseinstellungen“). Auf Apple-Geräten mit iOS (Aktivierung eines Sperrcodes, sog. „Code“) ist dies ebenso recht einfach durchführbar.
  10. Verschlüsselte Datensicherung. Wenn Sie keine Remote-Lösung haben (z.B.: NAS, Netzlaufwerk), dann erstellen Sie regelmäßig auf verschlüsselten Festplatten oder USB-Sticks ein Backup, um Datenverlust vorzubeugen. Verwenden Sie allerdings nur dann ein Cloud-Service für Ihr Backup, wenn Ihr IT-Administrator dies freigegeben hat.
  11. WLAN zuhause absichern. Stellen Sie passende Sicherheitsmechanismen zum Netzwerkschutz Ihres WLANs ein. Greifen Sie auf Verschlüsselung der Verbindung mittels aktueller Methoden zurück (z.B.: WPA2, WPA3). Deaktivieren Sie darüber hinaus insbesondere die WPS-Fähigkeit auf dem Router und ggfs. auf WLAN-Repeatern in Ihrem Heim. Stellen Sie ein ausreichend sicheres Passwort ein (siehe auch Punkt 2).
  12. E-Mails verschlüsseln. Setzen Sie sofern Ihre Kommunikationspartner dies unterstützen E-Mail-Verschlüsselung als sog. "Privacy Tools" (z.B.: mittels PGP oder S/MIME) ein.
  13. Trennen von Privat und Firma. Isolieren Sie Ihre Firmendaten von Ihren privaten Daten. Darüber hinaus können Sie darauf achten, getrennte Geräte für den jeweiligen Verwendungszweck einzusetzen (z.B.: privates Notebook vs. Firmennotebook).

Wichtige Verhaltens-Tipps in Verbindung mit Home-Office und der aktuellen Corona-Situation

Viele Kriminelle nützen gerade jetzt die Verunsicherung durch die aktuelle Lage aus. Demzufolge werden viele betrügerische E-Mails verschickt und Druck aufgebaut. Lassen Sie sich nicht unter Druck setzen und klären Sie bei Verdacht auf einen möglichen Missbrauch oder Falschinformation mit Ihrem IT-Administrator oder Ihrer Vorgesetzten bzw. Ihrem Vorgesetzten, was zu tun ist.

Aktuelle Situationen werden von bösartigen Angreiferinnen bzw. Angreifern genützt, um sich durch Phishing-Angriffe zu bereichern. Hinterfragen Sie eingehende E-Mails gerade jetzt besonders kritisch und klicken Sie keine Links in E-Mails an. Wenn Sie sich unsicher sind, führen Sie Rückfragen (z.B. telefonisch) durch, um zu verifizieren, ob die E-Mail auch tatsächlich vom vermeintlichen Absender verschickt wurde.

Synchronisieren Sie Firmendaten nur auf die vom Unternehmen freigegebenen Cloud-Umgebungen. Klären Sie vorher ganz genau mit Ihrem verantwortlichen IT-Administrator, wie vorzugehen ist. Verwenden Sie private Cloud-Umgebungen wie etwa Dropbox, Google Drive, OneDrive oder ähnliche Lösungen nur wenn es ausdrücklich erlaubt ist.

Führen Sie nur vertrauenswürdige Programme aus zweifelsfrei seriösen Quellen aus.

Führen sie Backups durch, um Ihre Daten auf einem vom IT-Administrator autorisierten Medium zu sichern. Ohne Backups können Sie wertvolle Daten verlieren.

Achten Sie genau darauf, wo Sie Ihre Zugangsdaten eingeben. Überprüfen Sie dazu insbesondere die Adresszeile des Browsers und achten Sie darauf, dass es sich um eine sichere Verbindung handelt.

Letzte Aktualisierung: 16. März 2020

Für den Inhalt verantwortlich: A-SIT Zentrum für sichere Informationstechnologie – Austria