Digitalisierung sei Dank in Zeiten wie diesen. Doch die Übersiedlung ins Home-Office stellt die IT-Verantwortlichen in den Unternehmen vor große Herausforderungen, wenn es um Vertraulichkeit, Sicherheit und Verfügbarkeit geht. Das gilt vor allem für Industriebetriebe und kritische Infrastrukturen. Die beiden IT-Security-Experten Klaus Lussnig (Industrial Automation GmbH) und Jens Bußjäger (Achtwerk GmbH) haben dazu wichtige Tipps, wie das Sicherheitsrisiko im Home-Office nahezu eliminiert werden kann.
Um die Corona-Pandemie zu verlangsamen, werden auch mit Hilfe von „Home-Offices“ die sozialen Kontakte der Menschen erheblich reduziert. VPN-Zugänge zu den Unternehmensnetzwerken, das Remote Management oder Fernwartungen sind die geeigneten Tools dafür. Das haben die Firmen natürlich sehr rasch erkannt und die Anzahl der Büros im eigenen Haushalt ist sprunghaft angestiegen. Nicht nur ein Vorteil für die Arbeitswelt wie man mittlerweile sieht, sondern auch für Schüler, die über diverse Lernplattformen zu Hause beschult werden.
Wie hoch ist nun das Sicherheitsrisiko im Home-Office?
IT-Verantwortliche müssen davon ausgehen, dass ihre Kollegen und Mitarbeiter nun in der öffentlichen Bahnhofshalle der Stadt arbeiten! Der geschützte Raum des Büros – sowohl organisatorisch als auch technisch - wird verlassen. Es wird vernetzt, was vorher noch nicht vernetzt war. Um eine plausible Risikoabschätzung machen zu können, müssen folgende Fragen beantwortet werden:
- Wird das „Smart Home der Mitarbeiter“, die Lernplattform der Kinder, die sprachgesteuerte Musikbox sowie die Heizungssteuerung nun Teil des Unternehmensnetzwerkes?
- Passen die vorhanden Regelungen im Umgang mit den wichtigen Unternehmensdaten auch in die Home-Office-Tätigkeiten?
- Sind die Mitarbeiter sensibilisiert, wenn zunehmend Phishing-Mails zum Thema Home-Office und Corona versendet werden?
- Wer kann die Inhalte auf den Bildschirmen der Arbeitsplatzrechner im Home-Office sehen? Sind Bildschirmsperren aktiv?
Man kann sicher sein, dass nicht alle Geräte im nun erweiterten Netz den geforderten Sicherheitsanforderungen des Unternehmens entsprechen. Wichtige Daten können sehr schnell verloren gehen oder gar manipuliert werden. Für Mitarbeiter und deren verantwortlichen IT-Leiter sowie CISO der Unternehmen eine enorme Herausforderung, wie nachfolgend einige Beispiele zeigen:
Viele Desktoprechner werden nach Hause getragen.
Zwar gibt es im Büro klare Zutrittsregelungen, die Vertraulichkeit der wichtigen Unternehmensdaten kann mit dem „Diebstahl“ eines der Rechner aber extrem gefährdet sein, denn oftmals sind die Festplatten dieser Systeme nicht verschlüsselt. In weiterer Folge sollten die Verantwortlichen diese Zeit nutzen, um die Berechtigungen zu prüfen. Die Einschränkung von Berechtigungen zur Sicherung der Vertraulichkeit ist gegenüber dem Einzelfall einer fehlenden Mitarbeiter-Berechtigung im Home-Office ein Vorteil.
Klaus Lussnig schlägt Unternehmen daher folgende Maßnahmen vor:
- „Ausschließlich VPN zur Einwahl in das Unternehmensnetzwerk nutzen - das ist aber nur die Verlängerung der Werkbank außerhalb des Betriebsgeländes.
- Ergänzend für jede Anwendung eine geeignete Authentifizierung und Verschlüsselung für eine sicherere Übertragung konfigurieren.
- Daten- und Festplattenverschlüsselungen aktivieren. Denn schnell ist aus dem Diebstahl der Hardware auch ein anzeigepflichtiger Datenschutzvorfall geworden.
- Die Mitarbeiter informieren um so die Sensibilisierung zu verstärken.“
Seine Tipps an die Mitarbeiter:
- Auf keinen Fall die privaten Mail-Accounts nutzen um Informationen und Dokumente zu versenden.
- Bildschirmschoner / Sperrbildschirm mit kurzer Aktivierungszeit (> 2 Min.) aktivieren. Für Tablets und Smartphones eine PIN vergeben und „Autosperre“ aktivieren.“
Nutzung privater Geräte
Nun werden aber zur Arbeit im Home-Office auch Laptops, Tablets und Smartphones genutzt, die dem Mitarbeiter gehören. Diese Geräte entsprechen nicht den Anforderungen. Die Integrität der Unternehmensdaten ist gefährdet. Änderungen an Dokumenten können von weiteren Personen erfolgen.
Jens Bußjäger rät Unternehmen:
- „Ergänzend zu den Tipp‘s zur Vertraulichkeit, sollte die Einführung von starker Authentifizierung / Zwei-Faktor-Authentifizierung geprüft werden.
- Stets an die eindeutige Kennzeichnung von Daten und Informationen z. B. bei Firmenvertraulichkeit erinnern. Vorab diese Sicherheitskriterien definieren.
- Wo möglich digitale Signaturen und Verschlüsselung für die Integrität nutzen.
Und Mitarbeitern:
- Nehmen Sie sich die Zeit die Absender der Mails, der Informationen und der Dokumente mehrfach zu kontrollieren. Lassen Sie sich nicht unter Druck durch den Adressaten setzen. Das ist schon ein erster Hinweis auf eine Phishing Mail.
- Erklären Sie den Mitbewohnern klar, dass der Rechner (nun auch) für die Arbeit genutzt wird.
- Und auch hier den Bildschirmschoner /Sperrbildschirm mit Passwort aktivieren.“
Reicht die häusliche IT-Infrastruktur?
Auch hier merkt man plötzlich, dass die Verfügbarkeit vor Vertraulichkeit und Integrität steht. Was nutzt es, wenn alle von Zuhause arbeiten können und der VPN-Einwahlserver aber nur für wenige Verbindungen gleichzeitig ausgelegt ist? Auch die Kinder sind zu Hause und nutzen Lernplattformen. Daraus resultieren mehr Download von Informationen, mehr Musik und Filme aus dem Internet, aber auch mehr Videomeetings. Reicht dazu der häusliche Internetanschluss?
Bußjägers Tipp für Unternehmen ...
- „Richten Sie ein kontinuierliches Monitoring und eine Anomalieerkennung im Netzwerk ein.
- Prüfen Sie täglich die Logfiles der VPN-Gateways, oft reicht es schon, die Anzahl der sich einwählenden Systeme / Geräte und Häufigkeit der Verbindungen je Tag zu vergleichen.
- Die Unternehmen sollten die kritischen Prozesse mit neuen Terminen anpassen. z.B. das Erstellen und die Abgabe von Dokumenten.“
... und Mitarbeiter:
- „Vereinbaren Sie genaue Zeiten für die Nutzung des Internet: z. B. Arbeit, Schule, die Kinder.
- Deaktivieren Sie die VPN-Verbindung, wenn Sie diese nicht nutzen.“
Maßnahmen schnell umsetzen und kommunizieren
Die IT-Verantwortlichen dürfen nicht vergessen die Risikoanalysen schnellstens anzupassen, um die Maßnahmen zu identifizieren und notwendige schnell umzusetzen. Da kann zum Beispiel eine Information zur Vertraulichkeit im Home-Office, die Kontrolle der Lauffähigkeit der Virenschutzsoftware und auch das tägliche Auswerten der Logfiles des VPN Servers sowie Prüfungen der Anmeldungen an den Anwendungen viel bewirken.
Abschließend hilft bei jeder der erfolgten technischen oder organisatorischen Anpassung: Die kontinuierliche Information an die Mitarbeiter im Home-Office über die modifizierten Regelungen - weisen sie auf die Gefahren hin. Eine kurze e-Mail ist oft ausreichend und schafft Verständnis.
IRMA - Ganzheitlicher Schutz vor Cyberangriffen in Produktionsanlagen
Mit IRMA® (Industrie Risiko Management Automatisierung) steht jedem Unternehmen mit und ohne Home-Office Anbindungen ein leistungsfähiges Industrie-Computersystem bereit, mit dem Cyberangriffe schnell identifiziert und abgewehrt werden können. Ohne jegliche Aktivitäten im IT-Netz überwacht IRMA® kontinuierlich Produktionsanlagen, liefert Informationen zu Cyberangriffen und ermöglicht die risikobasierte Analyse sowie die intelligente Alarmierung mittels einer übersichtlichen Management-Konsole. Das Monitoring und die Anomalieerkennung bietet ohne Konfiguration umgehend Informationen zum Zustand der vernetzten Automatisierung. So können Risiken frühzeitig bewertet und Aktionen verzögerungsfrei gestartet werden, um einen Angriff zu stoppen oder seine Folgen wirkungsvoll zu entschärfen.