08.04.2020

Datensicherheit im Homeoffice: Hacker verbreiten sich ebenso rasant wie Covid-19

Der Titel dieses Beitrags mag dem einen etwas platt oder dem anderen blasphemisch oder grenzüberschreitend sein. Tatsache ist, dass die Angst vor dem Coronavirus (alias Covid-19) dem Arbeiten im Homeoffice einen unerwarteten und explosionshaften Aufschub gegeben hat. Wie gehen Sie als CEO, Geschäftsführer oder IT-Verantwortlicher mit der Datensicherheit im Homeoffice um?

Von: Lars Behrens  DruckenTeilen 

Lars Behrens, Dipl.-Paed

Lars Behrens ist Geschäftsführer der Firma MaLiWi IT. Staatlich geprüfter Netzwerkadministrator, Microsoft MCP/Linux LCP. Er hat langjährige Erfahrung in der Beratung bei Planung und Einrichtung von IT-Systemen und Netzwerken und dem Support heterogener Systeme (Apple Macintosh, Microsoft Windows, Linux). Universitätsstudium der Pädagogik, mehrere Jahre Tätigkeit im Ausland. Seminar- und Kursleiter, Referent und Fachbuchautor. Weiterhin ist er Herausgeber von dem Online-Fachportal «InformatikPraxis» bei der WEKA Business Media AG.

MaLiWi IT

Datensicherheit im Homeoffice

Corona-Pandemie und Homeoffice

Viele Unternehmen waren natürlich auch schon vor der Corona-Pandemie auf Homeoffice und mobiles Arbeiten eingestellt, beides sind ja beileibe keine Erfindungen dieser Tage. Im Kern geht es immer darum, Ressourcen des Unternehmens für den Zugriff auch von Orten ausserhalb des Unternehmensnetzwerks bereitzustellen. Innerhalb der Firma ist ja ohnehin alles über Datenleitungen miteinander vernetzt - wieso das nicht auch durch den Router hindurchschleusen?

Nun, da ist zum Einen die Frage der Sicherheit und Vertraulichkeit. Leider ist es auch im Jahr 2020 noch immer keine Selbstverständlichkeit, die unternehmenseigenen Datenströme grundsätzlich nur verschlüsselt über abgesicherte Leitungen zu leiten; in so manchem Unternehmen könnte man sich wohl auch heute noch ins Netzwerk einklinken und sensible Daten abfangen. Dazu bedürfte es aber eines physikalischen Zugangs zum Firmennetzwerk - und den haben ausser Betriebsangehörigen nur Einbrecher und Hacker. Stellen sie Ihre IT-Infrastruktur aber über das weltweite Netz quasi jedermann zur Verfügung, müssen Sie strengstens auf Begrenzungen, Reglementierungen und Kontrollen achten.

Das müssen Sie zur Datensicherheit im Homeoffice beachten

  • VPN: von den virtuellen privaten Netzwerken hat sicher jeder schon mal gehört. Hierzu werden am Router des Unternehmens (vereinfacht gesagt) entsprechende Techniken beötigt, die dafür sorgen, dass ein PC oder Laptop von beliebiger Stelle des Internets aus eine Verbindung zum Unternehmensnetzwerk herstellen kann - so, als sässe derjenige direkt am Arbeitsplatz. VPN-Techniken dürfen heutzutage als ausreichend sicher und technisch beherrschbar gelten, allerdings bleibt immer die Notwendigkeit, auf dem externen Gerät und der Firewall des Unternehmens entsprechende Zugänge bereitzustellen. Der Nachteil liegt also in der (relativen) Komplexität und der prinzipiellen Angreifbarkeit des Unternehmensnetzwerks: Wer per VPN quasi virtuell das Büro betreten hat, könnte über sein im häuslichen Umfeld stehendes Gerät auch Schadsoftware ins Unternehmen einschleusen. Diese Problematik verschärft sich noch erheblich, wenn die Mitarbeiter ihre eigenen, privaten PCs und Laptops für den VPN-Zugang nutzen - dazu gleich noch mehr.
  • Fernzugriffe mit externen Lösungen: Auch ohne Schleichwerbung kommt damit der Markenname Teamviewer ins Spiel. Hiermit betreiben Sie quasi eine Art Dreiecksverhältnis. Es geht aber weniger um eine amouröse Ménage-à-trois - vielmehr beschreibt es das Prinzip von Teamviewer (und meistens auch das der konkurrierenden Lösungen): Sie als Anwender starten am Büroarbeitsplatz AnyDesk, Teamviewer oder eine ander , bauen von Ihrem PC aus eine Verbindung zum Server des Anbieters (Teamviewer, AnyDesk usw.) auf, der Arbeitsplatz im Büro ebenfalls. Über diesen gemeinsamen Schnittpunkt finden externer PC und PC im Unternehmen zueinander, nach erfolgreichem Verbindungsaufbau läuft der Datenaustausch üblicherweise direkt zwischen lokalem und entferntem PC ab. Solche Lösungen sind sehr einfach herzustellen und offenbar gerade der absolute Renner für Homeoffice-Arbeitsplätze unter Coronavorzeichen. Sie bemötigen nut die Fernzugriffssoftware auf beiden Seiten, natürlich müssen noch Lizenzfragen geklärt werden (Teamviewer zum Beispiel lässt lizenzrechtlich nur die private Nutzung zu, wenn man die kostenlose Version nutzen möchte) - aber ansonsten haben Sie Quik'n'dirty Ihr Homeoffice eingerichtet. Wie bereits erwähnt, haben hier auch andere Mütter schöne Söhne - neben Teamviewer ud AnyDesk sollten noch folgende genannt werden:
  • Ammyy Admin
  • Mikogo
  • ThinVNC
  • UltraVNC
  • Chrome Remote Desktop
  • WebEx Meetings
  • LogMeIn
  • Cloudlösungen: Sie können natürlich auch Ressourcen wie Emails, Kalender, Kontakte, Dateien in eine Cloud legen - bekannte Beispiele hierfür sind die Google-Cloud und Microsofts Collaborationstools, Office 365 lässt grüssen. Damit sind Sie der Sorgen um die notwendige Sicherheitstechnik weitgehend entbunden, die Verbindungen zwischen Cloud und Endgerät sind nach aktuellem Stand der Technik gesichert. Sie müssen sich auch nicht um Server, Router oder Firewalls kümmern, sondern nur noch die Ressourcen verwalten. Allerdings ist das, was die Cloud leisten kann, begrenzt – so können Sie vermutlich Ihre Branchensoftware nicht „mal eben“ in die Cloud legen.

Keep it stupid simple

Der nächste Punkt berührt damit auch gleich schon die Technik. Eine der elementarsten Regeln in der IT lautet: "Keep It Stupid Simple" (KISS-Prinzip). Damit ist gemeint, dass komplexe Lösungen dazu neigen, entweder überteuert oder schlecht umsetzbar oder wenig akzeptiert zu sein. Haben Sie noch keine VPN-Infrastruktur im Unternehmen etabliert und bietet Ihr Router dies nicht an, sollten Sie entweder die Finger davon lassen oder sich externe Expertise ins Haus holen - nur ist diese in Zeiten der Corona-Krise teuer oder ausgebucht. Greifen Sie also im Zweifelsfall auf keine als eine schlechte Lösung zurück, und analog besser auf die naheliegende als eine mit überzogenen Ansprüchen. So bieten beispielsweise die FritzBoxen von AVM einen relativ einfach einzurichtenden VPN-Zugang. Hätten Sie´s gewusst?

Zugriff von aussen

Und schliesslich müssen Sie als gegebenenfalls Verantwortlicher auch noch die Frage beantworten, mit welchen Geräten denn der Zugriff von Aussen durchgeführt werden soll - den kompletten Büroarbeitsplatz am heimischen Schreibtisch aufzubauen, ist in diesen aussergewöhnlichen Tagen durchaus keine Seltenheit, aber so richtig praktikabel ist es nicht. Üblicherweise stellt man eigene Mobilgeräte - Laptops oder Tablets - zur Verfügung oder erlaubt die Nutzung der privaten PCs und Laptops. Auch letzteres - BYOD, Bring Your Own Device - ist ein alter Hut. Der Vorteil liegt auf der Hand: BYOD im eigenen Unternehmen steht hier einmal aussen vor, aktuell geht es darum, den Remotezugriff auf unternehmenseigene Ressourcen auch von privaten IT-Systemen aus zu ermöglichen.

Ob diese Nutzung privater Geräte eine Gefährdung sensibler Daten oder der IT-Systeme eines Unternehmens überhaupt darstellt, ist eine strittige Frage unter IT-Sicherheitsexperten und Datenschützern.

VPN-Tunnel Netzlaufwerk

Wenn von einem externen Gerät aus per VPN-Tunnel Netzlaufwerke, Drucker oder sonstige freigegebene Ressourcen des Unternehmens genutzt werden, geschieht die Verarbeitung auf dem externen Gerät und somit ist eine direkte Verbindung extern <=> intern hergestellt. In einem solchen Fall sollten private Geräte nicht genutzt werden, sondern lediglich Geräte, die durch die unternehmenseigene IT eingerichtet, kontrolliert und gewartet werden.

Eine überhaupt nicht empfehlenswerte Methode ist die Mitnahme von Daten des Unternehmens auf Datenträgern (USB-Stick o.ä.) beziehungsweise die Übertragung per digitaler Infrastruktur (Versand per Email, Cloud, Dropbox o.ä.)! Ein solches Vorgehen ist aus naheliegenden Gründen des Datenschutzes und der IT-Sicherheit unbedingt zu unterlassen! Geeignete technische Massnahmen (Sperren von USB-Ports, Fileserverlinks u.a.) müssen durch organisatorische Massnahmen flankiert sein (Betriebsbestimmungen über die Nichtgestattung solcher Datenübertragungen, Sensibilisierung der MA usw.).

Wenn auf den extern genutzten Geräten keine Daten des Unternehmens direkt verarbeitet werden, sollte die Nutzung unter IT-Sicherheitsaspekten oder aus datenschutzrechtlicher Sicht kein Problem darstellen. Dies ist der Fall, wenn über so genannte VDI- oder Remote Desktop-Techniken auf die Systeme des Unternehmens zugegriffen wird. Der Zugriff per Teamviewer, AnyDesk o.ä. und/oder Remote Desktop (RDP) stellt keine lokale Verarbeitung der Daten auf dem externen Gerät dar. Es werden lediglich die Bildschirmausgabe wiedergegeben und die Maus- und Tastatureingaben übertragen. Ob für den Zugriff zuvor ein VPN-Tunnel aufgebaut wurde, spielt nur eine untergeordnete Rolle.

Es gibt allerdings einige Einschränkungen

  1. Unabhängig von der verwendeten Technik stellt der Zugriff auf Ressourcen des Unternehmens von externen Geräten aus immer eine potentielle Gefährdung der IT-Sicherheit und der Belange des Datenschutzes dar! Es kann nicht kontrolliert werden, wer alles die Geräte nutzt und/oder wer bei der Verarbeitung Einblick hat (klassische Beispiele: Familienmitglieder, die „mal eben“ über die Schulter schauen, vergessene Logins usw.).
  2. Die Gefahr, dass externe (mithin private) Geräte von einer Schadsoftware befallen sind und hierüber auch die Ressourcen des Unternehmens betroffen sein könnten, ist bei einem privaten Gerät in der Regel (!) höher als bei einem unternehmenseigenen Gerät, welches von der IT kontrolliert und in entsprechende Sicherheitsmassnahmen eingebunden wird. Es sollten also zumindest aktuelle Betriebssysteme mit allen Updates sowie ein Schutz vor Schadsoftware aufgespielt sein!

Es besteht zudem die theoretische Möglichkeit, dass externe Geräte über einen VPN-Tunnel unerwünschten Zugriff auf unternehmenseigene Ressourcen erlangen. Hier ist im Einzelfall abzuwägen, ob und wie der Zugriff gestattet sein soll. Einmal mehr: Das direkte Einbinden von Freigaben sollte nur auf Geräten des Unternehmens gestattet sein.

Der Zugriff auf die Systeme des Unternehmens von privaten Geräten sollte also immer nur im Notfall und ausnahmsweise gestattet sein und entsprechend dokumentiert und protokolliert werden. Nach allgemeiner Einschätzung möglichst zu unterbinden ist die Nutzung von Telefoniegeräten - Smartphones und Tablets, von wenigen Ausnahmen (Blackberry u.ä.) abgesehen. Die Kontrollmöglichketen sind in der Regel eingeschränkt, ebenso die Schutzmöglichkeiten (leicht auszuhebelnde PIN-Sperre u.a.). Falls die Nutzung mobiler Geräte erwogen wird, muss dies unbedingt durch ein Mobile Device Management (MDM) begleitet werden.

Produkt-Empfehlungen

  • InformatikPraxis

    InformatikPraxis

    DIE ultimative Praxislösung für IT-Entscheider!

    ab CHF 168.00

  • Rechtssicher

    Rechtssicher

    Sicherheit bei Rechtsfragen im Geschäftsalltag

    Mehr Infos

  • IT-Verträge

    IT-Verträge

    Die wichtigsten IT-Verträge nach Schweizer Recht – von Experten geprüft und laufend aktualisiert.

    Mehr Infos

Seminar-Empfehlungen

  • Praxis-Seminar, 1 Tag, ZWB, Zürich

    IT-Security – Sicherheitslücken analysieren, entschärfen und vermeiden

    Systeme absichern und der zunehmenden Cyber-Bedrohung entgegenwirken

    Nächster Termin: 03. Dezember 2020

    mehr Infos

  • Praxis-Seminar, 1 Tag, ZWB, Zürich

    Datenschutz am Arbeitsplatz

    Rechte und Pflichten im Umgang mit Mitarbeiter- und Bewerberdaten

    Nächster Termin: 03. November 2020

    mehr Infos

Um unsere Website laufend zu verbessern, verwenden wir Cookies. Durch die Nutzung dieser Website stimmen Sie der Verwendung von Cookies zu. Mehr Infos