Der Umzug ins Homeoffice erweist sich aus Sicht der IT-Sicherheit als eine gro0e Herausforderung. Wie man ihr begegnen kann erläutern fünf Experten aus dem IT-Security-Umfeld: Robert Engel, Geschäftsführer der deutschen RAZ-LEE GmbH, Torsten Wiedemeyer, Regional Director bei Adaptiva für Central & Eastern Europe, Thomas Uhlemann, Security Specialist bei ESET Deutschland, Roman Borovits, Senior Systems Engineer für F5 Networks und Fred Tavas Director Sales für den Bereich DACH sowie Central and Eastern Europe bei Trustwave.
„Mitarbeiter im Homeoffice sind oft nicht ausreichend gegen aktuelle Bedrohungen wie Ransomware, oder Phising-Attacken geschützt“, bringt es Fred Tavas auf den Punkt. Er plädiert für den Einsatz von Managed Security Services Provider, denn die könnten dabei unterstützen, in kürzester Zeit Daten wirksam zu schützen.
Für Robert Engel ist der Umzug ins Homeoffice und die damit verbundene Umstellung seitens der Firmen eher das kleinere Problem: „Firewalls mit IPSEC-Clients bieten eine sehr gute und sichere Anbindung an das Firmennetz“, erläutert Engel. „Damit und darüber kann auch performant gearbeitet werden – wenn auf beiden Seiten leistungsfähige Internetverbindungen vorhanden sind. Daran scheitert es leider in manchen Fällen.“
Ansonsten haben sich nach seiner Einschätzung Mitarbeiter auch dank Werkzeugen für virtuelle Zusammenarbeit wie Gotomeeting, Zoom, Webex, etc. gut an das Arbeiten von zuhause gewöhnt und Unternehmen sehen, dass die Produktivität nahezu genauso gut sein kann als wenn die Mitarbeiter im Unternehmen sitzen. Als positive Nebeneffekt stellt Engel fest: „Die Ökobilanz und die persönliche Arbeits- und Pendelzeitbilanz verbessern sich gleichermaßen.“
Die zeitabhängige Komponente
„In der Anfangsphase der Pandemie mussten Unternehmen schnell Lösungen für das Homeoffice einführen und konnten nicht immer Sicherheitsaspekte ausreichend berücksichtigen“, erläutert Roman Borovits. „Da die Not- zur Dauerlösung wird, ist dies nachzuholen. So müssen KMUs sicherstellen, dass die Infrastruktur ausreichend skalierbar ist und die Einwahlmöglichkeiten in das Netzwerk gut abgesichert sind. Hierzu müssen die Strukturen angepasst werden.“
Als Beispiel verweist der Security-Experte auf das Thema VPN: „Üblicherweise setzt ein VPN-Zugang eine Verbindung in ein zentrales System voraus. Doch im Zuge von Cloud-Anwendungen wie Microsoft 365 wirkt eine zentrale Firewall im eigenen Rechenzentrum nicht mehr. So ist der Browser-Zugriff etwa durch TLS-Verschlüsselung abzusichern. Auch eine Überprüfung der Identitäten ist Pflicht, da Zugangsdaten gestohlen werden können. Entsprechend reichen Kennwort und Passwort nicht aus. Es sind viele Faktoren zu prüfen wie Region, genutztes Gerät oder aufgerufene Apps. Dabei sorgen Federation Services dafür, dass eine Authentifizierung genügt.“
Ein weiteres Problemfeld spricht Torsten Wiedemeyer an: „Im Homeoffice sind die Computer der Mitarbeiter oft nicht für die zentralen Security-Prozesse erreichbar, vor allem wenn sie sich nicht über VPN ins Netzwerk einwählen. Die Nutzung von Cloud-Anwendungen macht es einfach, auf VPNs zu verzichten – ein Internetzugang reicht zum Arbeiten.“
Adaptiva ermögliche es Unternehmen, flexibel auf diese Anforderungen zu reagieren. Sie können die Computer der Mitarbeiter unabhängig von ihrem Standort mit Software und Patches versorgen und sie konfigurieren.
Einen Paradigmen-Wechsel stellt Thomas Uhlemann fest: „Das einst geschützte, lokale Netzwerk wird durch die Pandemie-bedingte Umstellung auf mobiles Arbeiten oder das Home-Office plötzlich ‚nach außen verteilt‘“. Dadurch entstehen nach seiner Einschätzung Themenfelder, die vorher so auf keiner Agenda standen: „Zugriffe von außen auf das Firmennetzwerk müssen abgesichert werden. Doch VPN und 2-Faktor-Authentifizierung sind selten vorhanden, müssen nun aber dringend evaluiert und beschafft werden. Dafür fehlen oft Zeit und Geld – und viel schlimmer: ob überhaupt das Bewusstsein für beiden Technologien existiert.“
Außerdem seien längst nicht alle Unternehmen in der Lage, ihre Mitarbeiter mit eigener Hardware komplett auszustatten. „Wir reden also von privaten Endgeräten, die sich über schlecht gewartete Heimrouter mit der Firma austauschen“, betont Uhlemann. „Da die Arbeitgeber den Angestellten keine Softwareinstallation auf privaten Geräten vorschreiben und entsprechend auch nicht zentral verwalten können, fehlt der Security-Überblick oft völlig. Die Investitionen sollten sich zuerst auf Firmengeräte mit entsprechender Softwareausstattung und Verwaltung konzentrieren. Malwareschutz, der auch E-Mails prüft, Verschlüsselung, VPN und 2FA – zentral verwaltet – sind daher nahezu Pflicht.“
Rainer Huttenloher
Das Thema “Schutz vor Ransomware” haben sich die fünf Experten hier vorgenommen.