Wien/Köln (pts006/10.04.2020/08:00) – Corona-Kurzarbeit und Zehntausende temporäre Arbeitsplätze in den eigenen vier Wänden befeuern auch verstärkt die Kriminalität im Cyberraum. Ein genauer Blick in die eigene IT-Struktur bzw. die Schaffung geeigneter Sicherungsmaßnahmen sind in der gegenwärtigen Situation ein lohnendes Investment. Die IT-Experten des TÜV AUSTRIA haben nützliche Tipps für Unternehmen entwickelt, die zum sicheren Arbeiten im Home-Office beitragen.
VPN-Zugang für Mitarbeiter einrichten, optimieren und absichern
Der VPN-Zugang ermöglicht einen sicheren Zugang zum Firmennetzwerk. Mitarbeiter können hier Daten abrufen, die sonst nur im Unternehmen (Firmennetz) abgerufen werden können. Der Zugang sollte abgesichert sein bzw. die Authentifizierung durch Zertifikate durchgeführt und zusätzlich durch Multi-Faktor abgesichert werden. Sämtlicher Traffic soll über VPN gehen! Damit ist sichergestellt, dass nichts über die persönliche Internetleitung nach draußen geht. Diese Sicherungsmaßnahmen sollen neben Laptops auch für Firmen-Mobiltelefone eingerichtet sein.
Cloud-Services absichern
Cloud-Services werden gerade im Home-Office vermehrt für den Datenaustausch genutzt. Sie sind eine nützliche Alternative zum Austausch sensibler Daten falls es kein VPN gibt. Cloud-Services können durch Konfiguration der Services selbst (z.B. aktuelle Version, sodass keine bekannten Schwachstellen ausgenutzt werden können), Verschlüsselte Verbindung erzwingen oder Verschlüsselung der Daten in der Cloud abgesichert werden. Beispiele: Microsoft Office 365 (sehr zu empfehlen hierbei: Office 365 Security Audit), Nextcloud (für den einfachen Datenaustausch). Cloud-Services immer nur über Firmenlaptop nutzen.
Verhaltensrichtlinien für Home-Office kommunizieren
Klare Sicherheitsrichtlinien noch einmal (falls schon in Unternehmens-Policy oder Ähnlichem aufgeführt) kommunizieren und durch die aktuelle Bedrohungslage ergänzen. Falls noch nicht vorhanden, unbedingt festlegen, formulieren und kommunizieren.
Für Erreichbarkeit der IT bzw. des ISB sorgen
IT und ISB sollten erreichbar sein. Es empfiehlt sich, Erreichbarkeits-Zeiten und Ansprechpartner festzulegen.
Umgang mit vertraulichen Daten in Papierform
Clean-Desk-Policy soll auch auf den Heimarbeitsplatz adaptiert werden. Keine Informationen offenhalten, die nicht für Dritte bestimmt sind, beispielweise Klebezettel mit vertraulichen Informationen, etwa Passwörter. Unternehmen sollten genaue Vorgaben für das Arbeiten mit vertraulichen Daten geben. Falls sich das Arbeiten mit Papierunterlagen nicht vermeiden lässt, dafür sorgen, dass Mitarbeiter Informationen auf Papier entsprechend sicher entsorgen können: z.B.: Zur-Verfügung-Stellung eines Schredders, Vorgabe / Anleitung zum Löschen von Datenträgern (z.B. USB-Sticks nicht nur formatieren, sondern mind. 1x überschreiben)
Aktuelle Bedrohungen kommunizieren
Regelmäßige Warnung von den ISBs zu aktuellen Bedrohungen und Phishing-Mails, die im Umlauf sind.
Verwendung von privaten Telefonen
Mitarbeiter, die über kein Firmen-Mobiltelefon verfügen, haben die Möglichkeit zur Weiterleitung ihrer Firmen-Telefonnummer auf das private Telefon. Achtung: Es könnten datenschutzrechtliche Probleme (und auch hinsichtlich der Informationssicherheit) entstehen (z.B. Telefonnummer der Kunden, Kunden sprechen auf Mailbox). Es sollte darauf geachtet werden, auf welchem Weg mit dem Telefon kommuniziert wird. Während ein klassisches Telefon/Telefonat wenig bedenklich ist, sind andere Wege über Smartphones, etwa WhatsApp und weitere Nachrichtendienste, vom sicherheitstechnischen Aspekt her nicht zu empfehlen.
Physischer Zugriffs- und Zugangsschutz
– Zugangsschutz: Keine Türen und Fenster offenstehen lassen.
– Zugriffschutz: Vertrauliche Daten in Papierform wegschließen. Laptop sperren, sofern man nicht alleine im Haushalt ist.
Awareness schaffen/verbessern
Gerade jetzt ist die Konzeption und Durchführung von Awareness-Maßnahmen, insbesondere im Kontext Phishing-Mails, besonders wichtig.
Mindestens ebenso wichtig ist die Sensibilisierung für Social Engineering-Angriffe innerhalb von Büros. So sind, unter anderem, gefälschte E-Mails mit Nachrichten zu Filialschließungen der Sparkasse, in denen zu Phishing-Zwecken die geheimen Kundendaten abgefragt werden, unterwegs. In anderen Mails werden etwa Atemschutzmasken und ähnliche Artikel angepriesen, um Daten abzugreifen oder potenzielle Kunden in gefälschte Onlineshops zu lotsen. Es muss auch davon ausgegangen werden, dass Kriminelle versuchen, gezielte E-Mails an Mitarbeiter zu senden.
Deswegen gilt:
– Absender einer E-Mail kontrollieren
– Links in E-Mails genau überprüfen
– Gefälschte E-Mails an die IT-Abteilung melden
– Besonders Zahlungsaufforderungen prüfen
– Niemals das eigene Passwort auf einer unbekannten Internetseite eingeben
Technischer Zugriffsschutz
– Härtung der eingesetzten IT-Systeme (Telefon, Laptop, Tablet etc.)
-Speichermedien und Datenträger verschlüsseln (z.B. eingebaute Festplatte, USB Stick etc.)
– Zeitnah die Updates installieren und damit die bestmögliche Sicherheit zu garantieren. Software auf aktuellstem Stand halten und Ausschau halten nach Zero-Days (eine Zero-Day-Lücke ist eine Schwachstelle in einer Firmware, Hardware oder Software. Die Security ist geschwächt, da kein Patch zur Verfügung steht). Keine Daten lokal auf dem Gerät, da diese bei einem möglichen Ausfall nicht mehr wiederherstellbar verloren sind.
Weblink: https://www.it-tuv.com
(Ende)
Aussender: TÜV TRUST IT TÜV AUSTRIA
Ansprechpartner: Christina Ennenbach
Tel.: +49 221 969789 61
E-Mail: christina.ennenbach@tuv.at
Website: www.it-tuv.com