Der Homeoffice-Sicherheitscheck

Das Homeoffice gehört für viele Berufstätige dazu. Doch wie steht es um Sicherheit, Datenschutz und den richtigen Umgang mit Informationen?

18.05.2022 - Christian Schön -10 MinutenZukunft der Arbeit

Bei der flächendeckenden Umstellung auf Homeoffice im Zuge der Coronapandemie gab es von Beginn an technische Herausforderungen, Übergangslösungen und Kompromisse. Auch nach der teilweisen Rückkehr in die Büros bleibt für Arbeitgeber:innen und Arbeitnehmer:innen eine zentrale Frage: Wie lässt sich ein sicheres Homeoffice gestalten?

Besonders in Deutschland war das Homeoffice viele Jahre lang verpönt: von Vorurteilen über die Arbeitsmoral bis zu Sicherheitsbedenken. Dann kam Corona und änderte alles. Für viele Unternehmen wurde das Homeoffice zur guten Alternative, um Mitarbeiter:innen zu schützen und den Betrieb aufrechtzuerhalten.

Die technischen Anforderungen stellten dabei eine Hürde dar. Insbesondere kleinere Unternehmen verfügten oft über keine angemessene IT-Infrastruktur, sodass Arbeitnehmer:innen auf private Geräte ausweichen mussten. Damit einher gingen Sicherheitsrisiken hinsichtlich eines ausreichenden Schutzes von Unternehmens- und Kundendaten.

Für potenzielle Angreifer stellt das Homeoffice das schwächste Glied in der Kette dar und wird so zum Cyberrisiko. Die Herausforderung im Homeoffice besteht darin, am externen Arbeitsplatz einen sicheren Zugriff auf die internen IT-Infrastrukturen zu ermöglichen und gleichzeitig Informationssicherheit zu gewährleisten.

Sicherheit hat viele Facetten. Angefangen bei technischen Themen wie Firewalls und VPNs über Passwörter- und Virenschutz bis hin zur Daten- und Informationssicherheit. Die Herstellung von Sicherheit im Homeoffice beginnt schon bei der Wahl des Arbeitsortes: Gibt es einen separaten Raum, der ausschließlich zum Arbeiten genutzt wird? Oder sitzt man gemütlich im Wohnzimmer, während die Kinder Hausaufgaben machen?

Leitfaden

Die Sicherheit im Homeoffice erhöhen
Viele der folgenden Maßnahmen sind für jede und jeden relevant, der im Homeoffice arbeitet, unabhängig davon, ob es sich um Arbeitnehmer:innen, Arbeitgeber:innen, Führungskräfte oder Angestellte handelt. Der folgende Leitfaden soll alle Unternehmen und Personen, die zukünftig (auch) von Zuhause aus arbeiten, für die wichtigsten Stellschrauben der Sicherheit sensibilisieren.

Der erste und wichtigste Schritt besteht darin, eine umfassende Bestandsaufnahme des Status quo vorzunehmen. Darüber hinaus empfiehlt es sich für Arbeitgeber:innen, regelmäßig zu überprüfen, welcher Sicherheitsstand bei der Umsetzung bislang möglich war und welche Maßnahmen noch umgesetzt werden müssen. Nur wenn Wissen über den aktuellen Stand vorhanden ist, lassen sich anstehende Aufgaben priorisieren.

Infrastruktur der Mitarbeiter:innen evaluieren

Bei der Evaluierung der Infrastruktur des Homeoffice gilt es zunächst, das Netzwerk und alle daran angeschlossenen Geräte im Haushalt zu überprüfen. Mitarbeiter:innen sollten über die neueste Version von Betriebssystem, Firmware oder Antivirus-Software verfügen. Insbesondere sollte der Router, über den auf das Internet zugegriffen wird, stets auf dem neuesten Release-Stand sein. Arbeits- und Privatnutzung sollte strikt getrennt bleiben: Geräte, die für berufliche Zwecke genutzt werden, sollten nicht für andere Zwecke dienen, etwa als Spielgerät für Kinder.

Das Smarthome als Sicherheitsrisiko

Wenn das Smarthome zum Homeoffice wird, sollten die damit einhergehenden Risiken bewusst gemacht werden: Die Sicherheitsstandards der Hersteller werden zum Sicherheitsstandard des Homeoffice. Im Grunde genügt es, wenn der vernetzte Toaster oder die smarte Glühbirne das WLAN-Passwort ungeschützt bereitstellt, um ein Netzwerk erfolgreich zu kompromittieren. Darum sind regelmäßige Updates für alle Geräte Pflicht. Wenn möglich, sollten unnötige Netzwerkfunktionen abgeschaltet werden.

Schritt für Schritt zum sicheren Homeoffice

Es gibt eine Reihe von Maßnahmen, mit denen zügig ein Mindestmaß an Sicherheit hergestellt wird. Allen voran gehören dazu klare und verbindliche Regelungen für die Mitarbeitenden sowie grundlegende Schutzmaßnahmen wie der Einsatz von Firewalls, die Verwendung von Virenschutzprogrammen oder regelmäßige Datensicherungen. Wenn das Homeoffice in den Regelbetrieb überführt wird, sollte das Sicherheitsniveau Schritt für Schritt erhöht werden. Arbeitgeber:innen sollten mithilfe regelmäßiger Sicherheitsprüfungen sicherstellen, dass folgende Maßnahmen durchgeführt werden:

regelmäßiges Einspielen von Software- und Firmware-Updates sowie Patches
regelmäßige Überprüfung von Konfigurationen, Benutzer- und Administratorrechten
regelmäßiges Prüfen und Anpassen von Prozessen an veränderte Sicherheitslagen
regelmäßiges Schulungsangebot zur Security Awareness mit Schwerpunkt auf die Situation im Homeoffice

Gibt es keine Abteilung, die sich zentral um die IT-Struktur kümmert, ist es zentral, für technische Fragen zuständige Personen im Unternehmen zu benennen, an die Mitarbeiter:innen sich bei Fragen wenden können.

Security Awareness im Homeoffice: Mitarbeitende sensibilisieren

Keine technische Lösung kann die „Schwachstelle Mensch“ umgehen. Darum sollten Arbeitgeber:innen ihre Belegschaft regelmäßig für Sicherheitsthemen sensibilisieren, die spezifisch auf das Arbeiten im Homeoffice zugeschnitten sind. Dafür bieten sich Handouts, Newsletter oder gesonderte E-Mails sowie Security-Awareness-Workshops an.

Im Zuge der Coronapandemie konnte insbesondere im Bereich des Social Engineerings eine Zunahme an Aktivität beobachtet werden. Darunter werden Cyberangriffe verstanden, die zum Ziel haben, Menschen so zu täuschen oder manipulieren, dass über sie – willentlich oder unwillentlich – der Zugang zum Unternehmensnetzwerk möglich wird. Gerade in der vertrauten Umgebung des Homeoffice werden Gefahren unterschätzt: von Phishingmails, über die Zugangsdaten abgegriffen werden sollen, über das ungeprüfte Öffnen von Anhängen, in denen sich Schadsoftware befinden kann, bis hin zum Aufrufen von Links, die zu schadhaften Seiten führen.

Familie und Mitbewohner:innen sind Teil des Homeoffice, es gilt, sie über Sicherheitsvorkehrungen zu informieren. Beruflich genutzte Geräte sollten ausschließlich für Arbeitszwecke und nicht von anderen Personen verwendet werden. Zur Trennung von Privatem und Beruflichem gehört, sich nicht über Arbeitsgeräte in soziale Netzwerke einzuloggen. Wird ein privates Gerät für Arbeitszwecke genutzt, sollte ein separater Firmenaccount auf dem Gerät eingerichtet werden, um einen sicheren Zugang zu firmeninternen Seiten bzw. Software zu ermöglichen.

Tipps & Tricks

So werden Passwörter sicher
Auch wenn sich kurze Passwörter sehr viel leichter erraten lassen, sind lange Passwörter nicht per se besser. Wer das gesamte Alphabet als Passwort nutzt, hat zwar ein langes, jedoch nicht unbedingt sicheres Passwort. Auch Namen oder einzelne Wörter, die sich im Wörterbuch finden lassen, bieten keine Sicherheit. Ebenso zu vermeiden sind Geburtsdaten oder andere Zahlen, die eindeutig mit Personen in Verbindung stehen.

Sichere Passwörter zeichnen sich durch eine Mindestlänge von 8 Zeichen aus, wobei 20 Zeichen und mehr ratsam sind. Neben Zahlen und Buchstaben sollten unbedingt auch Satz- und Sonderzeichen verwendet werden. Bei der Verwendung von Umlauten ist zu bedenken, dass diese bei Reisen ins Ausland manchmal nicht auf der Tastatur zu finden sind.

Ein sicheres Passwort zu finden, ist ein Balanceakt. Denn die Komplexität von Passwörtern macht sie zwar sicher, aber dadurch lassen sie sich schwerer erinnern. Ein guter Kompromiss besteht darin, sich eine Phrase zu merken, aus der sich das Passwort ableiten lässt. Aus dem Satz „Es ist kaum zu glauben, aber sieben Römer kamen zu Cäsars Krönung!“ ergibt sich das Passwort „Eikzg,a7RkzCK!“.

Das regelmäßige Ändern von Passwörtern erhöht die Sicherheit, aber gleichzeitig die Schwierigkeit, sich wieder neue Passwortphrasen zu merken. Eine technische Lösung für dieses Problem ist das Verwenden eines Passwortmanagers, der arbeitgeberseitig zur Verfügung gestellt werden kann. Zugangsdaten und Passwörter auf Papier aufzuschreiben ist keine gute Lösung, denn durch unachtsames Wegwerfen können diese so in falsche Hände geraten.

So stellen Sie Sicherheit im WLAN her

Auch wenn eine kabelgebundene Verbindung zum Internet (LAN) die sicherste Netzwerkvariante darstellt, ist das kabellose WLAN verbreiteter. Eine Möglichkeit, das WLAN-Netzwerk sicher zu machen, besteht darin, den Router mit einer Firewall abzusichern. Das WLAN sollte mit einem hohen Verschlüsselungsstandard arbeiten: entweder WPA2- oder im Idealfall WPA3-Verschlüsselung, wobei diese noch nicht von allen Geräten unterstützt wird. Ungesicherte Netzwerke können sehr leicht zum Ziel von Angreifern werden.

Die VPN-Verbindung als Goldstandard

Wenn es um sichere Kommunikation im Homeoffice geht, gilt die Verbindung per VPN (Virtual Private Network) inzwischen als Goldstandard. Sie bietet ein vergleichbares Maß an Sicherheit wie eine direkte, kabelbasierte Verbindung zwischen Unternehmen und Homeoffice. Ein VPN ermöglicht einen direkten, verschlüsselten und auf Wunsch anonymisierten Datenaustausch zwischen Sender und Empfänger. Damit ist ein VPN ein Garant für sichere Kommunikation – sowohl was den Zugriff auf interne Infrastruktur als auch über Webbrowser hergestellte Verbindungen betrifft.

Arbeitgeber:innen sollten bei der Wahl eines geeigneten VPN-Dienstes darauf achten, dass dieser eine ausreichende Kapazität für die benötigte Anzahl an Arbeitsplätzen gewährleistet, schnelle Verbindungsgeschwindigkeiten für einen ausreichend schnellen Datenfluss bereitstellt und genügend Flexibilität für zukünftige Bedarfe aufweist.

Kollaborationssoftware, Cloud- und Messenger-Dienste prüfen

Ohne Cloud-Dienste zur Kollaboration oder Messenger für den Austausch kommt das Homeoffice schwer aus. Grundsätzlich sollten vor der Implementierung neuer Software die damit verbundenen Risiken, Integrität und Verfügbarkeit geprüft werden. Fällt eine Cloud-Anwendung für mehrere Tage aus, bedeutet das auch einen Arbeitsausfall für die Anwender. Auch können Schwachstellen in der Software oder Plug-ins als Hintertür für Angriffe benutzt werden. Bei der Verwendung von Messenger-Diensten sowie beim Austausch von sensiblen Daten sollte unbedingt auf eine Ende-zu-Ende-Verschlüsselung geachtet werden.

Datenschutz und Informationssicherheit

Auch Datenschutz und Informationssicherheit müssen beim Thema sicheres Homeoffice betrachtet werden. Angefangen beim Umgang mit Kundendaten bis zur Bearbeitung von Dokumenten mit sensiblen Informationen: Zwar haftet in der Regel die private Haftpflichtversicherung von Arbeitnehmer:innen, wenn durch Unvorsichtigkeit im Homeoffice ein solcher Schaden verursacht wurde. Dennoch sollte jede/r im Homeoffice darauf achten, wer Gespräche am Heimarbeitsplatz mithören kann. Niemand sollte Zugriff auf Ausdrucke haben, nicht mehr benötigte Unterlagen nicht als Schmier- oder Bastelpapier verwenden.

Es ist sinnvoll, wenn Arbeitgeber:innen Leitlinien für das Arbeiten im Homeoffice ausarbeiten, die genaue Regelungen zu Datenschutz und Informationssicherheit enthalten. Regelmäßige Schulungen für die Belegschaft sind ratsam. Einen ausreichenden Schutz bieten zudem Informationssicherheitssysteme (z. B. nach ISO 27001), etwa in Form eines Informationssicherheits-Managementsystems.

Der Härtetest: Lassen Sie sich hacken!

Es gibt eine einfache Möglichkeit für Arbeitgeber:innen, um herauszufinden, ob die gesetzten Maßnahmen ein sicheres hybrides Arbeiten in einem Unternehmen ermöglichen: Lassen Sie sich hacken! Anbieter von IT-Sicherheitslösungen führen dabei einen echten Angriff durch, ohne dass die Arbeitnehmer:innen vorab informiert werden. So ein Härtetest legt die Schwachstellen offen und erhöht das Bewusstsein der Belegschaft für das Thema Sicherheit.

Überblick

Checkliste für ein sicheres Homeoffice

Klar definierter Homeoffice-Arbeitsplatz: Es gibt viele gute Gründe für eine klare Trennung von Beruflichem und Privatem. Aus Sicherheitsperspektive erleichtert sie den Schutz von unternehmenseigenen Daten, Informationen und Dokumenten.
Einhaltung von Firmenrichtlinien: In vielen Unternehmen gibt es zahlreiche Richtlinien zur IT-Sicherheit: Passwortrichtlinien, Vorfallsreaktionspläne, VPN-Firmenrichtlinien oder Richtlinien für Supportprozesse sowie für den Umgang mit privaten Arbeitsgeräten. Diese gelten auch im Homeoffice.
Security Awareness - erst nachdenken, dann klicken: Zahlreiche Formen von Cyberangriffen bauen auf die Unachtsamkeit von Menschen. Die beste Waffe gegen Methoden wie Phishing oder Social Engineering ist das Bewusstsein für die Gefahren.
Absicherung des privaten Netzwerks: Der Sicherheitsstandard des privaten Netzwerks wird im Homeoffice zu dem des Unternehmens, das muss allen Mitarbeiter:innen klar sein. Sie sollten daher die Sicherheitsfunktionen des Routers (Firewall) sowie die Verschlüsselung (WPA2 oder WPA3) aktivieren und ein sicheres Passwort wählen. Noch besser ist die direkte Kabelverbindung (LAN) zwischen PC und Router.
Verwendung eines VPNs: Ein Virtual Private Network (VPN) stellt eine sichere Netzwerkverbindung zwischen Homeoffice und Firmennetzwerk her. Sensible Daten werden verschlüsselt zwischen dem Endgerät der Arbeitnehmer:innen und einem Gateway im Firmennetz übertragen. Die Ende-zu-Ende-Verschlüsselung des VPNs macht es für Außenstehende quasi unmöglich, Daten abzufangen.
Virenschutz überprüfen und Software aktuell halten: An der Verwendung eines Virenschutzprogramms führt im Homeoffice kein Weg vorbei. Eine regelmäßige Aktualisierung von Antivirenprogrammen sowie Updates der Viren-Datenbanken sind Pflicht. Auch Betriebssysteme und Programme sollten aktuell gehalten werden.
Regelmäßige Datensicherung: Für den Fall der Fälle lohnt es sich, regelmäßig Daten zu sichern. Wenn Hardware defekt wird oder Angriffe passieren, bei denen Daten verschlüsselt werden und Lösegeld gefordert wird („Ransomware-Attacke“), kann eine Sicherung Schlimmeres verhindern.
Keine lokale Speicherung von Daten: Im Homeoffice müssen unweigerlich Dokumente und Daten bearbeitet werden. Wenn möglich, sollten diese nur in Ausnahmefällen auf der lokalen Festplatte zwischengespeichert werden. Aus Datenschutzgründen sollten diese zeitnah unwiderruflich gelöscht werden. Im Idealfall werden Daten auf einer Cloud gespeichert und bearbeitet. Alternativ kommt eine externe Festplatte zum Einsatz.
Beruflicher E-Mail-Account: Vor allem für den E-Mail-Verkehr gilt eine strikte Trennung von Beruflichem und Privatem. Der private E-Mail-Account sollte nicht für berufliche Kommunikation genutzt werden. Den höchsten Sicherheitsstandard bietet der Zugriff auf Firmen-E-Mails via Web-Client.
Schnittstellenkontrolle: Schnittstellen sind Gefahrenquellen: Ein unachtsam angeschlossener USB-Stick oder eine installierte App, die auf Kamera und Mikrofon Zugriff hat, können großen Schaden anrichten. Im Homeoffice kann die Hemmschwelle für ein solches Verhalten niedriger sein. Eine Schnittstellenkontrolle bietet hier wirksamen Schutz.
Auch im Homeoffice - Gerätesperre aktivieren: Wer seinen Arbeitsplatz auch nur kurz verlässt, muss die Geräte- oder Bildschirmsperre aktivieren. Beide verhindern den Zugriff Unbefugter auf sensible Daten.
Zwei-Faktor-Authentifizierung: Homeoffice-Arbeitsplätze sind durch einen Authentifizierungsprozess zu schützen. Zum Entsperren wird dazu beispielsweise ein Passwortschutz eingerichtet. Am sichersten ist hier die Zwei-Faktor-Authentifizierung, bei der zusätzlich ein weiterer Code oder Security-Token an ein anderes Gerät gesendet wird.
Passwörter und Zugangsdaten geheim halten: Passwörter und Zugangsdaten stets im Gedächtnis zu behalten und gleichzeitig regelmäßig zu ändern, kann eine Herausforderung sein. Dennoch sollen sie nicht aufgeschrieben werden. Ein Passwortmanager speichert Zugangsdaten für mehrere Dienste mithilfe eines zentralen Passworts.
Dünne Wände, offene Fenster und Balkone als Risiko: Der Datenschutz und die Informationssicherheit sind ebenfalls zwei zentrale Werte, die es im Homeoffice zu gewährleisten gilt. Telefonate und Videokonferenzen müssen in einer Umgebung stattfinden, die Vertraulichkeit wahrt.