Die aktuelle Lage aufgrund der „Corona-Krise“ hat große Auswirkungen auf die Unternehmen in unserem Land. Um den persönlichen Kontakt untereinander auf ein notwendiges Minimum zu beschränken, bieten viele Unternehmen ihren Mitarbeitern an, aus dem Homeoffice zu arbeiten. Die IT-Abteilungen arbeiten mit Hochdruck daran, die erforderliche Infrastruktur bereitzustellen, um das Arbeiten von zu Hause zu ermöglichen. Im Idealfall sind bereits die notwendigen Notfallpläne in der Schublade und alle Themen, welche die Informationssicherheit betreffen, sind in einem Informationssicherheitsmanagementsystem (ISMS) geregelt.
Damit Ihre Daten sicher bleiben, müssen Mitarbeiter beim Umgang mit sensiblen Unternehmensdaten oder der IT-Infrastruktur im Homeoffice aktiv unterstützt werden. Dazu gehört zum einen die Schulung der Mitarbeiter im Umgang mit der Hard- und Software. Zum anderen muss auch die sichere Nutzung der IT-Infrastruktur und die sichere Nutzung der Netzverbindung in die Unternehmen, zum Beispiel über VPN sichergestellt werden. Abzuraten ist von schnellen „einfachen“ Lösungen, wie das unüberlegte Freischalten von Ports auf der Firewall, da hierdurch unmittelbar größere Schäden entstehen können, als durch einen Tag Arbeitsausfall von einigen Mitarbeitern. Daher sollten VPN-Lösungen, wie etwa „Cloudfare for Teams“, in die Überlegungen für eine zügige Implementierung einbezogen werden, wenn noch keine vorhandenen Lösungen für die sichere Anbindung von Mitarbeitern im Homeoffice vorhanden sind. Hierbei gilt es natürlich, die Sicherheitsanforderungen Ihres Unternehmens zu beachten.
Außerdem sollte nochmals geprüft werden, ob alle Geräte in die Unternehmens-Policy eingebunden sind und auch im Homeoffice zentral mit den aktuellen Patches versorgt werden. Ein weiterer Prüfpunkt ist die Performance von eventuell vorhandenen VPN-Lösungen. Manche VPN-Lösungen haben nicht nur eine Beschränkung der gleichzeitigen VPN-Verbindungen, sondern schaffen auch einfach nicht ausreichend Durchsatz, um allen Mitarbeitern zur gleichen Zeit flüssiges Arbeiten zu ermöglichen.
Weiterhin sollten Mitarbeiter zum sicheren Umgang mit Informationen und Dokumenten (gegebenenfalls erneut) sensibilisiert werden. Gerade beim Arbeiten außerhalb der geschützten Unternehmensräume ergeben sich Gefahren, welche aktiv von den Mitarbeitern vermieden werden sollten.
Die Art der Kommunikation und wie sich Ihre Mitarbeiter untereinander austauschen sollte ebenfalls nicht unterschätzt werden. Hierbei können Applikationen, wie etwa der „TeamViewer“, das gemeinsame Arbeiten zwar erleichtern, allerdings sollten auch hier die Risiken beleuchtet werden, die sich durch die Einschaltung eines „Vermittlers“ für die Vertraulichkeit von Informationen ergeben.
Ist das ISMS auf dem aktuellen Stand?
Aufgrund der aktuellen Situation sind schnelle Entscheidungen und Maßnahmen durch die Unternehmen zu treffen. In diesem Zuge bietet es sich an, die aufgestellten Notfallpläne auf ihre Funktionalität zu überprüfen und gegebenenfalls nachzusteuern, um für künftige Szenarien besser aufgestellt zu sein.
Darüber hinaus sollten im Rahmen der zu treffenden Entscheidungen und Maßnahmen auftretende Schwachstellen in das Risikomanagement aufgenommen werden, um auch hier im Rahmen der Informationssicherheit gut aufgestellt zu sein.
Damit Sie und Ihre Mitarbeiter beim Arbeiten sicher durch die Krise kommen, haben wir für Sie eine Checkliste erstellt, die die wichtigsten Aufgaben für die kommenden Tage beinhaltet.
Checkliste Informationssicherheit im Homeoffice
✅ Gesicherter Zugang ins Unternehmensnetzwerk, z.B. VPN
✅ Regelungen für das mobile Arbeiten aufstellen
✅ Belehrung der Mitarbeiter auf Einhaltung der Informationssicherheit im Homeoffice
✅ Laptops / PCs zentral auch im Homeoffice über eine zentrale Unternehmens-Policy steuern
✅ Systeme & Applikationen laufen alle auf dem aktuellsten Patchstand
✅ Systeme oder Applikationen zur Online-Zusammenarbeit zur Verfügung gestellt
✅ Erstellung einer Kommunikationsmatrix
✅ Regelungen zur Entsorgung von Dokumenten und Papieren
✅ Regelungen zum Umgang mit externen Datenträgern aufstellen und alle Mitarbeiter informieren
✅ Regelungen zur Nutzung privater Geräte wie z.B. Router oder Drucker aufstellen
✅ Aufnahme von Risiken in das Risikomanagement, falls nicht alles optimal funktioniert hat
✅ Überprüfung der Notfallpläne für kommende Ereignisse
✅ Planung von Notfallübungen für weitere Szenarien
✅ Eingerichtete „Workarounds“ werden schnell durch sichere Lösungen ersetzt
✅ Eingerichtete sichere Lösungen werden nach Beendigung der Krise wieder abgeschaltet, wenn sie nicht mehr benötigt werden
Sollten Sie Fragen haben, kommen Sie gerne auf uns zu. Unsere Experten auf dem Gebiet der Informationssicherheit stehen Ihnen mit Rat und Tat zur Seite. Sicher aus dem Homeoffice.
Fotonachweis: rawpixel.com/Freepik
Zum Autor:
Stephan Auge ist Berater für Managementsysteme. Bei der migosens GmbH liegt sein Schwerpunkt auf der Implementierung von Managementsystemen, vorrangig von Informationssicherheitsmanagementsystemen nach ISO27001. Auch die Prozessoptimierung und Beratungen zum Risikomanagement zählen zu seinen Aufgaben. Darüber hinaus ist Stephan Auge als Lead Auditor für die ISO27001, den IT-Sicherheitskatalog und Kritis-Prüfungen beim TÜV Rheinland bestellt.
