Bei spontanen Lösungen für mobiles Arbeiten können oft nicht alle Anforderungen für IT-Sicherheit vollständig umgesetzt werden. Doch gibt es ein paar Basis-Regeln, die alle Unternehmen (auch Architektur- und Ingenieurbüros) beherzigen sollten, um nicht grob fahrlässig zu handeln und Cyberkriminellen Tür und Tor zu öffnen. Wer Homeoffice länger nutzt, sollte weitergehende Maßnahmen ergreifen. Und vor allem dürfen Sie nicht vergessen, bei der Rückkehr Ihrer Mitarbeiter aus dem Homeoffice grundlegende Sicherheits-Checks durchzuführen, damit diese keine Schadsoftware ins Firmennetz einschleppen.
Trotz aller Vorsichtsmaßnahmen besteht immer das Risiko einer folgenreichen Cyber-Attacke. Um die finanziellen wie operativen Risiken abzusichern, empfiehlt sich – gerade jetzt, wo Cyberkriminalität weiter zunimmt – der Abschluss einer Cyber-Versicherung. Sie bietet Sofort-Hilfe im Fall eines erfolgreichen Angriffs und erstattet die Kosten für Datenwiederherstellung, Forensik und Krisenmanagement.
Basis-Regeln für mobiles Arbeiten – für Architekten, Ingenieure & Co.
1. Kommunizieren Sie klare Sicherheits- und Kommunikationsregeln
Informieren Sie Ihre Mitarbeiter über wesentliche Sicherheitsregeln für die Arbeit im Homeoffice:
- Berufliche Mails dürfen nicht an Privatadressen weitergeleitet werden (zum Beispiel, um Dokumente über den privaten Drucker auszudrucken).
- Bildschirme sind beim Verlassen des Zimmers zu sperren (insbesondere wer mit Kindern oder anderen Personen in einem Haushalt wohnt).
- Vertrauliche Dokumente dürfen nicht frei zugänglich abgelegt und Ausdrucke nicht im Haushaltsabfall entsorgt werden.
Geben Sie zudem vor, welche Kollaborations-Tools und Filesharing-Dienste zu nutzen sind, und mangen Sie diese zentral. So verhindern Sie nicht nur Wildwuchs bei den genutzten Apps; Sie können zudem sicherstellen, dass geschäftliche Informationen nicht über unverschlüsselte Dienste geteilt werden.
2. Klären Sie Mitarbeiter über erhöhte Spam- und Phishing-Risiken auf
Derzeit treten vermehrt E-Mails auf, mit denen Cyberkriminelle die aktuelle Situation ausnutzen wollen. Mit sogenannten Phishing-Mails versuchen sie sensible Daten abzugreifen (z.B. mit Hinweis auf Remote-Zugänge, das Zurücksetzen von Passwörtern etc.). Spam-Mails enthalten Links oder Anhänge, die Schadsoftware ins Netzwerk einschleusen soll. Aktuell gibt es insbesondere Spam-Wellen mit gefährlichen Emoted-Schadprogrammen, die die Empfänger beispielsweise zu einem Word-Update auffordern. Alle Branchen sind davon betroffen. Also egal ob Sie ein Architektur- oder Ingenieurbüro oder ein IT-Unternehmen leiten: Sensibilisieren Sie alle Mitarbeiter für aktuelle Cyberrisiken.
3. Schützen Sie geschäftlich genutzte Geräte
Alle im Rahmen der Arbeit genutzte Elektronik – Laptop, Smartphone, Firmen- wie Privatgeräte – sollten durch Sicherheits-Software wie Firewalls und Anti-Virenprogramm vor Cyberbedrohungen geschützt sein. Auch WLAN-Verbindungen müssen gesichert werden. Stellen Sie daher sicher, dass sie WPA2 (AES)-geschützt ist. Informationen hierzu befinden sich meist auf dem Router.
4. Bleiben Sie up-to-date
Prüfen Sie, ob Ihre Betriebssysteme, Anwenderprogramme und Sicherheits-Software auf aktuellem Stand sind, und installieren Sie stets zeitnah die empfohlenen Updates. In der Regel werden Sie automatisch über IT-Sicherheitsupdates informiert.
5. Erstellen Sie Back-ups
Für Ihre Daten sollten Sie grundsätzlich regelmäßig Back-ups erstellen, um Sie gegen Datenverluste durch Viren, Diebstahl oder Hardwareschäden abzusichern. Prüfen Sie in jedem Fall, ob die Sicherung erfolgreich war und die Wiederherstellung funktioniert.
Erfolgt im Homeoffice die Speicherung von Daten lokal, müssen auch diese zeitnah (z.B. täglich) gesichert werden – auf einem verschlüsselten Datenträger oder regelmäßig über eine gesicherte Verbindung ins Firmennetzwerk. Andernfalls riskieren Sie Verzug und Mehrarbeit, wenn etwa beim Architekten im Homeoffice der Projektfortschritt mehrerer Tage verloren geht.
Homeoffice-Tipps für Fortgeschrittene
1. Nutzen Sie VPN und Multifaktor-Authentifizierung
Wer auf Daten und Programme im internen Netzwerk zugreift, sollte dies ausschließlich über eine sichere Verbindung tun. Viele Architektur- und Ingenieurbüros setzen auf VPN, einen kryptografisch abgesicherten Kommunikationskanal. Damit erschweren sie es nicht autorisierten Personen, in ihr Firmennetzwerk zu gelangen. Dies ist nicht zuletzt aus datenschutzrechtlichen Gründen wichtig.
Neben dem Einsatz eines VPN sind weitere technische Sicherheitsmaßnahmen sinnvoll, insbesondere eine Multifaktor-Authentifizierung, wie sie unter anderem beim Online-Banking zum Einsatz kommt. Möglich ist etwa das Senden eines Passcodes aufs Handy oder die Verwendung eines USB-Token.
2. Beschränken Sie die Zugriffsrechte
Überlegen Sie gut, welchen Mitarbeitern Sie im Homeoffice welche Rechte für Remote-Zugriffe gewähren. Dabei gilt die Devise: So wenig Rechte wie möglich, so viele wie nötig.
3. Setzen Sie auf starke Passwörter
Geben Sie Mindeststandards für starke Passwörter vor (denn die sind selbst in IT-Unternehmen nicht selbstverständlich) und aktivieren Sie einen Brute-Force-Schutz. Beispielsweise kann die Passworteingabe auf maximal zehn Versuche begrenzt werden.
4. Verzichten Sie darauf, private Endgeräte mit dem Firmennetzwerk zu verbinden
Lässt sich dies nicht umgehen, müssen private Computer und Smartphones auf dem aktuellen Stand sein (insbesondere Browser, Virenscanner, Firewalls und die verwendete VPN-Software).
5. Verschlüsseln Sie heikle Daten
Um die Vertraulichkeit und Unversehrtheit Ihrer Daten zu gewährleisten, können Sie besonders heikle Daten verschlüsseln: über Verschlüsselungswerkzeuge Ihres Betriebssystems, kostenfrei oder kostenpflichtige Software.
6. Aktivieren Sie eine Protokollierung
Verbindungen zum bürointernen Netz sollten protokolliert und die Protokolle regelmäßig ausgewertet werden. So lassen sich Risiken und Angriffe zeitnah erkennen.
Weiterführende Informationen liefert das Bundesamt für Sicherheit in der Informationstechnik in seinen Empfehlungen zum sicheren mobilen Arbeiten im Home-Office (PDF).
Sicherheits-Checkliste für die Rückkehr ins Büro
1. Schrittweise Rückkehr
Wenn alle Mitarbeiter gleichzeitig ins Büro wechseln, ist Ihr IT-Verantwortlicher schnell überfordert. Holen Sie Ihre Ingenieure, Architekten etc. daher besser schrittweise aus dem Homeoffice zurück.
2. Check aller Geräte und Software
Hardware, die nun wieder in die Firma zurückgebracht wird, sollte erfasst und gescannt werden. Dies dient nicht nur der Erkennung von Schadsoftware, sondern auch der Validierung von eigenmächtig installierter Software (gerade bei IT-Experten).
3. Verpflichtender Passwortwechsel
Bei der Rückkehr sollten alle Mitarbeiter ihre Passwörter für Firmenzugänge und Hardware ändern, falls im Zuge eines Phishings die Zugangsdaten gestohlen wurden.
4. Patching
Bei allen Geräten, die in das Firmennetz eingebracht werden, müssen sofort alle Updates eingespielt werden, ohne die Möglichkeit, diese zu verschieben oder abzubrechen.
Falls trotz Vorsichtsmaßnahmen eine Cyber-Attacke Ihr IT-System lahmlegt oder sämtliche Daten zerstört, sind die finanziellen Folgen immens. Gerade kleinere Büros werden leicht Opfer ungezielter Massenangriffe. Zusätzlich zu IT-Sicherheitsmaßnahmen sollten Sie daher erwägen, sich mit einer Cyber-Versicherung abzusichern.