Erfahrungen & Bewertungen zu 8S IT-Sicherheit e.K.

Teil 3: Home Office und mobiles Arbeiten

Das Home Office und mobiles Arbeiten gehören für viele Arbeitnehmer schon lange zum Alltag. Im Zug die Emails checken? Auf dem Weg zur Veranstaltung noch schnell die eigene Präsentation anpassen? Der Kundenbesuch vorbereiten? Zeitliche Lücken wollen genutzt werden. Und dabei bleibt der Schutz von Unternehmensdaten im wahrsten Sinne oft auf der Strecke.

Teil 3 unserer Serie „10 Bausteine erfolgreicher IT-Sicherheit“ befasst sich daher mit der Bedeutung mobilen Arbeitens und den damit verbundenen Risiken für Unternehmen.

Warum mobiles Arbeiten?

Mobiles Arbeiten wird immer wichtiger. Ständiger Zugriff auf Emails und wichtige Unternehmensdaten sind notwendig, um beim Kunden bestehen zu können. Der Lagerbestand muss stets im Blick sein, der Versand koordiniert werden. Geschwindigkeit ist dabei alles. Denn welcher Kunde wartet gerne länger als unbedingt erforderlich auf Ihr Produkt? Sowohl im B2B- als auch im B2C kommt es daher darauf an, schneller als der Mitbewerber zu sein.

Und mobiles Arbeiten geht ja noch viel weiter:

In der Lagerhaltung, der Produktion, dem Versand – überall kommen moderne Verfahren zum Einsatz, die auf mobile Endgeräte angewiesen sind. Und das ist nicht immer der klassische Laptop. Vielmehr kommen mit stark zunehmender Tendenz Endgeräte wie Smartphones und Tablets zum Einsatz – mit weitreichendem Einfluss auf die Sicherheit der Daten, die verarbeitet werden müssen.

Der Laptop als mobiles Büro

Der Laptop ist als mobiles Büro noch lange nicht tot. Gerade im Home Office kommen Laptops häufig zum Einsatz, aber auch immer noch sehr häufig im Aussendienst. Die Vorteile liegen klar auf der Hand:

  • Flexibilität
  • Ein vollwertiger PC-Ersatz, meist auf MacOS- oder Windows-Basis
  • Die Unternehmenssoftware wie zum Beispiel das Office-Paket kann verwendet werden
  • Viele Programme, die im Unternehmensalltag verwendet werden, sind fast nur oder ausschließlich für Windows Betriebssysteme zu erhalten.

Die gravierendsten Nachteile sind jedoch wohl die hohe Anfälligkeit von Windows-Systemen gegen Viren und Trojaner, und grundsätzlich der leichte Zugriff auf das Gerät.

Smartphones und Tablets im Unternehmenseinsatz

Tablets und Smartphones werden im Unternehmenseinsatz zunehmend populär. Auch wenn sie nur selten als vollwertiger Ersatz für einen Laptop dienen können, so haben sie jedoch eine Menge Vorteile: meist sind sie deutlich kleiner und leichter als Laptops und eignen sich daher besonders für den Aussendienst, zum Beispiel in Handwerksbetrieben beim Kundeneinsatz, als POS-Geräte oder in der Produktion (vorausgesetzt, sie halten den Umweltbedingungen stand).

Smartphones und Tablets teilen sich leider einige Nachteile mit dem klassischen Laptop. Auch sie sind leicht im Zugriff von Kriminellen. Vielleicht noch eher aufgrund der geringeren Größe. So wird Diebstahl zum Kinderspiel. Sie sind schwer zu administrieren, da der Zugriff durch den IT-Betreuer nur schwierig zu realiseren ist. Das wirkt sich natürlich auch auf die IT-Sicherheit aus. Und nicht zuletzt werden Betriebssysteme eingesetzt, die endweder per se etwas unsicherer sind (Android durch die Verbreitung auf Open Source Basis und viele unterschiedliche Anbieter) oder deren Sicherheit nahezu ausschließlich durch den OS-Hersteller sichergestellt wird (Apple iOS).

Usability vs. Sicherheit

Das Arbeiten zu Hause oder Mobil darf nicht zu umständlich sein, aber trotzdem sicher. Der Zugriff auf die IT-Systeme des Arbeitgebers muss gewährleistet werden. Auf Geschäftsreisen dringend benötigte Dokumente müssen zugänglich sein.

Ein mobiles Gerät, auf dem sich vertrauliche Firmendaten befinden und von dem aus auf das Unternehmensnetzwerk zugegriffen wird, muss natürlich höheren Anforderungen an die IT-Sicherheit genügen als ein rein privat genutztes Gerät. Haben Unternehmen auch noch mit eingestuften Daten zu tun, zum Beispiel im öffentlichen oder militärischen Bereich, so muss das Sicherheitsniveau noch einmal höher sein.

Sieht man durch die IT-Sicherheitsbrille, besteht die Gefahr, dass Anwendungen, die „bombensicher“ sind, von den Mitarbeitern gar nicht angenommen werden. Der Grund ist, dass diese Anwendungen einfach nutzerunfreundlich sind. Ergebnis: die zur Verfügung gestellten Unternehmensprozesse werden untergraben und Daten werden über Kanäle weitergegeben, die hierfür gar nicht vorgesehen und nicht geeignet sind. Häufig sind dies dann Dienste, die sich in der privaten Nutzung als praktisch herausgestellt haben. Messenger-Dienste wie WhatsApp sind ein gutes Beispiel.

Gute IT-Sicherheit sollte vom Anwender möglichst gar nicht bemerkt und keinesfalls als umständlich empfunden werden. Der User sollte auch nicht mit der Konfiguration belastet werden. Dies muss über eine zentrale Administrationslösung erfolgen, über die Richtlinien und Updates verteilt werden können.

Mobile Working Policy – Richtlinien für mobiles Arbeiten

Richtlinien für den Einsatz mobiler Endgeräte im Unternehmen müssen also verschiedenen Anforderungen gerecht werden. Sie sollen Sicherheit für die Daten gewährleisten, trotzdem den Benutzer möglichst wenig einschränken und auch noch zentral administrierbar sein. Gar nicht so einfach!

Mobilgeräte sind einem deutlich höheren Risiko von Datenverlusten ausgesetzt als der herkömmliche Desktop-PC oder gar der Server im Serverraum des Unternehmens. Aber genau deswegen ist es besonders wichtig, sich Gedanken über passende Richtlinien zum Schutz der Daten und Informationen zu machen.

Unser Tipp: Entwerfen Sie die Richtlinien nicht daheim im „stillen Kämmerlein“. Binden Sie an entscheidenden Stellen die Benutzer solcher Endgeräte mit ein. Und holen Sie sich professionelle Hilfe dazu. Natürlich behalten Sie als Verantwortlicher das letzte Wort. Aber nur durch die Einbindung der Mitarbeiter erreichen Sie die Akzeptanz für die Maßnahmen!

Schutz der Daten auf dem Endgerät

Eigentlich eine Selbstverständlichkeit, aber trotzdem selten wirklich konsequent umgesetzt: Die Verschlüsselung des Endgerätes, also des Laptops, Smartphones oder des Tablets. Moderne Geräte stellen diese Funktionen nativ über das Betriebssystem zur Verfügung und bringen natürlich auch die Werkzeuge mit, damit berechtigte Personen wie die Administration trotzdem tätig werden können, wenn mal etwas nicht funktioniert.

Ein zweiter wichtiger Punkt: der Einsatz einer Virenschutzsoftware. Auf Laptops heute eine Selbstverständlichkeit. Aber auch Smartphones und Tablets immer noch sehr selten anzutreffen. Dabei bieten moderne Antivirus-Lösungen für mobile Geräte genauso gute Funktionen wie für die klassischen Endgeräte.

Stellen Sie außerdem sicher, dass private Daten und Unternehmensdaten getrennt abgelegt werden. Viele Smartphone-Hersteller bieten, zumindest in ihren Top-Produkten, bereits die Möglichkeiten dazu. Es muss also häufig keine extra App gekauft werden um eine Trennung der Daten zu realisieren.

Auch eine Funktion zum entfernten Löschen der Daten auf dem Telefon oder Tablet kann nicht schaden, wenn das Gerät geklaut wird. Viele Hersteller von Antivirensoftware bringen diese Funktion sogar bereits mit. Sie muss dann nur noch aktiviert werden.

… und bei der Übertragung

Setzen Sie konsequent auf VPN*-Lösungen.Ein VPN erlaubt den Zugriff auf die Unternehmensdaten und schützt dabei gleichzeitig die Übertragung vor unerwünschten Mitlesern. Sorgen Sie dafür, dass sich der Benutzer beim Start der VPN-Verbindung autentifizieren muss. So können Kriminelle die Verbindung nicht nutzen, falls das Endgerät doch mal in die falschen Hände gerät.

Vermeiden Sie die Nutzung unverschlüsselter Webseiten. Hier gilt im Prinzip das gleiche wie bei VPN-Einsatz.

Was muss ich noch tun?

Auch am anderen Ende des VPN-Tunnels, also im Unternehmen, muss vorgesorgt werden. Der Zugriff auf die Unternehmensdaten sollte nur auf das Notwendige beschränkt werden. Genau wie die Mitarbeiter am Standort sollten die mobilen Arbeiter auch nur auf die Systeme zugreifen können, für die sie berechtigt sind. Daher empfehle ich die Einrichtung eines eigenen Berechtigungsmanagements für die mobilen Endgeräte.

Das Allerwichtigste kommt natürlich ganz zum Schluss: Die Mitarbeiter.

Sorgen Sie dafür, dass die betroffenen Mitarbeiter regelmäßig geschult werden im Umgang mit den mobilen Geräten. Mobile Endgeräte sind besonders gefährdet. Und als Unternehmer haben Sie nur schwer Zugriff auf die Geräte. Deshalb sind die Nutzer in besonderer Verantwortung!

Fazit

Entwickeln Sie Richtlinien für mobiles Arbeiten.

Sorgen Sie dafür, dass die Mitarbeiter ausreichend geschult werden und informiert sind.

Verschlüsseln Sie die Daten auf dem Endgerät und bei der Übertragung.

*VPN: „Virtual Private Network“, Technologie zur verschlüsselten Datenübertragung über das Internet ins Unternehmensnetzwerk

Leave a Comment

Schreiben Sie uns!

Senden Sie uns einfach eine Mail. Wir antworten Ihnen schnellstmöglich!

mitarbeiter awareness phishing informationen angrifferechte und rollen