Seit der Corona Pandemie 2020 sind Heimarbeitsplätze zur Normalität geworden. Mitarbeiter war es so möglich, schnell und unkompliziert von zuhause aus auf das Firmennetzwerk zuzugreifen und Ihre Tätigkeit fortführen.

 

Nach der Pandemie ist das Homeoffice in vielen Unternehmen als alternative Arbeitsstätte geblieben und bietet Cyberkriminellen neue Möglichkeiten, Zugriff auf interne Firmendaten zu erhalten.

 

Welche Cybersecurity-Herausforderungen und Risiken es im Homeoffice gibt und wie man den Zugriff von zuhause aus absichert wird im Folgenden erläutert.

 

Heimische Netzwerke insbesondere WLANs sind oft unzureichend abgesichert. Fehlende Verschlüsselungen auf privaten Routern können es Angreifern ermöglichen Zugang zum heimischen Netzwerk zu erlangen und Firmendaten abzugreifen. 

 

Aus Kostengründen wird oftmals an firmeneigener Homeoffice Ausstattung gespart und Mitarbeiter verarbeiten Firmendaten auf privaten Endgeräten. Im privaten Bereich fehlt oftmals das Verständnis für die Implementierung von beispielsweise state-of the-Art Antivirus Lösungen. Ist der privat PC bereits durch Malware verseucht, könnten Daten von Angreifer gestohlen werden.

 

Zudem sind private Geräte oft nicht ausreichend und automatisiert gepatched, was es für Angreifer leicht macht, Sicherheitslücken aufgrund von veralteter Software auszunutzen.

 

Der Arbeitgeber hat aus Gründen des Datenschutzes kein generelles Recht, Sicherheitssoftware auf den privaten Endgeräten zu installieren. Dies führt dazu, dass er auch nicht kontrollieren kann, mit welchen Programmen der Arbeitnehmer die Firmendaten verarbeitet. Verwendet der Arbeitnehmer beispielsweise einen ausländischen Clouddienst, um Daten hoch zuladen, so könnten sensible Daten an ein Land außerhalb der EU ohne Genehmigung abwandern, was unwiderruflich zum Datenschutzvorfall führen könnte. 

 

Mit den richtigen Maßnahmen kann der Arbeitgeber allerdings das Sicherheitsrisiko für Home-Office-Arbeitsplätze minimieren. 

 

Grundsätzlich sollten keine Firmendaten auf privaten PCs verarbeitet werden, sondern Geräte, die im firmenbesitz sind, angeschafft werden. Auf den Pcs sollten die selben Sicherheitsmaßnahmen abgesichert werden, wie auf Büroarbeitsplätzen (beispielsweise MDM, Patchmanagement, EDR).

Es gilt die Devise Zero-Trust: Der Zugang zum PC sollte zwingend mit Multifaktorauthentifizierung abgesichert werden, sodass die Anmeldung stets vom System autorisiert und protokolliert werden kann.Der Zugriff auf Firmendaten sollte nur via VPN- oder VDI-Lösungen erfolgen, da so die Verbindung vom Homeoffice zum Firmennetzwerk verschlüsselt werden kann.

 

Da die korrekte Konfiguration des heimischen WLAN-Routers außerhalb des Einflussbereiches des Unternehmens liegt, wäre es empfehlenswert den Firmenzugriff über eine Firewall abzusichern. So kann eine zusätzliche Sicherheitsebene geschaffen und der Datenverkehr kontrolliert werden.

 

Für den Heimarbeitsplatz gelten zudem die selben Regeln wie für den Büroarbeitsplatz: Dokumente und Geräte sind vor unbefugten Personen zu schützen und physikalisch zur Zutrittskontrollen zu sichern. Mitarbeiter sind darum auch regelmäßig zu sensibilisieren.