Checkliste: Sicher im Homeoffice arbeiten

In vielen Branchen wurden mit der Corona Pandemie spontan viele Mitarbeiter ins Homeoffice geschickt. Dabei müssen zu Hause die gleichen Sicherheitsmaßnahmen wie auch am Arbeitsplatz im Unternehmen herrschen. Mal eben sensible Dokumente auf dem eigenen Rechner zu Hause bearbeiten und per E-Mail verschicken? Der Datenschutz und die IT Sicherheit machen auch im Homeoffice kein Stop, daher gibt es hier eine kleine Checkliste mit den wichtigsten Punkten für einen sicheren Homeoffice-Arbeitsplatz:

1. Heimnetz sicher einrichten

  • Verwendet ein aktuelles Routermodell, welches noch regelmäßig Sicherheitsupdates erhält. Automatische Updates sollten auf der Router Weboberfläche aktiviert werden.
  • Standardpasswort des Routers ändern, starkes WLAN Passwort verwenden
  • Trennung des dienstlichen WLAN-Zuganges von dem WLAN Zugang für Freunde, Gäste etc. (Einrichtung eines Gast-WLAN)

mehr zu diesem Thema

2. Aktuelles Betriebssystem mit neuesten Sicherheitsupdates

Ein trivialer Punkt, dem dennoch häufig zu wenig Aufmerksamkeit geschenkt wird.

  • Windows 10 auf dem aktuellen Stand halten. Automatische Updates aktivieren und regelmäßig auch eine manuelle Suche initiieren. (Startmenü – Einstellungen – Update und Sicherheit). Keine Verwendung mehr von älteren Betriebssystemen wie Windows Vista oder Windows 7!
  • Programme und Treiber auf dem aktuellen Stand halten, um bekannte Sicherheitslücken zu vermeiden. Inbesondere Browser, Office, E-Mail Client und PDF-Reader sind gern genutzte Einfallstore für Angriffe/Schadsoftware.

mehr zu diesem Thema

3. Anti-Virensoftware und Bedacht beim öffnen von unbekannten Anwendungen und E-Mails

  • Bei der Verwendung von Windows 10: Nutzung des Windows Defender als Anti-Virensoftware.
    Anti-Viren Programme haben tiefen Zugriff auf das System und können bei Sicherheitslücken im eigenen Code genauso von Schadsoftware als Einfallstor genutzt werden. Der Windows Defender bietet einen soliden Grundschutz und harmoniert mit dem Hauseigenen Betriebssystem am besten. Verzichtet dabei auf die Verwendung von Drittsoftware.
  • „Die größte Schwachstelle ist der Nutzer selbst“
    Achtet im Alltag genau darauf, was ihr im Internet anklickt, welche Anwendungen ihr ausführt und welche E-Mail Anhänge ihr anklickt. Eine Anti-Viren Software ist keine 100%ige Absicherung gegen Gefahren und sollte nicht zu einem gedankenlosen Vorgehen verführen. Häufig stehen Antiviren Programme noch keine Signaturen für neuartige Viren bereit, sodass sie diese auch nicht erkennen können. Ebenfalls eine häufige Angriffsmethode, die nur auf den Nutzer zurückzuführen ist, ist Phishing.

mehr zu diesem Thema

4. Arbeit und Freizeit auf dem Rechner strikt trennen

Idealerweise solltet ihr Arbeit und Freizeit sowohl örtlich als auch digital strikt trennen.

  • Verwendung eines eigenen Arbeitsrechners (falls nicht vom Unternehmen bereitgestellt bieten sich günstige Mini-PCs an)
  • Bei der Arbeit am eigenen Rechner sollte ein eigenes Benutzerkonto erstellt werden, damit Freizeit Daten und Anwendungen nicht mit der Arbeit vermischt werden.
  • Optimalerweise: Einrichtung eines eigenen (abschliessbaren) Arbeitszimmers

mehr zu diesem Thema

5. Sichere Wahl von Passwörtern sowie Verwendung von Zwei-Faktor-Authentifizierung (2FA)

Auch die Wahl von Passwörtern ist ein immer wiederkehrendes Sicherheitsrisiko. Der Großteil verwendet auch heutzutage immer noch leicht zu merkende Passwörter und leider auch in der Regel das gleiche Passwort für mehrere Dienste. Gerade wenn man sie täglich mehrmals eingeben muss, verwenden die meisten Menschen kurze und schnell eingetippte Passwörter – in der Regel sogar nur Wort mit ein paar Zahlen drangehangen (z.B. dem Geburtstagdatum). Solche Passwörter sind nicht nur leicht zu erraten, wenn man die Person kennt, sondern können von Programmen auch schnell geknackt werden.

Übrigens: Die Verwendung von schwachen Passwörtern im Unternehmen kann bei einer Cyberattacke nicht nur dem Unternehmen einen riesen Schaden verursachen, auch dem betroffenen Mitarbeiter kann eine Abmahnung bis hin zu einer Kündigung drohen. ( https://www.karriere.de/mein-recht/datendiebstahl-unsicheres-passwort-was-arbeitnehmer-befuerchten-muessen/23843060.html ).

  • Verwendet einen (seriösen!!) Passwortmanager (Empfehlungen gibt es hier im Blog) und erstellt euch für jeden Zugang ein einzigartiges und sicheres Passwort.
  • Verwendet falls möglich 2-Faktor-Authentifizierung. Selbst im Falle, dass ein Hacker ihr Passwort in die Hände bekommt, ist der Zugang damit noch durch einen zweiten Faktor abgesichert.

mehr zu diesem Thema:

6. Festplatten, USB-Sticks sowie Dateien in der Cloud verschlüsseln

  • Verschlüsselt eure Fesplatten im Computer/Laptop sowie mobilen Datenträgern wie USB-Sticks, sodass bei Verlust oder Diebstahl des Speichermediums keiner Zugriff auf eure Daten erhält.
    Der Windows eigene Verschlüsselungsdienst Bitlocker (verfügbar in der Pro- Version oder Education Version) bietet hier eine einfache und komfortable Lösung. Eine kostenlose Alternative bietet die Open Source Software VeraCrypt (Webseite)
  • Verwendet bei der Nutzung von Cloudspeichern eine Ende-zu-Ende Verschlüsselung. Cloudsystem wie Nextcloud oder Owncloud haben diese Technologie bereits integriert. Alternativ lassen sich z.B. mit Boxcryptor alle Daten bereits auf dem Clienten verschlüsseln und bei gängigen Cloud-Anbietern speichern.

7. Sichere Kommunikationsanwendungen wählen (MS Teams, ZOOM, Jitsi Meet, BigBlueButton, Rainbow..)

  • Jitsi Meet ist eine quelloffene Videokonferenz-Software. Die Nutzung kann ohne Anmeldung über den Webbrowser oder der Android / iOS App stattfinden. Neben einem Video- und Audiochat bietet Jitsi auch die Möglichkeit über einen Text-Chat zu kommunizieren und ihren Desktop freizugeben. Jedoch bietet Jitsi Meet aktuell noch keine Ende-zu-Ende-Verschlüsselung, sodass der Betreiber theoretisch Einsicht auf den gesamten Datenverkehr hat. Es empfiehlt sich daher bei hohem Sicherheits- und Datenschutzbedarf Jitsi-Meet auf einem eigenen Server zu hosten.
  • BigBlueButton ist eine weitere quelloffene Videokonferenz-Software, die auf eigenen Servern betrieben werden kann und somit datenschutzkonform nutzbar ist.
  • Rainbow ist eine Telefonie-Software (per App oder Browser), mit der verschiedene Endgeräte zum Telefonieren genutzt werden können Das Bürotelefon muss damit z.B. nicht auf die private Festnetznummer weitergeleitet werden.

mehr zu diesem Thema:

8. E-Mail Verschlüsselung einrichten

Für die sichere Kommunikation über E-Mail sollte gerade beim Versand sensibler Daten eine Verschlüsselung verwendet werden. Das funktioniert über die Verschlüsselungsmethoden PGP und S/MIME. Hierzu ist ein Zertifikat notwendig, welches im E-Mail Clienten importiert werden muss. Diese E-Mail Zertifikate werden an Zertifizierungsstellen (i.d.R. am Unternehmen) ausgestellt, wobei man sich bei der Austellung mit seinem Ausweis identifizieren muss.

  • Für den privaten und geschäftlichen Gebrauch bieten hier zudem E-Mail Dienste wie mailbox.org oder tutanota eine einfache Möglichkeit verschlüsselt E-Mails zu verschicken.

mehr zu diesem Thema:

9. Bildschirmsperre und Schutz der Daten vor Dritten

Je nach Arbeitsumfeld sollte die Arbeit vor dem Zugriff und Blicken Dritter geschützt werden.

  • Bei der Arbeit unterwegs auf dem Laptop können Blickschutz-Folien für das Display für ungewollten Blicken schützten. Die Folien werden einfach auf das Display geklebt und sorgen dafür, dass bei einem schrägen Blickwinkel, der Sitznachbar nicht die vertraulichen E-Mails und Dokumente mitlesen kann. Die Folien gibt es in allen Größen und kosten im Durchschnitt 30€ (Amazon Link).
  • Gerade wenn man nicht alleine wohnt oder regelmäßig Besuch kommt sollte man beim Verlassen des Computers auch zu Hause eine automatische Bildschirmsperre aktivieren oder ggf. einfach mit der Windows Taste + L den Computer sperren.

10. Virtuelles privates Netzwerk (VPN) einrichten

VPN bietet einen Schutz vor Angriffen über Kommunikationsschnittstellen. Möchte man wie in diesem Falle vom Heimnetzwerk oder einem öffentlichen WLAN eine sichere Verbindung in das Unternehmensnetzwerk herstellen, dann wirkt ein VPN wie ein geschützter Tunnel, der einen vor allen Gefahren in öffentlichen Netzwerken fern hält. Gerade öffentliche Netzwerke sind häufig nicht gesichert und Hacker könnten den Datenverkehr, den man hier über das Netzwerk sendet (wie Kennwörter oder Bankdaten) einfach abfangen. Ein VPN verschlüsselt die komplette Verbindung.

Durch die direkte Verbindung mit dem Netzwerk des Unternehmens kann man damit außerdem Zugriff auf interne Ressourcen (Intranet Webseiten, Dienste, Daten) erhalten, die ansonsten von außerhalb nicht zugänglich sind. Der eigene Rechner verhält sich damit so, als wäre er direkt mit dem Firmennetzwerk verbunden.

mehr zu diesem Thema:

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.