webImpuls: IT-Sicherheit im Homeoffice

4 Experten aus dem BVMW-Arbeitskreis IT-Sicherheit beleuchten verschiedene Aspekte der IT-Sicherheit und stehen den Zuschauern Rede und Antwort.

Um diesen Inhalt sehen zu können, müssen die Funktions-Cookies in den Cookie-Einstellungen zugelassen werden.

Cookie-Einstellungen

Aus Zeitgründen konnten einige Fragen im Live-Webinar nicht direkt beantwortet werden. Wie versprochen finden Sie alle Antworten hier:

 

Was sind die ersten Schritte, um das Thema IT-Sicherheit bei meinen Mitarbeitern zu verankern? 

Wichtig beim Thema IT-Sicherheit ist immer ein angemessenes Maß an Misstrauen. Misstrauen in der Hinsicht, dass beispielsweise selbst täuschend echt aussehende E-Mails von Vorgesetzten oder Geschäftspartnern schädliche E-Mails sein können. Aus diesem Grund ist es wichtig, das Selbstvertrauen der Mitarbeiter zu stärken, sodass diese die auffälligen E-Mails erkennen und sich gegebenenfalls rückversichern.  

 

Ist es sinnvoll, täglich mehrere Meetings anzusetzen oder ist es sinnvoller, die Mitarbeiter nach Bedarf unmittelbar zum Gespräch zu bitten? 

Letztendlich ist eine Mischung aus klaren Regelterminen mit festgesetzten Themen und individuellen Gesprächen sinnvoll. Der feste Rahmen gibt dann für alle Mitarbeiter eine gewisse Sicherheit, und auf das aktuelle Tagesgeschehen kann mit individuellen Gesprächen reagiert werden. 

 

Wird davon abgeraten, Geschäftsdaten auf USB-Sticks zu speichern? 

USB-Sticks sind zwar gute, aber leider auch sehr unsichere Datenspeicher, da sie sehr klein sind und schnell verloren gehen können. Zahlreiche Tools, welche Daten verschlüsselt speichern, können hier zu mehr Sicherheit verhelfen. Bei der Nutzung von USB-Sticks ist überdies wichtig, dass ein aktuelles Antivirenprogramm auf dem Rechner installiert ist, um etwaige Schadsoftware zu erkennen. Wichtig ist hierbei, dass die Antivirensoftware eine sogenannte „Outbreak-Prevention“ nutzt, das bedeutet, dass Schadcodes direkt erkannt und blockiert werden. 

 

Wie richte ich eine digitale Signatur ein? 

Schon vor der Einrichtung einer digitalen Signatur sollten die Anwendungsfälle geklärt werden und eine Risikobewertung durchgeführt werden. Die einfachste Form einer digitalen Signatur ist eine klassische E-Mail-Signatur mit Namen, Adresse und Telefonnummer. Diese Form der Signatur ist schnell erstellt, aber auch nicht besonders vertrauenswürdig.  

Vertrauenswürdigere digitale Signaturen, beispielsweise für digitale Unterschriften, aber auch für E-Mails, haben immer mit Kryptographie zu tun. Hierfür wird immer ein Stück Software und ein Zertifikat, mit dem die Signatur angebracht wird, benötigt.  

Soll eine digitale Unterschrift auch einer eventuellen behördlichen Untersuchung oder einer Bewertung durch ein Gericht standhalten, wird eine qualifizierte Signatur oder ein qualifiziertes Zertifikat benötigt. Diese Signaturen sind der handschriftlichen Unterschrift gleichgestellt und werden von sogenannten Vertrauensdiensteanbietern ausgestellt.  

 

Dürfen meine Mitarbeiter auf privaten Laptops über eine VPN-Verbindung Zugang zum Server erhalten? 

Grundsätzlich ist es als Unternehmen immer schwierig einzuschätzen, was für ein System die Mitarbeiter auf ihren privaten Laptops nutzen. Es ist unklar, wie gut der Virenscanner ist, wie aktuell die Updates auf dem System sind oder ob schon Gefahrenpotentiale auf dem privaten Laptop vorhanden sind. Wenn der private Laptop an das Unternehmensnetzwerk angebunden ist, dann kann darüber eventuell Schadsoftware in das Unternehmensnetzwerk eingebracht werden. Nur Geräte, die im Unternehmensnetzwerk aktuell gehalten, geprüft und gewartet werden, sollten deshalb mit einem VPN verbunden werden. Alle weiteren Dateien können durch Tools über verschlüsselte Datenübertragungswege geteilt werden. Wichtig ist überdies, dass im Netzwerk eine Firewall installiert ist, die auch auf Bedrohungen in verschlüsseltem Code oder in verschlüsselten Datenströmen reagieren kann. Beispiele hierfür sind NGFWs (Next Generation Firewalls), die den Paketstrom oder Datenstrom tiefergehend analysieren. 

 

Der Faktor Mensch ist in der IT-Sicherheit der zentrale Faktor. Was bedeutet dies für das Arbeiten im Home-Office? 

Dem Faktor Mensch kommt eine große Bedeutung zu. Er führt die ganzen technischen Maßnahmen zusammen, bewertet und erkennt Auffälligkeiten. Untersuchungen zu den Ursachen von IT-Sicherheitsproblemen zeigen, dass die wichtigste Ursache menschliche Versäumnisse oder Nachlässigkeit sind. Darum sollte eine Kommunikationsumgebung geschaffen werden, die nicht nur die fachlichen Meetings mit Zahlen, Daten, Fakten in den Vordergrund stellt. Der Beziehungsebene sollte ein ebenso großer Stellenwert wie der Sachebene eingeräumt werden.  

 

Sind Mitbewohner ein potenzielles Sicherheitsrisiko? 

Mitbewohner können ein potenzielles Sicherheitsrisiko darstellen, wenn sie unbemerkt den Arbeits-PC nutzen. Das Problem ist letztendlich, dass über privates Surfen im Internet immer erste Schadsoftware auf den PC gelangen kann. Gleichzeitig ist auch schwierig zu kontrollieren, wer Zugriff auf welche Daten haben darf und wie sensibel die Daten sind. Im Home-Office wie im Büro macht es darum Sinn, den Bildschirm immer zu sperren, wenn der Computer verlassen wird. So können Mitbewohner oder Kinder nicht unbemerkt auf den Computer zugreifen. 

 

Müssen Behörden und Geschäftspartner die digitale Signatur akzeptieren? 

Behörden müssen die digitale Signatur akzeptieren, Geschäftspartner sind dazu nur bedingt verpflichtet. Bei Geschäftspartnern greifen immer die unternehmerische Selbstbestimmung und Risikoabwertung. Das E-Government-Gesetz regelt, dass Behörden mit digitalem Zugang und digitalem Postkasten Dokumente oder Stellungnahmen entgegennehmen müssen, die mit einer qualifizierten Signatur digital versehen wurden. Der Vorteil ist hierbei, dass es für die qualifizierte elektronische Signatur inzwischen eine europäische Gesetzgebung, die eIDAS-Verordnung, gibt. Diese Verordnung gilt in allen EU-Ländern und wird von der Schweiz, Island und Norwegen akzeptiert. Diese europaweite Standardisierung regelt auch technische Rahmenparameter. 

 

Wenn einem Mitarbeiter ein Arbeitsrechner zur Verfügung gestellt wird: Was gibt es sicherheitstechnisch zu beachten? Was für Virenscanner mit Outbreak-Prävention gibt es? 

Zunächst ist die DSGVO-konforme Sicherung von Daten wichtig. Als Virenscanner mit Outbreak-Prävention werden Programme wie zum Beispiel Sophos, Trend Micro oder FortiGuard empfohlen. Überdies sollte noch eine Festplattenverschlüsselung eingerichtet werden, falls der Arbeitsrechner abhandenkommt. 

Die Daten sollten neben der reinen Sicherung auf dem Gerät noch einmal zentral gesichert werden. Passwörter sollten mit Programmen zur Kennwortverwaltung generiert und verwaltet werden. Dateien sollten nicht per E-Mail, sondern über Programme zur verschlüsselten Datenübertragung versendet werden.  

 

Wie sieht es denn aus, wenn ich Mitbewohner im selben Netzwerk habe? Sind dort besondere Sicherheitsmaßnamen notwendig? 

Wenn im gleichen Netzwerk PCs oder andere Devices angemeldet sind, die Schadsoftware haben, können Risiken auch auf das eigene Gerät übertragen werden. Wichtig ist, dass auf dem eigenen Gerät die richtigen Firewall-Einstellungen aktiv sind. In den Routereinstellungen können zudem auch Netze separiert werden, so dass ein Gerät im W-Lan nicht automatisch mit einem anderen Gerät im W-Lan kommunizieren kann. 

 

Akzeptieren Banken eine digitale Signatur? 

Was Banken angeht, gibt es separate Spezialregelungen. Die Anwendung von digitalen Signaturen war bisher immer recht sperrig. Mit der eIDAS-Verordnung kann das Zertifikat nun auch bei einem Vertrauensdiensteanbieter hinterlegt werden, so dass keine Zusatz-Hardware mehr benötigt wird. Der Trend führt zu einer Verbreitung und Nutzung dieser Verfahren.  

 

Wo finden kleine Unternehmen/Einzelunternehmen zu IT-Sicherheit und DSGVO in Berlin (preisgünstig)? 

Sprechen Sie ihren lokalen/regionalen BVMW-Zuständigen an. In der Regel hat der BVMW ein breites Netzwerk, was IT-Sicherheit angeht.  

Heute schon wissen, was den Mittelstand morgen bewegt.


Jetzt Newsletter abonnieren!

Alle Newsletter
Mehr Infos ...