IT-Sicherheit im krisenbedingten Homeoffice
Mit dem BSI IT-Grundschutz gut gerüstet
von Ingo Simon, Geschäftsführer bei der SAVISCON GmbH
Durch die Corona-Krise ist die Zahl der Arbeitnehmer im Homeoffice signifikant angestiegen. Eine aktuelle Studie des ifo Instituts hat herausgefunden, dass im Februar 2021 rund 30 Prozent der deutschen Arbeitnehmer zumindest zeitweise im Homeoffice gearbeitet haben. Und noch ist kein Ende in Sicht: Am 3. März haben sich Bund und Länder auf eine Verlängerung des Homeofficegebots bis zunächst Ende April 2021 geeinigt. Doch wie ist es um die IT-Sicherheit im Homeoffice bestellt? Der oftmals dürftige IT-Wissensstand der Homeoffice-Neulinge und die massenhafte plötzliche Umstellung auf das Arbeiten von zu Hause stellen Geschäftsführer und Chief Information Security Officer (CISO) vor besondere Herausforderungen bei der IT-Sicherheit. Denn auch und gerade in Krisenzeiten muss diese den Schutzzielen Vertraulichkeit, Verfügbarkeit und Integrität gerecht werden.
In diesem Beitrag zeigen wir einige Beispiele aus dem IT-Grundschutz auf, die zur IT-Sicherheit im Homeoffice beitragen.
Als erstes schauen wir auf den Baustein des Informations-Management Systems: ISMS.1.A7 Festlegung von Sicherheitsmaßnahmen sagt aus: Im Rahmen des Sicherheitsprozesses MÜSSEN für die gesamte Informationsverarbeitung ausführliche und angemessene Sicherheitsmaßnahmen festgelegt werden. Das gilt natürlich auch für das Homeoffice. Und das umso mehr für die Unternehmen, die Homeoffice bzw. Telearbeitsplätze bisher nicht im Repertoire hatten. Die nächste wichtige Anforderung kommt gleich danach: ISMS.1.A8 Integration der Mitarbeiter in den Sicherheitsprozess besagt: Alle Mitarbeiter MÜSSEN in den Sicherheitsprozess integriert sein, das heißt, sie müssen über Hintergründe und Gefährdungen informiert sein und Sicherheitsmaßnahmen kennen und umsetzen, die ihren Arbeitsplatz betreffen. Das kann in Form eines Homeoffice-Leitfadens geschehen, auf den wir noch genauer eingehen werden.
Vorbereitung und Ausrüsten des Homeoffice:
Wenden wir den Blick nun auf den Infrastruktur-Baustein des IT-Grundschutz. In INF.8: Häuslicher Arbeitsplatz sind die Bedingungen dafür definiert, wie der häusliche Arbeitsplatz aus Sicht der Infrastruktur aussehen soll. Im derzeitigen Krisenszenario ist das für die ad-hoc Homeoffice-Nutzer sicher kaum voraussetzbar, da es sich ja in der Regel nicht um einen sogenannten Telearbeitsplatz handelt, also die geplante Version des Homeoffice. Trotzdem sollten diese Anforderungen als Empfehlung Teil eines Homeoffice-Leitfadens sein.
Absicherung von Remote-Zugängen
Werden wir konkret: Es beginnt damit, dass sich ein Mitarbeiter in das heimische WLAN einloggt. Die Anforderung aus dem Baustein Netzwerke und Kommunikation sagt im Kapitel NET.4.1: TK-Anlagen in der Anforderung NET.4.1.A3, dass Standardpasswörter von WLAN Routern geändert werden MÜSSEN. Sollten Mitarbeiter im Homeoffice dies nicht berücksichtigen, stellt das ein wesentliches Sicherheitsrisiko dar und öffnet Türen für den Zugriff auf Unternehmensdaten und -ressourcen. Erst im Januar 2020 berichtet das amerikanische Tech-Portal ZDNet darüber, dass eine Liste mit über 500.000 Anmeldedaten von Geräten in einem Hackerforum veröffentlicht wurde. Helfen kann da auch die Umsetzung der Anforderung. NET.4.1.A4 Absicherung von Remote-Zugängen. Sie weist aus, dass die Zugriffe auf die Router geregelt werden sollten. Eine Anleitung, wie die heimische FRITZ!Box oder entsprechende Geräte dazu eingestellt werden sollten, passt auch gut in den Homeoffice-Leitfaden.
Datensicherhung im Homeoffice
In OPS.1.2.4.A4 Datensicherung bei der Telearbeit, wird die Notwendigkeit der Datensicherung bei der Telearbeit betont. Das ist umso wichtiger, falls der Arbeitgeber keine internen Geräte aufgrund von Lieferengpässen oder verfügbaren IT-Ressourcen bereitstellen konnte. Das dürfte bei vielen Kleinst- und Kleinunternehmen der Fall sein. Aber selbst im Umfeld unserer großen Kunden haben wir erlebt, dass durch Lieferengpässe keine Laptops in ausreichenden Mengen bereitgestellt werden konnten. Die Folge ist, dass die Mitarbeiter an ihren privaten PCs arbeiten müssen, wenn denn die Firma nicht betreten werden darf. Da ist die Datensicherung umso wichtiger.
Schutz vor Schadprogrammen
Außerdem wichtig ist dann auch der Schutz vor Schadprogrammen. Hier sieht der Baustein Betrieb in OPS.1.1.4.A3 die Auswahl eines Viren-Schutzprogrammes für Endgeräte vor. Sicher, in den allermeisten Firmen ist das auf den Firmenrechnern bereits umgesetzt, alles andere wäre grob fahrlässig. Aber wenn der Mitarbeiter mit dem privaten PC arbeiten muss, der ggf. auch noch in der Familie von mehreren Anwendern genutzt wird (Stichwort Homeschooling), ist der Firmenstandard nicht vorhanden. Wie auf dem Privatrechner agiert werden sollte, muss daher ebenfalls Teil des Homeoffice-Leitfadens sein.
Übrigens: Laut Umfrage des Bundesverbands IT-Sicherheit e.V. (TeleTrusT) sichern gerade einmal 65 Prozent der Mitarbeiter im Homeoffice ihren Laptop mit einem Passwort ab und sogar nur 63 Prozent gaben an, einen geeigneten WLAN-Passwortschutz zu haben.
Risikofaktor Mitarbeiter
Bei Risikoszenarien spielt der „Faktor Mensch“ eine Rolle. Was für viele IT-Mitarbeiter trivial erscheinen mag, kann für einen IT-Neuling eine große Herausforderung darstellen. Deshalb ist es wichtig, dass Mitarbeiter bei IT-Themen auf Ihrem Kenntnisstand abgeholt und unterstützt werden. Das Ganze sollte in einem umfassenden Homeoffice-Leitfaden münden. Hier können neben den schon genannten Informationen weitere Anweisungen mitgegeben werden, z. B. wie darf der eigene Drucker genutzt werden? Wie entsorge ich Ausdrucke richtig – Stichwort Datenschutz? Auch eine Liste mit Rufnummern von Zuständigen, die bei IT-Problemen kontaktiert werden können, ist eine gute Idee.
Einen solchen Leitfaden für Mitarbeiter zu erstellen ist notwendig. Auch das kann aus dem IT-Grundschutz an mehreren Stellen ableiten: Im Baustein Organisation und Personal, Kapitel ORP.3: Sensibilisierung und Schulung gibt es die Anforderung für Einweisung des Personals in den sicheren Umgang mit IT (ORP.3.A3), ebenso wie die Installation eines Ansprechpartners zu Sicherheitsfragen (ORP.3.A2). Also zwei weitere wichtige Informationen für den besagten Leitfaden. Das sieht auch der Baustein Betrieb vor: OPS.1.2.4.A1 Regelungen für Telearbeit sagt u. a. aus: Alle relevanten Aspekte der Telearbeit MÜSSEN geregelt werden. Zu Informationszwecken MÜSSEN den Telearbeitern die geltenden Regelungen oder ein dafür vorgesehenes Merkblatt ausgehändigt werden, das die zu beachtenden Sicherheitsmaßnahmen erläutert […].
Auf der anderen Seite – die Firmen-IT:
Vielfach mussten in der Firmen-IT Lösungen aus dem Boden gestampft werden, um überhaupt den Zugang auf die Anwendungen und Systeme aus dem Homeoffice zu ermöglichen. Auch hier kann man aus dem IT-Grundschutz viele Anforderungen mitnehmen, z.B.: SYS.1.5.A2 Sicherer Einsatz virtueller IT-Systeme besagt: […] Weiterhin MÜSSEN die eingesetzten virtuellen IT-Systeme den Anforderungen an die Verfügbarkeit und den Datendurchsatz genügen. Im laufenden Betrieb MUSS die Performance der virtuellen IT-Systeme überwacht werden. Ein Großteil der leidgeprüften Anwender zu Hause wird hier sicher bereits die Erfahrung gemacht haben, dass das, vor allem am Anfang des Lockdowns, nicht eben gut funktioniert hat. Und das ist nur ein Beispiel, was Homeoffice für die Firmen-IT bedeutet.
Fazit
Im früheren normalen Unternehmensalltag haben Geschäftsführer und CISOs mehr Kontrollmöglichkeiten über die IT-Sicherheit gehabt, als das derzeit mit vermehrtem Homeoffice der Fall ist. In der Krise waren zu Beginn schnelle und pragmatische Lösungen gefragt. Aber Unternehmen müssen das Compliance-Management weiterhin im Blick behalten, da dieser Trend sicher noch Bestand haben wird: Es muss sichergestellt werden, dass Vertraulichkeit, Verfügbarkeit und Integrität von Informationen weiterhin gewährleistet sind und der Datenschutz berücksichtigt ist. Und wenn die Übergangslösungen bekannte Schwachstellen enthalten, müssen diese transparent sein und auch allen Mitarbeitern bewusst gemacht werden, um ein entsprechend umsichtiges Verhalten zu gewährleisten.
Weiterhin ist es ratsam, nachdem die Lösungen unter Druck geschaffen wurden, im Anschluss die Hausaufgaben zu machen. Es ist zu überprüfen, ob die Lösungen in das IT-Sicherheitskonzept passen, oder ob nachgebessert werden muss. Der Blick in die Anforderungen des IT-Grundschutz und den dazu passenden Maßnahmenkatalog aus den Umsetzungshinweisen sowie eine entsprechende Risikoabwägung hilft dabei. Wenn dann alles vernünftig, zusammenhängend und am besten in einem geeigneten System wie unserem SAVISCON GRC-COCKPIT dokumentiert ist, kann der CISO wieder ruhiger schlafen.
Das BSI hat dazu auch einen Leitfaden veröffentlicht: Zum BSI-Leitfaden
Über den Autor
Ingo Simon ist Geschäftsführer der SAVISCON GmbH. Er hat das Unternehmen im Jahr 2010 gegründet und war bis 2018 größtenteils mit einigen Beratern in Kundenprojekten auf Basis von Dienstleistungsverträgen unterwegs. Ende 2018 übernahmen er die Software des heutigen GRC-COCKPITs und weitete das Geschäftsfeld von Customer Communication Management und Enterprise Content Management auf das GRC-Management aus. Kontakt: 040 80 90 81 446 oder ingo.simon@saviscon.de