IT-Sicherheit im Homeoffice

Darauf sollten Verwaltungsprofis achten

Passwörter

Auch wenn es an Hinweisen zur Schwachstelle Passwort nicht mangelt: Unbefugte erlangen trotzdem immer wieder über schwache Passwörter unerlaubt Zugriff auf Daten und Systeme. Daher beginnt Sicherheit bei einem sicheren Passwort. Generell gilt: Je komplexer und länger, desto sicherer auch das Passwort. Die Verbraucherzentralen sagen beispielweise dazu: „Sichere Passwörter sollten mindestens 10 Zeichen lang sein, aus Groß- und Kleinbuchstaben sowie Sonderzeichen bestehen und in keinem Wörterbuch zu finden sein oder mit Ihnen in Verbindung stehen“. Ähnlich sieht es das BSI, empfiehlt für manchen Anwendungen aber sogar noch längere Passwörter. Nun wird man sich nicht ohne Weiteres einen 45 Zeichen langen Code merken können.

Hier helfen Passwort-Sätze, die sich leichter merken lassen. Eine Hilfsstrategie wäre zum Beispiel die Nutzung eines Satzes wie: „Tanzt der Chef um 12 auf dem Flur, klingelt gleich die Pausenuhr!“. Der Sinn ist für die Sicherheit nicht entscheidend, wohl aber die Länge und die Verwendung von Zahlen, Sonderzeichen und Groß-/Klein-Schreibung. Verwenden Sie bei unserer Pass-Phrase die ersten Buchstaben, ergibt sich folgendes, sicheres Passwort: „TdCu12adF,kgdP!“. Anderes Beispiel: „Ich esse jeden Freitag beim Gickelswirt ein Schnitzel mit Pommes“. Ersetzen Sie einfach „beim“ durch das @-Zeichen und das Restaurant durch den Namen Ihres Lieblingslokals. In unserem Beispiel lautet das Passwort: „IejF@G1SmP“.

Der Phantasie sind keine Grenzen gesetzt – probieren Sie es aus.

Sicheres VPN

Häufige Schwachstelle sind auch die Router im Homeoffice, also die Verbindungsrechner zwischen Telefon- bzw. Datenleitung und Endgerät. Eine Funkverbindung via WLAN ist praktisch, allerdings gilt auch hier: Ein sicheres Passwort ist essentiell. Sicherer sind übrigens feste Kabelverbindungen (LAN) zwischen Router und Endgerät. Handelsübliche Router erlauben mühelos eine Kabelverbindung. Mögen die Kabel auch manchmal stören, sie erhöhen die Sicherheit und haben noch einen zweiten Vorteil: Via Kabel ist das Internet-Signal deutlich stabiler, was man bei Videokonferenzen oder VoIP-Anwendungen schätzen wird. Wer öfter Ausfälle bei der Webex-Konferenz hat, dürfte sich über eine Kabel-Verbindung freuen.

Wie kommen jetzt die Daten vom Homeoffice zum Arbeitgeber? VPN – Virtual Private Network heißt die technische Vorrichtung, die sicherstellt, dass Daten vor der Übertragung ins Internet in einen verschlüsselten Tunnel gepackt und nur verschlüsselt übertragen werden. An Anfang und Ende kann man die Daten bearbeiten, während der Übertragung im öffentlichen Netz hat niemand Zugriff darauf. In der Regel stellen die Kommunen geeignete VPN-Lösungen oder mit videma21 von der ekom21 auch gleich einen kompletten und gesicherten Remote-Arbeitsplatz zur Verfügung; Fernzugriff ohne VPN erlauben sie in der Regel nicht. Wer ohne VPN arbeitet, geht im übertragenen Sinn ohne Badebekleidung schwimmen: Er zeigt schlicht alles.

Phishing-Mails

Während COVID-19 das gesellschaftliche und wirtschaftliche Leben erheblich einschränkt, kennt Cybercrime keine Krisen. Im Gegenteil, die Zahl der Angriff steigt – was sicher auch damit zu tun hat, dass die Arbeit im Homeoffice zusätzliche Angriffspunkte bietet. Wer hat nicht in den vergangenen Monaten Werbemails für Atemschutz-Masken oder sonstige Angebote erhalten? Häufig stehen dahinter keine ernsthaften Anbieter, sondern Phishing-Mails (Kunstwort aus Passwort und Fishing). Also E-Mails, die versuchen, Passwörter, TAN oder sonstige Transaktionsschlüssel zu stehlen. Ebenso schlimm ist das Einschleusen von Schad-Software via E-Mail-Anhang auf diesem Weg. Nach einem unbedachten Klick kann dann auch die Festplatte verschlüsselt sein („Ransomware“). Der beste Schutz ist Misstrauen, unbekannte Mitteilung nicht öffnen oder telefonisch beim Sender rückversichern – denn Phishings sind immer schwerer zu erkennen. Wer E-Mails von einer fremden Bank erhält, wird gewarnt sein. Das ist offensichtlich ein Angriff. Aber viele E-Mails kommen mittlerweile in täuschend echtem Layout und in tadelloser Sprache. Lassen Sie niemand auf Ihre Endgeräte!

Vorsichtsmaßnahmen

Angriffe erfolgen aber nicht nur digital, auch analog lassen sich Spitzbuben einiges einfallen. Das BSI warnt in seinen Handreichungen auch vor physischen Risiken: „Ergreifen Sie an Ihrem Heimarbeitsplatz Maßnahmen, mit denen sich ein Sicherheitsniveau erreichen lässt, das mit einem Büroraum vergleichbar ist. Verschließen Sie Türen, wenn Sie den Arbeitsplatz verlassen, geben Sie Dritten keine Chancen durch einsehbare oder gar geöffnete Fenster“. Es mag unwahrscheinlich erscheinen, dass jemand durch das Fenster einsteigt und die aktuelle Wasserverordnung stiehlt. Aber kommunale Informationen – der Bebauungsplan, Sitzungsprotokolle, Finanzdaten etc. – sind hochsensibel. Oft genügt schon ein Blick, um wertvolle Kenntnisse zu erlangen. Wer Bahn fährt hat bestimmt schon ungewollt Umsatzzahlen gesehen, die der Mitreisende gegenüber gerade bearbeitet. Dagegen helfen eine Sichtfolie und die Windows-Taste plus L, dann ist nämlich der Bildschirm mit Passwort blockiert. Kinder im Homeoffice? Das Sperren des Rechners hilft auch gegen unerwünschte Datenverluste. Zu ärgerlich nämlich, wenn Filius oder Filia Spaß am Tippen haben oder auf der Tastatur Musik machen und stundenlange Arbeit zerstören.

Sichern, sichern, sichern

Datensicherung ist ein weiterer wichtiger Aspekt bei der IT-Sicherheit im Homeoffice. Idealerweise arbeitet man live auf den Produktionssystemen der Organisation. Bei videma21 ist das ohnehin der Fall, in anderen Fällen hilft VPN. Damit sind Datenverluste praktisch ausgeschlossen und auch für den Fall eines Virusbefalls lassen sich Daten wiederherstellen. Wer auf lokalen Medien speichert, tut sich keinen Gefallen und macht sich unter Umständen sogar strafbar. Das gilt vor allem auch für beliebte Onlinespeicher wie OneDrive, Google Drive oder Dropbox. Die mögen bequem sein, aber erst vor kurzem hat der Europäische Gerichtshof die als „Privacy Shield“ bekannte Datenschutz-Regelung mit den USA – wo viele der Service-Anbieter sitzen – für ungültig erklärt. Mit der ebox21 stellt die ekom21 einen ebenfalls komfortablen, aber sicheren Dienst für Datenspeicherung und -austausch bereit.

Kommunizieren – sicher

Sichere Kommunikation ist das A und O im Homeoffice. In der Regel bekommen Verwaltungsprofis und Mandatsträger Hard- und Software gestellt, die eigens für die benötigen Aufgaben ein zertifiziertes Sicherheitsniveau haben. Klar ist die Verlockung groß, eben mal einen alternativen Kommunikationsweg aus der privaten Welt zu nutzen. Nicht nur OneDrive mischt sich im Homeoffice schnell einmal unter die genutzten Technologien, auch andere Chat- und Messenger-Dienste sind verlockend, bergen aber deutliche Sicherheitsrisiken. Nutzer sollten sich an die bereitgestellte Technik der Organisation im Homeoffice halten und nur die zugelassenen Dienste nutzen. Dahinter stehen ein erfahrener Dienstleister, ein Sicherheitskonzept und Support-Experten – wie bei der ekom21.

Sicherheitslücken entstehen zudem, wenn Updates nicht eingespielt werden. Ein Support-Team macht das meist automatisch im Hintergrund, so dass sich Experten im Homeoffice auf ihre Dienstgeschäfte konzentrieren können und zu aller Zusatzbelastung nicht auch noch einen Schnellkurs in IT-Administration belegen müssen.

Fazit

Homeoffice ist eine spannende neue Form der Arbeitsorganisation. Ob sie dauerhaft bleiben wird, sich ausweitet oder nach COVID-19 weitgehend wieder verschwindet, lässt sich noch nicht beantworten. Auf jeden Fall ist sie bisher ein pragmatischer Weg, um das Verwaltungshandeln in vollem Maße aufrecht zu halten und guten Dienst am Bürger zu gewährleisten. Sicherheit ist ein Gemeinschaftsprojekt – im Umgang mit COVID-19, aber auch bei der IT-Sicherheit. Denn die Nutzer sind der Hauptangriffspunkt für Cyberkriminelle. Mitdenken für die Sicherheit aller – das ist im Homeoffice besonders gefragt.

Weiterführende Informationen

Homeoffice Check des BSI – eine Link-Liste mit vielen vertiefenden Informationen – etwa zu sicheren Mobilegeräten oder der sicheren WLAN-Einrichtung: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Cyber-Sicherheit/Themen/checkliste-Homeoffice_linkliste.pdf?__blob=publicationFile&v=5

 Checkliste des BSI für die Arbeit im Homeoffice: https://www.allianz-fuer-cybersicherheit.de/SharedDocs/Downloads/DE/BSI/Cyber-Sicherheit/Themen/checkliste-Homeoffice_mitarbeiter.pdf%3F__blob=publicationFile&v=4

 Wer dienstliche Daten sicher austauschen will, der setzt auf die ebox21: https://www.ekom21.de/loesungen/ebox21/

 Der komplette Arbeitsplatz aus der Cloud – sicher und bequem: https://www.ekom21.de/loesungen/videma21/