Homeoffice – ganzheitliche Sicht auf Informationssicherheit gefragt
Herausforderung für IT-Sicherheit im Homeoffice
Das Arbeiten im Homeoffice ist seit dem vergangenen Jahr für viele zum Standard geworden. Dabei hat die Pandemie auch die Formen der Zusammenarbeit in unserer Arbeitswelt grundlegend verändert. Beim Arbeiten von zu Hause oder unterwegs gibt es zusätzliche Anforderungen und Sicherheitsrisiken hinsichtlich der Daten- und Informationssicherheit, für die Unternehmen organisatorische und technische Maßnahmen ergreifen müssen.
Das beginnt bereits beim Heimnetzwerk, denn oft wird zuhause nicht das gleiche Sicherheitsniveau erreicht wie im Unternehmensnetzwerk. Zudem verschwimmt die Grenze zwischen Privatem und beruflicher Arbeitswelt. Neben Papierakten, die nach Hause mitgenommen werden, haben plötzlich unternehmensexterne Personen – wie Mitbewohner, Freunde oder Gäste – möglicherweise Zutritt zum Heimarbeitsplatz. „Bring your own Device“ ist ein weiterer Sicherheitsaspekt, da teilweise von privaten Geräten, wie Notebook oder Smartphone, gearbeitet und auf Unternehmensinformationen zugegriffen wird. Die Sicherheits- und Privatsphäre-Einstellungen von Apps sind daher ebenso relevant.
Mitarbeiter*innen als Angriffsstelle und Sicherheitssensor
Gerade im Homeoffice muss auf die Einhaltung von Sicherheitsrichtlinien und technischen Standards genau geschaut werden. Das betrifft einerseits die eingesetzten Tools und Geräte, aber auch Richtlinien und organisatorische Maßnahmen. Denn Informationssicherheit per se ist eine technische und organisatorische Angelegenheit. Und das Allerwichtigste: Menschen arbeiten mit Technologien, sie sind zugleich Angriffsstelle und Sicherheitssensor. Viele Cyberattacken, die gerade auch im Corona-bedingten Homeoffice angestiegen sind, haben den Nutzer als Angriffsziel. Phishing oder Social-Engineering sind Techniken, mit denen Betrüger versuchen, an sensible Daten und Passwörter zu gelangen oder Benutzer*innen zu einem bestimmten Verhalten zu motivieren.
Für ein hohes Sicherheitsniveau sorgen also nicht nur die eingesetzten Technologien wie sichere Konfiguration der Systeme, Firewalls, Virenschutz, Patch-Management oder VPNs. Das eigene Team muss geschult und laufend informiert werden. Beim Awareness Raising wird auf mögliche Bedrohungen aufmerksam gemacht und ein Bewusstsein für Gefahrenpotenziale geschaffen. Wesentlich ist zudem eine transparente Richtlinie für die Meldewege und Handlungsschritte für den Fall der Fälle. Sowohl ein ganzheitliches Sicherheitskonzept als auch ein Notfallhandbuch, das allen zugänglich ist, gehören zum Muss einer jeden Organisation.
Abteilungsübergreifende Sicherheitsmaßnahmen
Oft wird Cyber Security in der Praxis ausschließlich als Belangen der IT-Abteilung gesehen. Dabei ist Informationssicherheit ein interdisziplinäres Thema. Damit Security-Know-how aufgebaut werden kann und das Sicherheitsbewusstsein im eigenen Team gestärkt wird, müssen alle an einem Strang ziehen. Durch laufende Awareness-Trainings und Coachings kommt der HR-Abteilung eine Schlüsselrolle zu. Je enger die abteilungsübergreifende Zusammenarbeit, desto besser können die Anforderungen analysiert und zielgerechte Maßnahmen abgeleitet werden. Eine solche interdisziplinäre Zusammenarbeit kann erheblichen Einfluss auf die Akzeptanz von Richtlinien, Vorgaben und Maßnahmen haben. Schließlich muss sich in unserer zunehmend digitalisierten Welt ein gelebtes Sicherheitsbewusstsein in der Unternehmenskultur etablieren.
Cyber Security & Informationssicherheit – auf Standards setzen
Informationssicherheit umfasst den Schutz von technischen und nicht-technischen Systemen. Neben Tools und Technologien, die zum Einsatz kommen, schaffen Normen wie ISO 27001 die Basis für einheitliche Standards. Regelmäßige Audits sind ein bedeutendes Instrument, damit die primären Schutzziele Verfügbarkeit, Vertraulichkeit und Integrität stets eingehalten werden.
ABOUT
Dr. Gerlinde Macho ist Gründerin des IT-Unternehmens MP2 IT-Solutions mit Standorten in Wien, NÖ/Zwettl sowie Graz. Ihr Tätigkeitsbereich erstreckt sich seit über 20 Jahren von der Unternehmensführung bis hin zur Digitalisierungsberatung. Als zertifizierte Qualitäts- und IT-Sicherheitsmanagerin kennt sie die internen sowie externen Anforderungen ganz genau.