Von 0 auf 100 ins Homeoffice
Zertifizierte Kompetenz, um Angriffe abzuwehren und Werte zu schützen auf der Basis von BSI/ISO. Darum geht es in 15 intensiven Tagen unseres Lehrgangs. Neben Risikoanalysen, Security Frameworks und einem Deep Dive in Cybersecurity-Technologien, schreiben unsere Absolventinnen und Absolventen einen Blogbeitrag. Dieser ist von Sarah Schmidt.
Mit der Corona-Krise wechselten landesweit viele Arbeitnehmer und Arbeitnehmerinnen von einem Tag auf den anderen ins Homeoffice. Die aktuelle Situation stellt die Mitarbeitenden sowohl persönlich wie auch beruflich vor neue Herausforderungen. Durch die vermehrte Arbeit im Homeoffice verändert sich nicht nur die Arbeitsweise, sondern auch die operativen Risiken.
Während Homeoffice einerseits eine Chance für die Arbeitnehmer und Arbeitnehmerinnen darstellt, weiterhin arbeiten zu können und somit Kurzarbeit, Zwangsferien oder die Entlassung in Folge einer Pandemie zu vermeiden, entstehen durch diese Arbeitsform auch Risiken. Diese sind aber aufgrund von Stress und einer vertrauten und somit vermeintlich sicheren Umgebung oft nicht im unmittelbaren Bewusstsein der Mitarbeitenden. Wie in anderen Bereichen der Informationssicherheit oftmals auch, stellt der Mensch hier ebenfalls das schwächste Glied in der Kette dar. Es können zwar technische Massnahmen wie VPN-Verbindungen, Firewall-Einstellungen, Antivirensoftware usw. in Stellung gebracht werden.[1] Schlussendlich sind es aber die Handlungen der Mitarbeitenden, die über den Erfolg dieser Schutzmassnahmen bestimmen.
So haben Mitarbeitende die Tendenz, auf ihre eigene IT-Infrastruktur zurückzugreifen, wenn die vom Unternehmen zur Verfügung gestellte nicht ausreicht. Was bei einem Bildschirm und einer Tastatur mit Kabel noch in Ordnung ist, wird kritisch, wenn Dateien auf den privaten Rechner kopiert oder in einer beliebigen Cloud gespeichert werden. Ebenso stellt das Übertragen von Dateien auf mobile Speichergeräte wie bspw. einen USB-Stick ein hohes Sicherheitsrisiko dar. Durch die geringe Grösse und ihre Mobilität können sie einfach abhandenkommen. Dies gilt sowohl für unbeabsichtigtes Verlieren wie auch für mutwilliges Stehlen.
Ähnlich verhält es sich mit physischen Daten resp. Dokumenten. Da diese ebenfalls leicht mitgenommen werden können und zusätzlich nicht wie elektronische Daten durch Passwörter und Verschlüsselung geschützt sind, können sie prinzipiell von jedermann gelesen werden. Neben den im selben Haushalt lebenden Personen können bspw. auch Techniker, Spitex-Mitarbeitende etc., die sich für einen Auftrag im Haus befinden, allenfalls Einsicht in die Daten haben. Damit dies nicht passiert, müssten die Daten immer weggeschlossen werden, wenn man selber nicht damit arbeitet.
Vorschriften gelten auch gegenüber Vertrauenspersonen
Des Weiteren stellt das Homeoffice die Mitarbeitenden bei der Einhaltung von gesetzlichen und regulatorischen Vorschriften vor neue Herausforderungen, die aufgrund der räumlichen Situation nicht immer einfach einzuhalten sind. Trotzdem gelten diese Vorschriften auch gegenüber (Ehe-)Partnern, Kindern, Verwandten und Bekannten. Im ersten Moment werden diese Vertrauenspersonen nicht als ein Risiko angesehen. Dennoch handelt es sich aus Informationssicherheitssicht um unbefugte Drittpersonen, die sensible Informationen des Unternehmens nicht einsehen dürfen. Es besteht die Möglichkeit, dass bspw. ein Bekannter versehentlich oder absichtlich diese Informationen weitergibt. Je nach Information kann dies zu finanziellen Schäden oder Reputationseinbussen für das Unternehmen führen.
Die Pandemie ruft auch viele Hacker auf den Plan. Es kursieren im Zusammenhang mit dem Coronavirus verschiedene Phishing-Mails. Ausserdem sind auch Drohnachrichten im Umlauf, in denen die Erpressenden drohen, die Person und deren Familie mit dem Coronavirus zu infizieren sowie Zugriff auf deren Computer zu erlangen. Als Beweis geben die Betrüger alte Passwörter an, die aus früheren Datenlecks herrühren.[1,2] Aufgrund der Aktualität des Themas, der allenfalls schwerwiegenden Auswirkungen auf die Gesundheit sowie dem zusätzlichem privaten und beruflichen Stress, sind Mitarbeitende tendenziell anfälliger auf solche Angriffsversuche. Die Angestellten können durch eine vorhergehende und kontinuierliche Information zum Thema Phishing sensibilisiert werden. Wichtig ist einerseits, auf die Thematik aufmerksam zu machen und die allfällige Form der Angriffe zu nennen und andererseits betreffend den richtigen Umgang mit Phishing-Nachrichten und Drohungen zu informieren.
Zu guter Letzt haben wir mit den Sozialen Medien ein Medium zur Hand, das uns erlaubt, unabhängig vom Ort mit Familie und Freunden in Kontakt zu bleiben. In Zeiten von Social Distancing stellt es zudem eine sichere Alternative zu persönlichen Treffen dar und ermöglicht auch in Selbstisolation, soziale Kontakte zu pflegen. Für viele gehört auch das Teilen von Bildern aus dem Homeoffice dazu. Dabei geht schnell vergessen, dass auf den darauf zu sehenden Bildschirmen Informationen zu sehen sein können, die es zu schützen gilt. Während im Büro streng darauf geachtet wird, was auf einem Bildschirm zu sehen ist und viel weniger Fotos gemacht werden, verwischt dieser Umstand durch die private Umgebung.
Fazit:
Zusammenfassend sollten die Mitarbeitenden frühzeitig auf folgende Punkte hin sensibilisiert werden:
- Es dürfen keine physischen Unterlagen mit sensiblen Inhalten mit ins Homeoffice genommen werden. Wenn sich bereits Dateien zu Hause befinden, sind diese bei nächster Gelegenheit zurück an den eigentlichen Arbeitsplatz zu bringen. Es ist stattdessen auf elektronische Dokumente auszuweichen.
- Mitarbeitende müssen auf mögliche Phishing-Versuche und Drohnachrichten aufmerksam gemacht und für den richtigen Umgang sensibilisiert werden.
- Die Datenbearbeitung auf privater Hardware ist zu untersagen.
- Mitarbeitende sind auf die Geschäftsgeheimnisse und anderweitige rechtliche Rahmenbedingungen wie bspw. das Bankgeheimnis aufmerksam zu machen.
- Mitarbeitende sind zur Vorsicht zu ermahnen, wenn Social Media Posts mit Fotos aus dem Homeoffice gepostet werden.
Autorin: Sarah Schmidt
Quellen:
[2] https://www.melani.admin.ch/melani/de/home/themen/covid-19.html
CAS Cybersecurity und Information Risk Management
Beim nächsten CAS Cybersecurity und Information Risk Management dabei sein?
Persönliche Beratung
Sie würden sich gerne persönlich beraten lassen? Senden Sie ein E-Mail an martina.dallavecchia@fhnw.ch und vereinbaren Sie einen Termin.
Dozenten in diesem sehr praxisorientierten Lehrgang sind:
Martina Dalla Vecchia (FHNW, Programmleitung)
Lukas Fässler (FSDZ Rechtsanwälte & Notariat AG)
Rainer Kessler (PwC)
Andreas Wisler (goSecurity GmbH)