Home und Office
Security-Checkliste Mobiles Arbeiten
Das Homeoffice ist gekommen, um zu bleiben. Viele arbeiten zu Hause oder im Zug – und manche gleich dort, wo andere Urlaub machen. Auch Angreifern gefällt das, denn die externen Arbeitsplätze sind eine potenzielle Schwachstelle im Unternehmensnetz.
☑ Arbeitsplatz abschirmen
Sichern Sie Ihren Homeoffice-Rechner und alle mobilen Arbeitsgeräte nach dem Stand der Technik. Dazu zählen regelmäßige Betriebssystemupdates und ein Virenscanner (siehe S. 71). Denn ein eingefangener Virus kann die gesamte Firma lahmlegen. Greifen Sie aus dem Homeoffice und unterwegs über eine verschlüsselte VPN-Verbindung auf das Firmennetz zu. Meiden Sie öffentliche WLAN-Hotspots, nutzen Sie stattdessen eine mobile Datenverbindung (4G/5G).
Schützen Sie Ihre Geräte und Daten auch vor direkten, physischen Zugriffen von Unbefugten. Ein Dieb, der Ihr Notebook geklaut hat, darf nicht auch noch Ihre Daten erbeuten. Bei mobilen Rechnern sollte der Massenspeicher daher verschlüsselt sein, zum Beispiel mit BitLocker oder VeraCrypt. Das gilt auch für USB-Sticks und andere externe Datenträger. Defekte Speichermedien entsorgen Sie nicht selbst, sondern über die Firma. Nur dann ist gewährleistet, dass sensible Informationen sicher gelöscht werden.
Aktivieren Sie Ortungs- und Fernlöschfunktionen. Suchen Sie sich unterwegs zum Arbeiten einen Platz, der vor neugierigen Blicken schützt. Richten Sie eine passwortgeschützte Bildschirmsperre ein und nutzen Sie diese konsequent, auch wenn Sie den Rechner nur kurz aus den Augen lassen (unter Windows mit Windows+L). Am besten ist ein passwortgeschützter Bildschirmschoner, der sich nach kurzer Inaktivität automatisch einschaltet.
☑ Daten trennen
Wenn Sie Ihren privaten Rechner für die Arbeit im Homeoffice nutzen, dann richten Sie hierfür ein eigenes Nutzerkonto ein. So bleibt Privates privat. Umgekehrt gilt: Firmendaten haben im Privatkonto nichts verloren. Greifen Sie auch auf Ihre privat genutzten Cloudkonten wie Dropbox, OneDrive oder Google Drive nicht vom Arbeitskonto aus zu.
Um auf dem Smartphone berufliche von privaten Kontakten zu separieren, arbeiten Sie ebenfalls mit zusätzlichen Nutzerkonten, sofern möglich.
☑ Verlust vermeiden
Speichern Sie wichtige, beruflich genutzte Dokumente und Daten nicht lokal auf Ihrem Rechner, Notebook oder Tablet, sondern möglichst auf dem Firmenserver. Das ist nicht nur sicherer, sondern vor allem beim hybriden Arbeiten deutlich komfortabler. Denn dort werden automatisch Backups angelegt und Sie haben gleich alles parat, wenn Sie vom Home- ins Firmen-Office wechseln. Falls Daten doch mal lokal gespeichert werden müssen, richten Sie zumindest eine automatische Synchronisierung per Backupsoftware ein. Verzichten Sie möglichst darauf, Dokumente auf USB-Sticks und externen Platten hin- und herzutragen.
☑ Konferenzen kontrollieren
Virenschutz hin, Firewall her: Die größte Schwachstelle in der Firmen-IT ist immer noch der Mensch. Im Homeoffice stehen Ihnen Ihre Gesprächspartner selten gegenüber. Videochat-Teilnehmer ohne Kamera können Kollegen sein, aber auch Angreifer, die mitlauschen wollen. Fordern Sie die Kollegen zunächst auf, die Kamera zu aktivieren und starten Sie das Meeting neu, wenn die Geisterbilder nicht verschwinden.
Übrigens: Die beliebten Screenshots von Videokonferenzen können wertvolle Informationen für Angreifer enthalten, um sich entweder direkt ins nächste Meeting einzuklinken oder Phishing-Attacken vorzubereiten. Wenn Sie unbedingt Fotos vom letzten Meeting veröffentlichen müssen, machen Sie vorher sensible Daten wie URLs, Meeting-IDs sowie die Gesichter der Teilnehmer unkenntlich.
☑ Anrufe & Mails hinterfragen
Nicht alles läuft auf Anhieb perfekt. Bleiben Sie auch aus der Ferne in Kontakt mit den Admins Ihrer Firma und erstellen Sie beizeiten eine Liste mit wichtigen Ansprechpartnern für den Notfall.
Anrufen und Mails sollten Sie grundsätzlich skeptisch gegenüberstehen, denn Caller-IDs und Absendernamen können gefälscht sein. Meldet sich etwa vermeintlich Ihr Lieblings-Admin oder ein Geschäftspartner telefonisch bei Ihnen, sollten Sie keine sensiblen Daten preisgeben und sich schon gar nicht auf eine Fernwartung einlassen. Selbst den vertrauten Stimmen müssen Sie zunehmend mit Skepsis begegnen, denn sie lassen sich immer besser synthetisch nachahmen. Rufen Sie bei geringstem Zweifel lieber unter der Ihnen bekannten Rufnummer zurück. (atr@ct.de)