Das Coronavirus (COVID-19) wurde von der Weltgesundheitsorganisation (WHO) offiziell als Pandemie eingestuft. Die Europäische Union schottet sich ab. Angesichts des sich exponentiell entwickelnden Verlaufs der Corona-Krankheit verbietet die EU die Einreise aus Nicht-EU-Staaten für die nächsten 30 Tage (Stand 17.03.2020). Viele Länder haben Schulen und Universitäten geschlossen, große Zusammenkünfte von Menschen wurden gestoppt.
Großkonzerne wie Google und Microsoft legen den Mitarbeitenden an Herz, ins Home-Office zu gehen. Moderne Unternehmen sind ohnehin bereits für Remote Working gewappnet und die notwendige Infrastruktur stellen die beiden genannten Unternehmen beispielsweise selbst bereit. Darüber hinaus arbeitet die überwiegende Mehrheit mit portablen Laptops.
Bei kleineren Unternehmen gestaltet sich die Lage etwas anders. Das Arbeiten aus der Ferne ist hier im Vergleich zu größeren Unternehmen vielleicht noch nicht gängige Praxis, und so beschränkt sich die Kommunikation zumeist auf den E-Mail-Verkehr und Telefonie. Ein gutes Beispiel ist der Vergleich zwischen Fern-Universitäten und (normalen) Unis. Ein Fernstudium lebt überwiegend von Remote-Lehrinhalten, während bei den anderen Universitäten oft klassischerweise ein Professor im Hörsaal vor den anwesenden Studierenden lehrt. Das Gleiche gilt analog im Schulbetrieb. Die fehlende Digitalisierung an den Schulen zeigt sich momentan besonders deutlich.
Es gibt einige grundlegende Anforderungen, die beim Remote Working (insofern möglich) zu bewerkstelligen sind:
- Einen Laptop
- Eine gute Internetverbindung
- Messenger- und Konferenz-Tools
- Einen dedizierten Arbeitsplatz
- Telefon (optional)
- Motivation und Selbstdisziplin
- Alltagsroutine
Das Telefon betrachte ich eher als optionales Gadget, da die meisten Messenger-Apps heutzutage direkte Anrufe ermöglichen. Ein Telefon ist eher ein Business-Gebot als dringende Notwendigkeit.
Sehr viel wichtiger sind hingegen die erhöhten Anforderungen an die Cybersicherheit durch Remote Working. In den folgenden Absätzen erläutern wir Herausforderungen und mögliche Lösungsansätze für das sichere Arbeiten im Home-Office.
Physische Sicherheit von Unternehmensgeräten
Die Mitarbeitenden eines Unternehmens setzen die Geräte eines Unternehmens einem höheren Sicherheitsrisiko aus, wenn sie den sicheren In-house Arbeitsplatz verlassen. Wer sich nicht ins Home-Office zurückzieht, arbeitet eventuell von Co-Working-Spaces, Bibliotheken etc. aus. Dort besteht die Möglichkeit zur Sozialisierung. Allerdings müssen die Geräte hier besonders für den Fall von Verlust und Diebstahl abgesichert werden. Als sinnvoll halten wir die Umsetzung folgenden Punkte:
- Vollständige Festplattenverschlüsselung stellt sicher, dass Daten nicht in falsche Hände gelangen, wenn der Computer verloren geht.
- Vom Computer abmelden, wenn nicht in Gebrauch: Stellt sicher, dass neugierige Menschen keinen Zugriff zum Computer haben (einschließlich Kinder im Home-Office), falls man sich kurz wegdreht oder abwesend ist.
- Durchsetzung einer effektiven Passwortrichtlinie: Windows-Passwörter, automatische Log-Outs bei längerer Inaktivität, strenges Verbot von Haftnotizen mit Kennwörtern.
- Generell empfiehlt sich, einen Laptop in der Öffentlichkeit nicht unbeaufsichtigt zu lassen – wie auch in PKWs.
Cybersicherheit im Home-Office
Angestellte im Home-Office sollten gebeten werden, das eigene Heimnetzwerk auf Schwachstellen zu überprüfen; am besten bevor sie den Laptop damit verknüpfen. Besonders exponiert sind unsegmentierte Netzwerke mit IoT-Geräten. Jetzt ist der optimale Zeitpunkt, um sich einen Überblick zu verschaffen. Wir empfehlen das Aktualisieren der Passwörter und Updates der Firmware/Software auf allen Geräten.
Fernzugriff auf das Unternehmensnetzwerk und darin befindliche Systeme
IT-Administratoren im Unternehmen entscheiden, welcher Mitarbeiter im Unternehmen auf welche digitalen Ressourcen Zugreifen sollen. Die Inhalte können dabei im selbst gehosteten internen Unternehmensnetzwerk liegen oder extern in der Cloud. Admins müssen abwägen, ob remote die gleichen Zugangsbeschränkungen gelten sollen wie In-house, oder ob diese restriktiver gestaltet werden.
Bei Zugriff von außerhalb ins Unternehmensnetzwerk empfehlen wir folgendes:
- Zugang nur über ein Unternehmensgerät, auf das die IT-Abteilung jederzeit Zugriff hat.
- Unbedingter Einsatz eines VPNs, um Remote Worker mit dem Unternehmensnetzwerk zu verbinden. Das verhindert Man-in-the-Middle-Attacken.
- Einschränkung der Verwendung von fremden peripheren Geräten, wie USB-Sticks.
Für den Zugriff auf E-Mail- und Cloud-Dienste vom eigenen Gerät des Mitarbeiters aus gilt:
- Gleiche Endpoint-Sicherheitsrichtlinien in Bezug auf Anti-Malware, Firewall usw. wie beim unternehmenseigenen Gerät anwenden. Falls erforderlich, zusätzliche Lizenz zur Verfügung stellen bzw. Lizenzen umdisponieren.
- Möglichkeit beschränken, Daten zu schreiben, kopieren und herunterzuladen. Eine Verletzung der Datenschutz-Sicherheitspflicht kann von jedem Gerät mit Zugriff aus erfolgen.
- Erwägung des Einsatzes virtueller Maschinen, um Zugriff zu ermöglichen. In so einer kontrollierten Umgebung bleibt die Sicherheitsbelastung für das Unternehmensnetzwerk vergleichsweise niedrig. Zwar ist der initiale Einrichtungsaufwand größer. Auf längere Sicht ist es aber die sicherere Lösung.
Die Multifaktor-Authentifizierung (MFA) stellt sicher, dass der Zugriff, sei es auf cloud-basierte Dienste oder ins Unternehmensnetzwerk, nur durch autorisierte Benutzer erfolgt. Hier bieten sich besonders App basierte Systeme oder Hardware Token an. Die Generierung eines zufälligen Sicherheitscodes schützt den herkömmlichen Login-Vorgang zusätzlich ab. Die App basierte Lösung erweist sich zudem als schneller zu implementieren als Hardware Token. Außerdem sind sie, anders als SMS basierte Lösungen, nicht anfällig für SIM-Swap-Angriffe.
Kollaborative Tools und Autorisierungsprozesse
Auf den ersten Blick mögen beide vielleicht nichts miteinander zu tun haben, aber die Verknüpfung ergibt durchaus Sinn:
- Durch die Bereitstellung von Messenger-, Video- und Konferenztools können Mitarbeiter untereinander kommunizieren. Diese kollaborativen Werkzeuge gestalten das gemeinsame Arbeiten nicht nur effizienter, sondern garantieren auch ein gewissen Grad an Sozialisierung.
- Die genannten Tools erfüllen aber auch noch eine andere Funktion. Cyberkriminelle werden vermehrt dazu übergehen, Business E-Mail Compromise Attacks durchzuführen. Cyber-Angreifer ahmen jemanden im Unternehmen nach, um eine dringende Überweisung zu veranlassen, die sie selbst persönlich nicht bestätigen können. Video-Chat-Tools erleichtern die schnelle und einfache Verifizierung der Forderung aus der Mail.
Support- und Krisenmanagement
Bei all der Eile, nun jede Menge Fernzugriffe einzurichten, sollte die IT-Sicherheit nicht vernachlässigt werden. Natürlich ist der reibungslose Remote Working Betrieb für viele Unternehmen unerlässlich – gerade, wenn Mitarbeiter unter Quarantäne stehen. Remote Worker sollten sich dennoch an klare Kommunikationsprotokolle des IT-Supports halten und bei verdächtigen Vorkommnissen oder Verstößen sofort die IT-Abteilung informieren.
Abgesehen von der Technologie oder den funktionalen Prozessen gibt es Schlüsselfaktoren, die effizientes Remote Working unterstützen:
- Kommunikation – Teams sollten erwägen, ob sie tägliche Calls einrichten. Auf diese Weise bleibt man garantiert auf dem neusten Stand, und Probleme sowie Erfahrungen lassen sich leicht diskutieren.
- Reaktionsfähigkeit – Remote Working ist nicht dasselbe wie Arbeiten im Büro. Klare Richtlinien helfen Mitarbeitern, auf Anfragen zu reagieren – abhängig vom Kommunikationsmedium.
- Reporting – Team-Leader müssen Verfahren implementieren, um über die Arbeit der Mitarbeiter informiert zu bleiben.
- Arbeitsablauf – Das Unternehmen sollte Vereinbarungen über den Arbeitsantritt kommunizieren. Ein "Guten Morgen" im Gruppen-Chat reicht vielen schon.
- Gesundheit und Arbeitssicherheit – Remote Working, insbesondere Home-Office, entbindet nicht von der Verantwortung, eine gute Arbeitsumgebung zu schaffen. Ein Unternehmen muss Angestellten unter Umständen ergonomische Mäuse, Tastaturen, Bürostühle etc. bereitstellen.
- Fragen der Haftung – Unternehmen sollten Haftungsfragen im Fall von Remote Working klären.
- Technischer Support - Verteilen von Kontaktdaten: alle Mitarbeiter im Außendienst müssen wissen, wie sie im Bedarfsfall Hilfe erhalten.
- Sozialisierung – Wenn ganze Unternehmen plötzlich remote arbeiten, sinken soziale Kontakte enorm. Soziale Interaktion ist aber ein wichtiger Teil der Motivation und erhöht die Produktivität.
- Accessibility – Unternehmen sollten eine virtuelle Open-Door-Policy implementieren, damit Mitarbeiter wie im Büro weiterhin einfach zu erreichen sind und das allgemeine Engagement hoch bleibt.
Effektives Remote Working – besonders zu Hause mit Kindern – ist keine leichte Aufgabe. Das Zuhause ist nicht das Büro, und manch eine/r benötigt möglicherweise mehr Unterstützung als andere. Individuelle Hilfeleistungen sind in diesem Fall sehr ratsam.
Bleiben Sie sicher - und vor allem gesund!