Gerade kleine Unternehmen sind mit der aktuellen Situation überfordert und suchen händeringend nach effizienten Hilfestellungen und Lösungen. Die Anforderung ist klar: Mitarbeiter sollen so normal wie möglich vom Heimarbeitsplatz weiterarbeiten. An vielen Stellen fehlt die nötige Vorsorge für eine solche Notsituation. Nicht alle Unternehmen haben jedoch die Möglichkeit, ihre Angestellten mit firmeneigener Hardware wie Laptops auszustatten. Nicht wenige Mitarbeiter sitzen nun vorm privaten Laptop, PC oder Tablet und sollen möglichst sicher Unternehmensdaten bearbeiten oder auf die Server der Firma zugreifen können. Wie kann also der sichere Zugriff auf die Unternehmensnetzwerke sichergestellt werden? Welche ist die richtige VPN-Lösung um die Kommunikation zu schützen? Warum sollten Mitarbeiter eine Multifaktor-Authentifizierung verwenden, um sich an den Unternehmensdiensten anzumelden? Nachfolgend erkläre ich Ihnen was Sie beachten sollten.
Hinweis: Dieser Beitrag fokussiert sich ausschließlich auf die Anforderungen bezüglich der Heimarbeitsplätze. Anderweitige Informationen bezüglich der Mitarbeiter, bei denen Heimarbeit nicht möglich ist, sowie aktuelle Informationen zu möglichen Soforthilfen finden Sie auf den Webseiten der IHK, des BVMW und Ihrer jeweiligen Landesregierungen.
Hier nun also die wichtigsten Tipps für den sicheren Zugriff auf das Unternehmensnetzwerk:
- VPN Lösungen
VPN („Virtual Private Network“) Lösungen erstellen einen verschlüsselten „Kommunikationstunnel“ zwischen einem Endgerät, das egal wo in der Welt steht und Ihrem Netzwerk. Nur so kann bestmöglich sichergestellt werden, dass niemand die Kommunikation mitschneiden oder anderweitig manipulieren kann. Nicht jedes WLAN, in dem sich die Geräte der Nutzer befinden, ist gleich sicher. Ihr Unternehmen benötigt also eine VPN Serverlösung mit der Möglichkeit, auf den Geräten der Mitarbeiter eine entsprechende Clientsoftware zu installieren. Falls dies auf privaten Geräten geschieht, denken Sie bitte an eine lückenlose Anleitung.
Bei der Auswahl der VPN Lösung sollten Sie zudem darauf achten, dass sie entsprechend der Mitarbeiterzahl ausreichend lizenziert ist. Haben Sie bereits eine Lösung im Einsatz, überprüfen Sie ebenfalls ob die ursprüngliche Lizenzgröße noch ausreicht. - 2- oder Multifaktor-Authentifizierungen
Die klassische Anmeldung per Benutzername und Passwort birgt nachweislich viele Risiken: Verlorene, erratene, gestohlene, zu einfache und wiederverwendete Passwörter höhlen jedes noch so gute Sicherheitskonzept aus. Abhilfe schaffen hier 2-Faktor-Authentifizierungen (2FA) - auch als „Anmeldung in zwei Schritten“ oder Multifaktor-Authentifizierung (MFA) bezeichnet. Das zugrunde liegende Prinzip ist, dass zusätzlich zum Benutzernamen und Passwort ein Einmal-Code für die Anmeldung an den Unternehmensdiensten notwendig ist. Dieser kann per SMS verschickt, in einer entsprechenden App auf dem Smartphone des Nutzers oder als Push-Nachricht mit Ja-Nein-Abfrage auf dem selbigen realisiert werden. Außerdem können noch Authentifizierungsgeräte, die per USB am Rechner angeschlossen sind, verwendet werden.
Unternehmen, die solche Lösungen noch nicht im Einsatz und Angst um ihr Budget haben, stellt ESET aktuell als Soforthilfemaßnahme die eigene Lösung ESET Secure Authentication für 6 Monate, ohne automatische Verlängerung, kostenfrei zur Verfügung. Eingerichtet ist ESA in circa 10-15 Minuten und das Produkt lässt sich „Stand Alone“ betreiben. Andere ESET Software ist also keine Voraussetzung.
Im Zuge der Absicherung der Anmeldungen sollten Sie außerdem die Zugriffsrechte auf einzelne Speicherorte und Dienste überprüfen. Außerdem sollte das Remote Desktop Protokoll (RDP) überall deaktiviert werden, wo es nicht dringend benötigt wird, da Cyberkriminelle immer wieder über diese, in Windows standardmäßig aktive, „Hintertür“ in Unternehmensnetze eindringen. Dort, wo RDP nicht deaktiviert werden kann, sollte 2FA immer aktiv verwendet werden, um folgende Anmeldungen an Windowssystemen entsprechend abzusichern. - Verschlüsselung
Beim Übertragen von Unternehmensdaten über das Internet ist natürlich höchste Vorsicht geboten. Kriminelle versuchen, die aktuelle Notsituation durch Spam und andere Angriffe für sich auszunutzen. Deswegen ist eine konsequente Verschlüsselung in allen Bereichen unabdingbar!
Die Verschlüsselung beginnt bei der Übertragung: Ihre Webdienste sollten generell nur per HTTPs aufrufbar sein, VPN-Lösungen sollten den Kommunikationskanal verschlüsseln. Gute Unternehmenslösungen zur Verschlüsselung bieten zudem noch viele weitere notwendige Optionen. So sollten alle Dateien, die über Drittanbieterdienste (wie WeTransfer oder Cloudspeicher von Google, Microsoft & Co.) oder per Mail ausgetauscht werden, verschlüsselt sein. Ist eine solche Lösung noch nicht vorhanden, ist es in der Übergangsphase umso wichtiger, dass zur Anmeldung bei den vorgenannten Cloudspeichern eine 2FA zum Einsatz kommt. Diese gibt es in Form des Google Authenticators und auch von Microsoft kostenfrei und es lassen mehrere Dienste in einer App zusammenfassen. Mittel- und langfristig kann aber eine solche Lösung nicht die Verschlüsselung ersetzen!
Sollten Sie mit der Situation und den untenstehenden Handlungsempfehlungen an Grenzen stoßen, egal ob personell oder des Verständnisses, stehen Ihnen spezialisierte Dienstleister, wie Managed Services Provider, gerne zur Verfügung. IT Security Partner finden Sie u.a. hier.
Im dritten Teil dieser Serie, erkläre ich Ihnen dann, wie Sie für eine vollumfängliche Datensicherung und einen effizienten Malware-Schutz sorgen können. Da sicherlich auch in Zukunft Home-Office ein Thema im Unternehmen bleibt, zeige ich Ihnen zudem, wie Sie den Sicherheitsstatus ständig überprüfen können und was dieser beinhalten sollte.
Sollten Ihnen Informationen fehlen oder Sie Ergänzungen haben, nutzen Sie bitte die Kommentarfunktion oder senden uns eine E-Mail. In diesem Sinne wünschen das gesamte ESET-Team und ich Ihnen alles Gute!
Tipps für ein sicheres Home-Office-Artikel:
Security-Tipps für Arbeitnehmer
Security-Tipps für Unternehmen Teil 1 - Organisation
Security-Tipps für Unternehmen Teil 3 - Backup, Virenschutz, Monitoring