Security trotz COVID-19

No-Gos für die IT in der Coronavirus-Krise

02.04.2020 von Alexei Balaganski

Das Internet ist voller Empfehlungen zu Dingen, die Sie in der Coronavirus-Krise tun sollten. Wir sagen Ihnen, was Sie in Sachen IT-Security trotz COVID-19 unbedingt vermeiden sollten.

Wir leben in schwierigen Zeiten: Noch vor wenigen Wochen hat die Welt China bei der Bekämpfung des Coronavirus-Ausbruchs beobachtet und ernsthaft gedacht, dass so etwas in anderen Ländern sicherlich nie passieren könnte. Heute stehen Europa und die Vereinigten Staaten vor der gleichen Krise, und wir kommen schnell zu der Erkenntnis, dass weder Memes noch Gedanken und Gebete helfen können: Viele Länder haben bereits umfangreiche Quarantänemaßnahmen eingeführt, um die sozialen Interaktionen zu begrenzen und damit die Ausbreitung des Virus zu verlangsamen.

Trotz Coronavirus-Krise: Diese IT-Sicherheits-No-Gos sollten Sie unbedingt vermeiden.
Foto: Gajus - shutterstock.com

Viele Unternehmen müssen, wenn sie ihre Geschäfte weiterführen wollen, ihre Mitarbeiter von zu Hause aus arbeiten lassen. Natürlich ist das Internet voller Empfehlungen zu Dingen, die Sie tun müssen, um diesen Übergang zu erleichtern. Zur Abwechslung möchte ich eine kurze und praktische Liste von IT- und sicherheitsbezogenen Dingen zusammenstellen, die Sie jetzt vermeiden sollten, um später nichts zu bereuen. Dies richtet sich vor allem an kleinere Betriebe, die wahrscheinlich noch nie Pläne für Situationen wie diese hatten, aber immerhin schneller und flexibler sein können, wenn es darum geht, Änderungen in ihren Prozessen kurzfristig umzusetzen.

DSGVO verpflichtet - trotz COVID-19!

Zuallererst gilt der Grundsatz keine Panik (zu wissen wo Ihr Handtuch ist, würde auch nicht schaden)! Es ist nicht leicht, angesichts der schlimmen Berichte aus Ländern wie Italien und China ruhig und besonnen zu bleiben, aber impulsiv irrationale Entscheidungen zu treffen, ist das Schlimmste, was man in einer Krise tun kann. Das gilt nicht nur für den Hamsterkauf von Toilettenpapier und Nudeln: Wenn Sie heute Aktionen wie die Anschaffung von 100 Laptops in Erwägung ziehen, um morgen jeden Mitarbeiter damit auszustatten, sollten Sie vielleicht zweimal überlegen.

Glauben Sie nicht, dass die Pandemie eine Universal-Ausrede für jedwede Verletzung von Sicherheits- und Compliance-Vorschriften sein könnte. Die Krise wird früher oder später vorbei sein, DSGVO oder PCI DSS werden dann aber immer noch gelten. Dennoch sollten Sie nicht blind auf die Empfehlungen von irgendjemandem vertrauen - nicht einmal auf unsere! Lassen Sie sich nicht von den skrupellose Marketingaktivitäten mancher Anbieter beeinflussen, die versuchen, von der Coronavirus-Krise zu profitieren. Nur Sie können die Risiken eines Fernzugriffs auf bestimmte, sensible Unternehmens- oder Kundendaten richtig einschätzen und Ihre Geschäftsprozesse entsprechend anpassen.

Keinesfalls sollten Sie in dieser Situation versuchen, ein virtuelles Büro für die Mitarbeiter im Home Office aufzubauen. Mit einer Handvoll offensichtlicher Ausnahmen wie zum Beispiel dem Zugriff auf Legacy-Geräte vor Ort oder dem Umgang mit hochsensiblen, vertraulichen Daten müssen sich Ihre Mitarbeiter im Home Office nicht wirklich als im Büro anwesend ausgeben. Vielleicht bietet die gegenwärtige Situation ja sogar die Gelegenheit, angestammte Geschäftsprozesse radikal zu vereinfachen? Muss denn wirklich jeder Mitarbeiter seine Arbeitszeit immer noch mit der Stechuhr erfassen? Sind Ihre täglichen Morgenbesprechungen so wichtig, dass Sie eine Online-Plattform bezahlen müssen, um sie fortzusetzen? Auch hier können natürlich nur Sie entscheiden!

Bitkom zieht DSGVO-Bilanz

Sie brauchen kein VPN!

Im Ernst, wenn Sie noch keine VPN-Lösung haben, sollten Sie auch nicht mehr darin investieren. Virtual Private Networks sind keine neue Technologie und in Situationen wie dieser kaum skalierbar. Dabei verursachen sie aber klaffende Lücken im Bereich der IT-Sicherheit, indem sie den Benutzern vollen Zugang zum gesamten Unternehmensnetz ermöglichen. Da es mehrere bekannte Schwachstellen in VPN-Produkten gibt, die von überlasteten IT-Teams wahrscheinlich nicht rechtzeitig gepatcht werden, erhalten böswillige Angreifer zusätzliche Möglichkeiten, Ihre Sicherheit zu gefährden.

Ziehen Sie stattdessen einen moderneren Zero-Trust-Ansatz in Betracht. Software-Defined-Perimeter-Lösungen können granularen und vollständig dokumentierten Zugriff auf bestimmte interne Dienste und Anwendungen von überall und ohne VPN-Engpass ermöglichen. Unternehmen wie Zscaler, Akamai oder CloudFlare bieten beispielsweise Lösungen an, die vollständig aus der Cloud geliefert und verwaltet werden. CloudFlare bietet seine Lösung für kleine Unternehmen zur aktuellen COVID-19-Pandemie sogar kostenlos an.

Wenn sich die Sicherheit Ihres Unternehmens immer noch auf eine Architektur stützt, die über Firewalls den gesamten Unternehmens-Traffic zentralisiert filtert, schützen Sie die Mitarbeiter im Home Office mit einer VPN-Anbindung nicht ausreichend. Dieser Ansatz hat sich seit langem als ineffizient und schwer skalierbar erwiesen, daher sollten Sie auch hier die Gelegenheit nutzen, auf eine Cloud-basierte Sicherheitslösung umzusteigen. Egal für welche Lösung Sie sich hierbei entscheiden, Sie sollten eine wählen, die keine Änderungen am Netzwerk oder Software-Installationen erfordert, damit Ihre Mitarbeiter auch von ihren persönlichen Geräten aus sicher arbeiten können.

Home Office ohne Kompromisse!

Wenn Sie sich mit Bring Your Own Device (BYOD) nicht wohlfühlen, brauchen Sie keine Kompromisse einzugehen! Ziehen Sie eine viel bequemere und sicherere (wenn auch etwas teurere) Lösung für das Mobilitätsmanagement im Unternehmen in Betracht, die auf dem Gerät jedes Mitarbeiters eine sichere Grenze zwischen privaten und geschäftlichen Dingen zieht. Für welchen Anbieter Sie sich in Sachen Mobile Device Management auch entscheiden, Sie behalten die volle Kontrolle über die IT-Sicherheitsrichtlinien - unabhängig vom aktuellen Standort jedes Mitarbeiters.

Sie müssen auch kein zusätzliches Geld ausgeben, um mit Ihren Kollegen und Geschäftspartnern in Kontakt zu bleiben: Zahlreiche Online-Kommunikationsplattform stehen zu diesem Zweck zur Verfügung. Jede hat ihre eigenen kleinen Macken, aber im Grunde erledigen Videokonferenz-Tools ihre Arbeit ziemlich gut. Wenn Sie sich noch nicht sicher sind, kann es sich lohnen, einen Blick auf den "Open for Business"-Hub zu werfen: Einige Anbieter bieten spezielle Test- oder gar Gratis-Versionen ihrer Tools für kleine Unternehmen an.

Arbeitsrecht im Home Office

Rechte und Pflichten im Home-Office
Auch im Home-Office gilt das Arbeitsrecht. Welche Rechte und Pflichten Arbeitnehmer und Arbeitgeber haben, erklärt Claudia Knuth, Fachanwältin für Arbeitsrecht im Hamburger Büro der Kanzlei Lutz Abel.

Der Arbeitgeber entscheidet
Der Arbeitnehmer hat keinen Anspruch auf einen mobilen oder häuslichen Arbeitsplatz. Letztlich entscheidet der Arbeitgeber, dem die Gestaltungsfreiheit der betrieblichen Organisation zusteht.

Rechtslage beachten
Wer Ausdrucke, Dateien oder weitergeleitete E-Mails mit nach Hause nimmt, riskiert arbeitsrechtliche Sanktionen, je nach Sensibilität der Informationen sogar bis hin zur Kündigung. Mitarbeiter sollten sich daher vorher mit dem Arbeitgeber genau abstimmen, ob und welche Firmenunterlagen sie mit nach Hause nehmen dürfen.

Voraussetzungen prüfen
Grundsätzlich muss die Tätigkeit des Mitarbeiters dafür überhaupt geeignet sein. Betriebliche Termine, Kundentermine und Besprechungen sollten Vorrang haben. Wenn die Mobilarbeit ohne Störung in die betrieblichen Abläufe eingefügt werden kann, sollte außerdem die gleiche Effizienz der Arbeitsleistung wie bei Präsenzarbeit sichergestellt werden.

Arbeitszeiterfassung klären
Anstatt zum Arbeitsbeginn und -ende ein- und auszustempeln, sollte im Home-Office notiert werden, wie lange der Arbeitnehmer am Tag in der Woche gearbeitet hat. Voraussetzung dafür ist eine vertrauens- und ergebnisorientierte Arbeitskultur, da die Zeiterfassung schwerer kontrolliert werden kann. Das Arbeitszeitgesetz gilt auch außerhalb des Büros: Die Höchstarbeitszeit pro Tag (maximal zehn Stunden), die Ruhezeiten (mindestens elf Stunden) sowie das Sonn- und Feiertagsverbot müssen eingehalten werden.

Datenschutz sicherstellen
Der Arbeitgeber muss die nötigen Schutzvorkehrungen treffen. Zum Beispiel kann über die Nutzung von VPN-Verbindungen ein sicherer Datentransfer garantiert werden. Wichtig ist, dass nur vom Arbeitgeber freigegebene Software und Dateien verwendet werden. Der Mitarbeiter muss sicherstellen, dass außer ihm niemand, auch keine Familienangehörigen, Zugang zu den verwendeten mobilen Endgeräten erhält. Außerdem dürfen Passwörter nicht an Dritte weitergegeben werden oder fahrlässig leicht zugänglich aufbewahrt werden.

Mitspracherechte des Betriebsrats
Der Betriebsrat hat bei der Entscheidung für oder gegen mobiles Arbeiten kein Mitspracherecht. Bei manchen Änderungen allerdings schon, zum Beispiel bei Änderung der Arbeitszeiten, der Nutzung von noch nicht mitbestimmten technischen Einrichtungen, der Verhütung von Arbeitsunfällen oder bei Versetzungen. Durch den neu eingeführten Paragrafen 87, Absatz 1, Nummer 14 des Betriebsverfassungsgesetzes (BetrVG) wurden die Mitbestimmungsrechte ergänzt, sodass der Betriebsrart auch in den Planungsprozess einbezogen werden sollte.

Kostenübernahme
Wenn der Arbeitgeber Home-Office gewährt, muss er auch die erforderlichen Kosten übernehmen. Das schließt die Büroausstattung, die technische Ausstattung und die Telekommunikationskosten mit ein. Entweder wird der Arbeitnehmer mit allem Notwendigen ausgestattet oder er nutzt seine eigenen Endgeräte ("Bring your own Devices"). Für welche Variante oder Mischkonstellation man sich auch entscheidet, eine vertragliche Grundlage ist unverzichtbar.

Faktor Mensch schützen!

Humanitäre Krisen wie die aktuelle Coronavirus-Pandemie bieten Anlass für verschiedene Social-Engineering-Angriffe, die darauf abzielen Benutzer zu täuschen, um bösartige Software zu installieren und Account- oder persönliche Daten zu stehlen. Sicherheitsforscher berichten bereits über verschiedene Angriffe, bei denen die Angst vor COVID-19 ausgenutzt wird.

Da die E-Mail immer noch der beliebteste (und übrigens auch der unsicherste) Kommunikationskanal im Unternehmensumfeld ist, haben Sie wahrscheinlich bereits eine E-Mail-Sicherheitslösung für Ihre Mitarbeiter im Einsatz. Allerdings ist keine dieser Lösungen undurchdringlich und die Menschen werden oft Opfer eines einfachen Betrugs, der nicht unbedingt immer mit Malware zu tun haben muss. Es ist wichtig, Ihre Mitarbeiter über potenzielle Risiken zu informieren, aber der proaktive Schutz ist wichtiger.

Wenn Sie also in Ihrem Unternehmen immer noch keine Multi-Faktor-Authentifizierung eingesetzt haben, sollten Sie nicht länger zögern. Das muss übrigens nicht zwingend teuer werden - die meisten namhaften Online-Dienste unterstützen eine Reihe verschiedener Authentifizierungs-Methoden. Selbst das einfachste Einmal-Passwort, das von einer Smartphone-Anwendung generiert wird, ist weitaus sicherer als gar keinen mehrstufigen Authentifizierungsprozess zu haben. Für zusätzliche Sicherheit bei mehreren Online-Diensten sollten Sie FIDO2-basierte Authentifizierungsgeräte in Betracht ziehen.

Hinter dem schönen Security-Schein

Natürlich ist der traditionelle Malware-Schutz für jedes Endgerät nach wie vor wichtig, aber was wäre das beste Produkt, das Sie kaufen können? Auf diese Frage gibt es keine Antwort - ob Sie sich nun für ein Best-of-Breed-Produkt für den Endpoint-Schutz, eine integrierte Cloud-native Schutzplattform oder einen radikalen KI-basierten Antivirus-Ersatz entscheiden, eines sollten Sie keinesfalls tun: sich vom schönen Schein der Security-Produktetiketten blenden lassen! Fragen Sie den Anbieter Ihrer Wahl gezielt nach technischen Funktionen und Zusammenhängen. Anhaltspunkte darüber, welche Fragen Sie stellen sollten liefert Ihnen beispielsweise dieser Buyer's Compass for Endpoint Protection. (fm)