Wie Home Office sicher wird

Das Interesse an Home Office ist größer denn je, und auch das mobile Arbeiten von unterwegs gewinnt an Bedeutung. Das gilt nicht nur für die "digitalen Nomaden" und die sogenannten Cloudworker, die bewaffnet mit einem Tablet-PC und dem Smartphone von überall arbeiten können. Heutzutage möchte fast jeder Mitarbeiter die neue Freiheit flexibler Arbeitszeiten und -orte nutzen: einmal eben vom Hotel oder dem eigenen Arbeitszimmer aus nicht nur die Mails beantworten, sondern auch den am Nachmittag besprochenen Vertrag fertig machen. Lautete das Prinzip noch vor Jahren Telearbeitsplatz oder Home Office, sind nun Mobile Working und Mobile Office gleichermaßen im Fokus.

Gerade junge Arbeitnehmer erwarten diese Flexibilität von einem Unternehmen - für die oftmals händeringend gesuchten Fachkräfte ist sie ein entscheidender Faktor, um sich für einen Arbeitgeber zu begeistern. Und in vielen Fällen ist sie auch ein wesentlicher Baustein, um überhaupt Familie und Beruf unter einen Hut bringen zu können.

Allerdings gibt es auch viele Bedenken gegenüber Mobile Working. Und diese beschränken sich nicht nur auf arbeitspsychologische Aspekte, sondern es geht vor allem um die mittlerweile auch bei mittelständischen Unternehmen hohen Sicherheitsbedürfnisse.

Security ist mehr als eine Pflichtübung

Zwar setzt sich die Erkenntnis durch, dass Informationssicherheit weit mehr ist als Virenscanner auf den Arbeitsplätzen und eine aktive Firewall - nämlich eine wichtige Disziplin für IT-Verantwortliche und das Management. Doch noch immer folgen auf diese Erkenntnisse zu wenige Taten, wie eine Studie von PwC vom Juni 2014 ermittelt hat:

Ein Blick in die Studie lässt erkennen, dass gerade im Umfeld Risikoanalyse, Dokumentation und vor allem nachhaltiger Schulung von Mitarbeitern in Europas Firmen große Lücken klaffen. Dabei lohnt es sich, hier zu investieren. Denn genau das sind die Elemente einer ganzheitlichen Informationssicherheits-Strategie, die sich auch ohne großen technischen Aufwand realisieren lassen.

Die Risiken des mobilen Arbeitens

Mobile Working lässt sich auf vier unterschiedliche Weisen umsetzen, die jeweils unterschiedliche Risiken mit sich bringen:

1. Vollständig von der Firma losgelöstes Arbeiten: Der Mobile Worker nimmt seine relevanten Daten mit. Diese müssen über ein sicheres Medium transportiert werden (beispielsweise auf verschlüsselten Festplatten, USB-Sticks oder direkt auf einem mobilen Arbeitsgerät). Hier sind neben den Sicherheitsbedenken und natürlich den vielen Fehlermöglichkeiten durch unachtsamen Umgang mit den Medien und Daten auch Probleme mit asynchronen Dateien offensichtlich.

2. Anbindung nur an bestimmte firmeninterne Systeme: Der Mitarbeiter erhält nur Zugriff auf zum Beispiel E-Mail und Kalender über Mechanismen wie Microsoft Exchange Web Services. Alternativ können ihm auch Teile des Intranets als passwortgeschütztes Extranet zur Verfügung gestellt werden.Neben eventuell unverschlüsselten Kommunikationsverbindungen etwa über ungeschützte WLAN-Strecken ist hier ein weiteres Sicherheitsproblem, dass von außerhalb relativ leicht auf Daten zugegriffen werden könnte. Selbst die von außen verfügbaren Systeme in separate Sicherheitszonen wie DMZ auszulagern, hilft hier nur bedingt.

3. Arbeiten in der Public Cloud: Hier geht es beispielsweise um ein CRM-System, das in der Cloud liegt oder um Dokumente auf Cloud-Plattformen wie SharePoint (oneDrive) oder Dropbox.Die Problematik mit dem Zugriff von außen auf interne Systeme besteht hier nicht. Allerdings sollten besonders deutsche Unternehmen bei dieser Variante genau hinsehen. Sobald personenbezogene Daten involviert sind, verstößt man schnell gegen das Bundesdatenschutzgesetz. Auch der Abschluss eines Auftragsdatenverarbeitungsvertrags mit dem Cloud-Anbieter hilft nur, wenn sichergestellt ist, dass die Daten nicht ins außereuropäische Ausland gelangen können (siehe auch nachfolgende Bilderstrecke zu den wichtigsten Änderungen im Zuge der in Arbeit befindlichen EU-Datenschutzreform). Und das ist bei vielen der bekannten Cloud-Anbietern leider der Fall. Ganz zu schweigen von den Möglichkeiten amerikanischer Behörden, die aufgrund des Patriot Acts bei amerikanischen Cloud-Anbietern uneingeschränkte Einsicht in die Daten bekommen können.

4. Zugriff per VPN/Remote Desktop: Hier geht es um transparentes Arbeiten im Firmennetzwerk entweder über virtuelle Private Netzwerke (VPN) oder Remote-Desktop-Varianten (Citrix Lösungen, Microsoft Terminal Server und ähnliche Techniken). Die Arbeit erfolgt nach dem Login über ein entsprechendes Gateway. Hier bestehen wieder die Risiken, die ein direkter Zugriff auf Ressourcen des Firmennetzwerkes birgt, auch wenn dabei die Kommunikation wenigstens gesichert (weil verschlüsselt) abläuft.

Ein Gesetz für alle
EU-weit gelten die gleichen Datenschutzregeln. Das bedeutet auch eine gestiegene Verantwortung und Haftung für alle, die persönliche Daten verarbeiten.

"Recht auf Vergessen"
Wollen Nutzer ihre Daten nicht weiter verarbeitet sehen, werden diese gelöscht - vorausgesetzt, es spricht aus juristischer Sicht nichts dagegen.

"Opt-in" statt "Opt-out"
Sollen persönliche Daten verabeitet werden, müssen Nutzer aktiv zustimmen (und nicht aktiv widersprechen wie bisher).

Recht auf Transparenz
Nutzer haben ein Recht auf Transparenz - sie dürfen erfahren, welche Daten über sie gesammelt und wie diese verarbeitet werden.

Zugang und Portabilität
Der Zugang zu den bei Dritten über einen selbst gespeicherten Daten soll einfacher möglich sein. Zudem ist die Dartenportabilität zu gewährleisten - also sicherzustellen, dass persönliche Informationen leichter von einem Dienstanbieter zu einem anderen übertragen werden können.

Schnellere Meldung
Tritt ein Datenverlust auf, müssen Unternehmen und Organisationen im Regelfall binnen 24 Stunden, mindestens aber so schnell wie möglich ihrer behördlichen Meldepflicht nachkommen.

Weniger Behördenchaos
Unternehmen müssen sich nur noch mit einer einzigen Aufsichtsbehörde auseinandersetzen - und zwar dort, wo sie ihren Hauptsitz haben.

Grenzübergreifend
Privatanwender dürfen jeden Fall von Datenmissbrauch an ihre nationale Aufsichtsbehörde melden - selbst dann, wenn die betroffenen Daten im Ausland verarbeitet wurden.

Erweiterter Geltungsbereich
Die EU-Richtlinie gilt auch für Unternehmen, die keinen Sitz in der EU haben, sobald sie Waren oder Dienstleistungen in der EU anbieten oder auch nur Online-Marktforschung unter EU-Bürgern betreiben.

Höhere Bußgelder
Verstößt ein Unternehmen gegen die Datenschutzbestimmungen, droht ein Bußgeld in Höhe von bis zu vier Prozent des Jahresumsatzes.

Bürokratieabbau
Administrative Umstände wie Meldepflichten für Unternehmen, die persönliche Daten verarbeiten, entfallen.

Erst ab 16
Die rechtswirksame Anmeldung bei Internetnetservices wie Facebook oder Instagr.am soll Jugendlichen im Regelfall erst ab 16 Jahren möglich sein - weil sie erst ab diesem Lebensalter eine gültige Einwilligung in die Verarbeitung ihrer persönlichen Daten geben können. Nationale Gesetze sollen laut Datenschutzverordnung hier aber Ausnahmen möglich machen.

Stärkung der nationalen Aufsichtsbehörden
Nationale Datenschutzbehörden werden in ihren Kompetenzen gestärkt, so dass sie die neuen EU-Regeln besser umsetzen können. Unter anderem dürfen sie einzelnen Unternehmen verbieten, Daten zu verarbeiten. können bestimmte Datenflüsse stoppen und Bußgelder gegen Unternehmen verhängen, die bis zu zwei Prozent der jeweiligen weltweiten Jahreseinkünfte betragen. Darüber hinaus dürfen sie Gerichtsverfahren in Datenschutzfragen anstrengen. <br /><br />(Quelle: Forrester Research)

Schwachstelle Endgeräte

Eine große Sicherheitslücke in allen vier Fällen stellen das Endgerät des Anwenders und die Netzwerkstrecke dar. Kann die IT noch relativ einfach bei firmeninternen Geräten bestimmte Sicherheitsmindestanforderungen auch technologisch durchsetzen und sicherstellen, so fällt das bei den vorgestellten Mobile-Working-Varianten schwer.

Dieser Schutz des Endgerätes (Device Protection) ist naturgemäß nur teilweise möglich. Zwar gibt es verschiedene Ansätze, um die Risiken in den Griff zu bekommen. Dazu zählen etwa gerätspezifische Policies, die sicherstellen, dass wenigstens die wichtigsten Sicherheitskomponenten auf den Clients installiert und aktiviert sind - beispielsweise automatische Sperre, Entsperren nur durch Passwort, Malware-Scanner und Firewalls. Zudem helfen Outer-Perimeter-Defence-Maßnahmen wie Network-Access-Control (NAC)-Mechanismen. Mit diesen haben nur zugelassene Geräte Zugriff auf das Firmennetz und es kann sichergestellt werden, dass die sicherheitsrelevanten Komponenten aktiv sind. Auch der Einsatz von Unified-Thread-Management (UTM)-Lösungen oder kompletten Next-Generation-Firewall-Strukturen in Kombination mit den anderen Techniken können die Sicherheit weiter erhöhen.

Allerdings sind diese Technologien relativ teuer und müssen intensiv betreut werden. Zudem lassen sich damit vor allem nur bekannte Geräte oder Geräte, auf denen Zertifikate eingespielt wurden, sinnvoll absichern. Andere Geräte bleiben außen vor.

Der Faktor Mensch

Eine weitere große Schwachstelle ist der Faktor Mensch. Vor allem im Mobile Office muss diesem besondere Aufmerksamkeit gewidmet werden. Aber nicht nur dort, wie die oben erwähnte Studie von PwC zeigt. Beim Thema Informationssicherheit rangiert seit Jahren "the human factor" auf den Hitlisten der Gefahrenquellen ganz oben. So hat beispielsweise die Top Ten der von Cisco im Jahr 2011 identifizierten größten Risiken auch heute nichts an Aktualität eingebüßt:

"People are the biggest risk", fasst es der Global Economic Crime Survey 2014 deshalb treffend zusammen.

Gutes Passwort?

Der Mensch stellt auch deshalb solch ein großes Risiko dar, weil Zugänge immer noch viel zu häufig nur über ein Benutzerkonto und ein Passwort gesichert sind. Das ist nicht nur deswegen unzureichend, weil Mitarbeiter dazu tendieren, sorglos oder unsicher mit ihren Passwörtern umzugehen.

Das Problem ist auch, dass trotz (oder gerade wegen) aller Komplexitätsregeln für Passwörter heutzutage häufig Passwörter korrumpiert werden. Und neben den bekannten unsicheren Passwörtern gibt es noch immer Menschen, die diese notieren und etwa in die Laptop-Tasche stecken oder unter die Tastatur schreiben. Ein weiterer Klassiker: Das gleiche Passwort wird für mehrere Konten benutzt. Schließlich gibt es immer wieder Sicherheitslücken bei großen Unternehmen, bei denen hunderttausende Passwörter in die falschen Hände geraten.

1PW
1PW (ehemals 1Password Pro) wird seit Jahren weiterentwickelt und zählt zu den Urgesteinen unter den Passwort-Managern.

Alle meine Passworte
Alle meine Passworte ist ein klassischer Passwort-Safe. Zugangsdaten lassen sich auch leicht exportieren.

Any Password
Any Password kann installiert werden, muss aber nicht. Die Portable-Version lässt sich leicht vom USB-Stick verwenden.

KeePass
KeePass verschlüsselt die Kennwortdatenbank per Advanced-Encryption-Standard-Algorithmus. Das Tool ist kostenlos und Open Source.

LastPass
LastPass speichert alle Zugangsdaten online. Verwaltet wird alles per Browser-Plugin.

Safey
Safey dient gleichzeitig als Datensafe, Passwortgenerator und Notizblock.

Steganos LockNote
LockNote von Steganos ist eigentlich ein verschlüsselter, digitaler Notizzettel. Die Freeware kann aber auch leicht für Zugangsdaten verwendet werden.

Sticky Password
Mit Kategorien behalten Sie in Sticky Password den Überblick. Außerdem die sichere Ablage von Notizen möglich.

Abhilfe schafft nur eine Zwei-Wege-Authentifizierung mit einem Einmalkennwort (One Time Passwort - OTP). Neben dem Passwort hat der Benutzer hier eine zweite Geheiminformation, die nur für wenige Sekunden gültig ist. Diese wird losgelöst vom eigentlichen Login-Vorgang idealerweise auf einem anderen Gerät generiert oder bereitgestellt, etwa per SMS auf das Smartphone.

Flexibilität braucht ein ISMS

Trotzdem ist sicheres Mobile Office möglich. Dabei gilt es aber, dem Faktor Mensch nicht nur durch Überlegungen zu Zwei-Wege-Authentifizierung zu begegnen. Denn in der Summe der potenziellen Risiken hilft Technologie nur bedingt - es braucht auch viel Management.

Sinnvollerweise implementieren Unternehmen, die ihren Mitarbeitern Mobile Working ermöglichen wollen, ein Informations-Sicherheits-Management-System (ISMS). Unternehmen sollten sich hierbei zumindest an Best Practices wie den Empfehlungen des Bundesamt für Sicherheit in der Informationstechnologie (BSI) oder der Sicherheits-Norm ISO 27001 orientieren. Das hilft, das Thema Informationssicherheit zu strukturieren und über alle Ebenen zu betrachten sowie einen nachhaltigen Regelkreis zum Planen, Etablieren, Prüfen, und Handeln zu etablieren (PDCA-Zyklus).

Das ISMS sollte daher neben anderen Punkten auch verbindlich festlegen, wie Mitarbeiter nicht nur regelmäßig über Sicherheitsthemen informiert und geschult werden, sondern auch, wie die Wirksamkeit der Schulungen überprüft und gemessen wird. Dies muss kontinuierlich geschehen, bei Bedarf ist nachzusteuern. Das kontinuierliche Prüfen, Messen und Verbessern muss also auch für die Menschen und ihr Verhalten etabliert werden - so wie es bei technischen Systemen schon längst der Fall ist.

Am wichtigsten ist dabei nicht nur Regeln und "Do’s" und "Don’ts" zu formulieren, sondern die Aufmerksamkeit der Mitarbeiter zu erhöhen und Verständnis zu wecken: für die Risiken und das Sicherheitsbedürfnis des Unternehmens. Das kann durchaus spielerisch geschehen - zum Beispiel durch einen Life-Hack-Event. Eine Alternative sind immer wieder an die Mitarbeiter versendete Hinweise, die auch im privaten Umfeld hilfreich sind. Wichtig ist, dies nicht einmalig, sondern langfristig geplant und kontinuierlich zu betreiben. Und: Es müssen alle Mitarbeiter erreicht und immer wieder auch das Management involviert werden. Dieses muss ganz besonders die Vorbildfunktion leben.

Wie kann gutes Mobile Working aussehen?

Gutes Mobile Working kann nur im Zusammenspiel all der erwähnten Überlegungen funktionieren: So muss die für die Aufgabenstellung und das jeweilige Unternehmen passende Mobile-Working-Variante gewählt werden. Zudem muss die Technologie bereitgestellt und ein funktionierendes ISMS mit besonderem Augenmerk auf Mitarbeiter-Awareness implementiert werden (siehe folgende Checkliste). Wie der Praxisbericht zeigt, ist dann Mobile Working auch für kleine und mittelständische Unternehmen mit hohem Sicherheitsbedürfnis gut realisierbar.

Unternehmensweite Sicherheitsrichtlinien formulieren
Diese müssen auch den Umgang mit Daten und Informationen außerhalb des geschützten Firmennetzwerkes berücksichtigen. Die Richtlinien müssen einen vernünftigen und nachvollziehbaren Rahmen vorgeben. Sie dürfen nicht realitätsfern sein.

Security-Awareness-Maßnahmen
Geeignete Schulungen nicht nur für neue Mitarbeiter, sondern auch für „alte Hasen“ anbieten. Regelmäßig die Mitarbeiter für die Themen Sicherheit und mobiles Arbeiten sensibilisieren.

Durchsetzung der Sicherheitsrichtlinien prüfen und sicherstellen
Das kann zum einen technologisch (durch beispielsweise Erzwingen von Sperrrichtlinien bei mobilen Geräten), zum anderen durch Awareness-Maßnahmen und Schulungen realisiert werden, die regelmäßig – zum Beispiel durch interne Audits – überprüft werden. Wenn notwendig: Maßnahmen intensivieren.

Entscheidung für die passende Mobile-Office-Variante
Welche Art des Mobile Office ist für das Unternehmen und die Mitarbeiter die richtige? Natürlich ist auch ein Mix möglich. Den Mitarbeitern muss klar kommuniziert werden, welche Varianten für sie möglich sind. Dabei auch erklären, warum diese Varianten gewählt wurden, und worauf Mitarbeiter dabei besonders achten müssen.

Beim Planen von Mobile Offices noch eine Ecke weiter denken
Beispielsweise OTP-Lösungen einsetzen. Es muss keine teure Token-Access-Firewall sein; häufig gibt es auch einfache, aber nicht minder sichere Open-Source-Lösungen. Erfahrene Mitarbeiter einladen, mitzudenken und mitzuplanen. Vielleicht auch einmal einen neuen Weg mit ausgewählten Mitarbeitern ausprobieren.

Ressourcen bereitstellen
Ziel ist es, dass die gewünschten Mobile-Office-Varianten schnell und unproblematisch genutzt werden können. Wenn die Einrichtung zu lange dauert, der Zugriff zu langsam ist oder technisch nicht stabil funktioniert, dann funktioniert im besten Fall das mobile Arbeiten nicht. Im schlechtesten Fall suchen sich die Mitarbeiter andere, häufig deutlich unsichere Wege.

Flexibel sein
Ein einmaliger Kraftakt, um mobiles Arbeiten zu ermöglichen, genügt nicht. Mobile Offices müssen konstant begleitet werden. Neue Business-Anforderungen, neue Technologien und geänderte Rahmenbedingungen machen immer wieder eine Anpassung und Feinjustierung der Maßnahmen, Entscheidungen und Richtlinien notwendig.

Praxisbeispiel: Mobile Office im täglichen Einsatz

Wie sich Mobile-Office-Arbeiten erfolgreich und sicher umsetzen lässt, zeigt das Beispiel der AEB GmbH. Bei dem Stuttgarter Spezialisten für Software, Beratung und Services für Außenwirtschaft und Logistik nutzen etwas mehr als 60 Prozent der Mitarbeiter Mobile Office. Das Unternehmen bietet hierfür zwei unterschiedliche Varianten:

Mobile Office via Smartphone: Die einfachste Variante ist Zugriff auf die Postfächer und Kalender vom Smartphone aus. Dabei ist es unerheblich, ob es sich um ein Firmen-Smartphone oder um ein privates Gerät handelt. Neben dem Benutzername und dem Passwort dient das Gerät selbst als zweite Authentifizierung. Über die Geräte-ID und Zertifikate wird sichergestellt, dass nur berechtigte Mobile Devices Zugriff erhalten. Auf diesen werden zudem alle relevanten Sicherheitseinstellungen durchgesetzt.

Mobile Office via Citrix: Die zweite Variante (die sich auch mit der ersten kombinieren lässt) bietet Zugriff zu allen firmenrelevanten Programmen auf einer zentralen Citrix-Farm via Citrix Access Gateways. Neben Benutzername und Passwort wird hier für den erfolgreichen Zugang ein Einmal-Passwort benötigt. Dieses wird nach Wunsch des Mitarbeiters entweder per mOTP-App generiert oder per SMS an ihn versendet.

Auf der Citrix-Farm laufen alle firmenrelevanten Programme und werden den Mitarbeitern als Published Applications zur Verfügung gestellt. Je nach den Rollen der Mitarbeiter werden ihnen die für sie notwendigen Anwendungen präsentiert. Mitarbeitern mit besonderen Anforderungen an Software und Rechnerressourcen, beispielsweise für Programmieraufgaben, steht ein Rechner im firmeneigenen Rechenzentrum (Blade-PC) zur Verfügung. Auf diesen können sie über das Citrix Access Gateway direkt zugreifen.

Selbstverständlich ist eine Security Policy verabschiedet und allen Mitarbeitern bekannt. Durch regelmäßige Security-Awareness-Maßnahmen wird auf Gefahren und Risiken ebenso hingewiesen wie das allgemeine Sicherheitsverständnis geschärft.