Security und Remote im Einklang

Einige Unternehmen beginnen erst jetzt mit der Entwicklung neuer IT-Security-Strategien. Nur wenige haben diesen Schritt bereits hinter sich und setzen neue Richtlinien und Konzepte schon um. Mit ihren aktuellen Studien wollen die IT-Security-Anbieter den Unternehmen die Fakten darlegen und ihnen daraus resultierend Ratschläge unterbreiten. Im Fokus stehen bei allen Empfehlungen die Homeoffice-Arbeitsplätze. Sie sollen nicht nur flexibel sein, damit ein Mitarbeiter zwischen Homeoffice und Office vor Ort einfach wechseln kann. Vorrangig geht es um die Sicherheit der Daten, der Geräte und der Zugänge, ebenso um Awarness-Schulungen für die Mitarbeiter.

In der Not haben einige Unternehmen den Mitarbeitern das Arbeiten auf ihren privaten Geräten erlaubt. Das kann in einem Sicherheitskonzept nur eine temporäre Maßnahme sein. Die Trend-Micro-Studie offenbart das konkrete Problem: 45 Prozent der in Deutschland befragten Remote-Mitarbeiter geben an, häufig oder immer von einem persönlichen Gerät aus auf Unternehmensdaten zuzugreifen.

Der Arbeitgeber sollte entsprechende Endgeräte stellen, denn nur so hat er wirklich die Hoheit über die Office-PCs und die installierten Systeme. Und nur so kann ein Unternehmen etwa den Stand der Patches überprüfen, Security-Software einsetzen und kontrollieren und auch softwaregesteuerte Sicherheitsrichtlinien umsetzen. Die Hardware-Aufrüstung durch firmeneigene Geräte für den Homeoffice-Einsatz stellt allerdings viele mittelgroße Unternehmen vor kaum lösbare Budget-Probleme.

Hier empfehlen Experten wenigstens den Einsatz von Lösungen für virtuelle Maschinen, wie sie zum Beispiel VMware, Citrix oder Microsoft anbieten. Mit einem geschlossenen virtuellen System hat ein Unternehmen die Datenhoheit, da keine Daten auf eine fremde Hardware abfließen können. Weiterhin hat ein solches System den Vorteil, dass viele Authentifizierungen und Passworteingaben in einer geschützten Umgebung stattfinden. Auf privaten PCs müssen Authentifizierungen viel stringenter und komplizierter ablaufen. Zudem müssen Zugänge viel öfter geändert und besser überwacht werden.

Weiterhin haben firmeneigene Geräte oder virtuelle Maschinen das Plus, dass etwa der IT-Support vollen Zugriff hat und die zugelassene Software für die tägliche Arbeit definieren kann. In den Umfragen wird ja auch ein erhöhter und rund um die Uhr erreichbarer Support gefordert. Bei Ungereimtheiten und Fragen zur Sicherheit wollen sich Nutzer mit der Hilfe des Supports absichern.

Laut der Bitdefender-Studie stellen lediglich etwa 20 Prozent der befragten Unternehmen den Mitarbeitern im Homeoffice ein sicheres VPN bereit. Der lückenlose Einsatz von VPN-Lösungen, Netzen oder vergleichbare Technologien - etwa via Cloud - muss in Zukunft für alle Mitarbeiter im Homeoffice gewährleistet sein. Viele aktuelle Cyberattacken zielen auf Mitarbeiter und deren Verbindungen zur Firma. Das belegt die erwähnte Kaspersky-Analyse zu RDP-Attacken.

Nur wenn die Verbindung vom Mitarbeiter-System zum Unternehmensnetzwerk wasserdicht ist, können weitere Systeme wie Endpoint Security, Endpoint Detection and Response (EDR) oder Security Information and Event Management (SIEM) zuverlässig ihren Dienst verrichten.