Passwörter & Co.

Egal ob ein Firmen-Notebook oder ein PC mit virtueller Maschine genutzt wird - Fakt ist oft, dass Familienangehörige Passwörter oder Logins kennen. Das belegt eine aktuelle Studie von OneLogin. Das Unternehmen hat weltweit 5000 Mitarbeiter im Homeoffice befragt, wie sie mit den Passwörtern für ihre Arbeitsgeräte und Logins umgehen und wer sie noch kennt. Fast jeder fünfte der Befragten (17,4 Prozent) hat das Passwort für sein Arbeitsgerät entweder seinem Ehepartner oder seinem Kind mitgeteilt und damit möglicherweise Unternehmensdaten preisgegeben. 36 Prozent gaben an, ihr WLAN-Passwort zu Hause seit mehr als einem Jahr nicht mehr geändert zu haben. So können Geräte des Unternehmens einer potenziellen Sicherheitslücke, etwa durch eine anfällige Router-Firmware, ausgesetzt sein.

Daher ist es für Unternehmen wichtig, dass der Mitarbeiter im Homeoffice nicht nur die Passwörter regelmäßig ändert, sondern auch, dass eine Zweifaktor-Authentifizierung zum Einsatz kommt. Technisch gibt es dafür verschiedene Lösungen. Die bekannteste: Der zusätzliche Login-Code kommt per E-Mail. Dieses Verfahren gilt aber als unsicher, da jeder der am Gerät sitzt, in der Regel auch Zugriff auf die Mails hat. Besser ist das Senden einer SMS mit Login-Code an ein zuvor definiertes Smartphone, da so der Nutzer beide Geräte haben muss. Sehr sicher ist auch der Einsatz einer Authenticator-App. Die App ist mit der Zugangsüberwachung des Firmen-Accounts zeitlich synchronisiert und erzeugt per Algorithmus alle ein bis drei Minuten gültige Codes. Der synchron arbeitende Server kennt die Codes ebenfalls und lässt dann den Zugriff zu.

Vorteil: Durch die Zweifaktor-Authentifizierung ist der Log­in von außen besser geschützt. Zudem lässt sich der Nutzer zwingen, nach einer gewissen Zeit sein Passwort zu ändern.

Nachteil: Das Unternehmen muss nicht nur alle Zugänge verwalten, sondern auch noch die mobilen Geräte für den SMS-Code oder den Code-Generator.

Ein oft unterschätztes Sicherheitsproblem im Homeoffice ist der Zugriff auf Firmen-E-Mails am PC. Nutzt der Mitarbeiter ein Firmen-Notebook, so läuft meist eine Endpoint-Security-Lösung im Hintergrund und alles ist abgesichert. Verwendet er aber sein privates Notebook ohne virtuelle Maschine, dann sollte der Mail-Abruf nur über einen Web-Client möglich sein. Wird nämlich ein installierter Mail-Client genutzt, hat es eine Schad-Software leichter, den Mail-Account zu befallen und verseuchte Mails an Kollegen zu verschicken - schließlich ist nicht sicher, welche Schutz-Software ein Mitarbeiter auf seinem PC nutzt und ob er gefährliche Webseiten im Internet aufruft.

Bei vielen Anbietern von Sicherheits-Software können Unternehmen zurzeit Lizenzen einfach erweitern. So ist es möglich, dass Mitarbeiter für ihr persönliches Notebook eine Lizenz einer starken Endpoint-Security-Software nutzen können. Damit hat eine Firma auch einen besseren Überblick über eventuelle Alarme und Berichte des Notebooks.

Vorteil: Wird der Web-Client genutzt, kann eine Schad-Software nicht auf die E-Mails oder Adressbücher zugreifen.

Nachteil: Die E-Mail-Nutzung ist umständlicher und die Gefahr eines verseuchten Anhangs bleibt bestehen.

Ein privater PC, der fürs Arbeiten genutzt werden muss, ist schnell das schwächste Glied in der Kette und macht ein Unternehmen angreifbarer. Daher sollten Mitarbeiter darauf achten, dass die verwendete Software auf ihrem Notebook oder PC immer auf dem neuesten Stand ist. Das Windows-System ist meist aktuell, da es in der Regel automatisch upgedatet wird, doch die weitere verwendete Software ist oft genug problematisch. Es gibt hier zwei Möglichkeiten: Entweder stellt das Unternehmen den Software-Agenten einer Patch-Management-Lösung oder der Mitarbeiter muss selbst für die Updates sorgen. Ist das der Fall, lassen sich Update-Tools oder Software-Updater von Schutz-Software nutzen. So enthalten etwa die Schutz-Suiten von Avira oder Kaspersky einen Updater, der den Nutzer automatisch informiert, wenn er neue Versionen installierter Software findet.

Eine weitere Alternative ist die Nutzung des Tools Patch My PC Home Updater. Das kleine, kostenlose Windows-Programm kennt Hunderte von Programmen und aktualisiert sie mit nur einem Mausklick im Silent-Mode.

Ein Patch-Management wie bei größeren Unternehmen findet sich bei KMUs meist nicht. Aber auch hier gibt es passende Lösungen. Das cloudbasierte Produkt ManageEngine etwa nutzt für die Updates einen Software-Agenten auf dem Notebook. Über eine Konsole lässt sich sogar aus der Ferne steuern, welches Updates unbedingt durchgeführt werden müssen. Erfreulich: Das Tool lässt sich ausgiebig testen und ist nach 30 Tagen für 25 PCs weiterhin frei nutzbar.

Vorteil: Permanente Updates am privaten PC sind auch ein Sicherheitsplus für den Mitarbeiter.

Nachteil: Wird ein Patch-Management am privaten PC eines Mitarbeiters genutzt, hat ein Arbeitgeber immer Einsicht auf die installierten Programme.

Beachten ein Unternehmen und seine Mitarbeiter beim Arbeiten im Homeoffice die Regeln und wird für eine gute Hard- und Software-Ausstattung gesorgt, bleibt die Sicherheit für alle Beteiligten hoch. Werden aber die falschen Tools eingesetzt, unsichere Remote-Desktop-Verbindungen erlaubt oder wird sogar Schatten-IT aufgesetzt, dann öffnet das Angreifern Tür und Tor. Der Markt stellt großen Unternehmen und auch KMUs viele Sicherheitslösungen und -services bereit.

Will ein Unternehmen seine Security-Abteilung entlasten, so kann es auch auf Komplettlösungen setzen, wie sie etwa Sophos oder Trend Micro anbieten. Sie verfügen in ihrem
Produktportfolio über eine Endpoint-Security-Lösung für viele Plattformen samt Cloud-Server, Hardware-Firewall-Ap­pliance, VPN-Server und Clients, Secure Web Gateways,
E-Mail-Security sowie Patch-Management - im Prinzip eine Lösung aus einem Guss für fast alle beschriebenen Herausforderungen.