Homeoffice, aber sicher! Wie Sie Betrugsmaschen schnell durchschauen, sensible Geschäftsdaten vor unerwünschten Zugriffen schützen und ihr WLAN wieder schneller wird, erklärt unser IT-Security-Experte und Dozent Mathias Gut.
Autor: Mathias Gut
Lesezeit: 12 Minuten
Blog erschienen bei der Digicomp Academy
Durch COVID-19 ist das Arbeiten im Homeoffice für viele zum Dauerzustand und nicht zuletzt auch zu einer sicherheitstechnischen Herausforderung geworden. Plötzlich werden für die geschäftliche Kommunikation Meeting-Dienste verwendet, vor denen Fachleute normalerweise aus sicherheitstechnischen und datenschutzsrechtlichen Gesichtspunkten abraten würden. Vieles musste aus zeitlicher Not rasch, unkompliziert und nicht zuletzt auch pragmatisch bewerkstelligt werden.
Es zeigt sich jedoch auch, wie rasch die IT- Abteilungen in der Schweiz auf die digitalen Anforderungen in Notsituationen reagieren können, sicherlich mit mancher Überstunde und auch Wochenendarbeit. Auch hier einmal ein grosses MERCI!
Aber nicht nur für IT-Fachkräfte ist die Arbeit im Homeofffice eine Herausforderung, sondern für alle Mitarbeitenden, die in ihren eigenen vier Wänden arbeiten und als selbsternannte Sicherheits-Expertinnen und -Experten über die Daten wachen sollen. Ich möchte Ihnen deshalb in diesem Blogbeitrag ein paar wichtige und einfach zu beachtende Aspekte für das sichere Arbeiten im Homeoffice mitgeben. Damit es beim Lesen keine trockene Abhandlung wird, habe ich ein bisschen Witz miteinbezogen. Ich hoffe die Fachartikel-Leserschaft verzeiht mir dies.
1 Sicher Kontakt nach Aussen halten
Im Büro hören, wenn überhaupt, nur interne Mitarbeitende also Ihre «Bürogspänli» mit. Zuhause kann dies bei geöffnetem Fenster, ringhörigen Wänden oder dem angenehmen Arbeiten auf dem besonnten Balkon auch die Nachbarschaft oder natürlich auch Ihre eigene Familie sein. Daher gilt es auch in den eigenen vier Wänden darauf zu achten, dass keine unberechtigten Dritten und vor allem nicht die tratschende Nachbarschaft den geschäftlichen Telefonaten und den liebgewonnen digitalen Meetings – weil Mikrofon und Kamera deaktivierbar – beiwohnen können. Es gilt also, Zimmertüren und Fenster bei Telefonaten und Meetings zu schliessen und auf die Sprechlautstärke zu achten. Ein Tipp ist hier sicherlich ein Headset. Ansonsten birgt möglicherweise nach Corona das nächste Quartier-Grillfest eine unangenehme Überraschung und dies nicht, weil wieder jemand ihr geliebtes Grillgut anstatt seinem eigenen verspeist hat.
2 Externe Kontaktaufnahme im Home-Office
Viele vertrauen darauf, dass die am Telefon angezeigte Telefonnummer zu der anrufenden Person gehört. In der heute verwendeten Internet-Telefonie ist das nicht mehr garantiert. Die angezeigte Telefonnummer kann gefälscht sein. Der nette IT-Mitarbeitende ist vielleicht ein gewiefter Betrüger. Telefonieren Sie deshalb sicherheitshalber immer auf die Hauptnummer Ihres IT-Dienstleisters oder auf die interne Hotline zurück. Passen Sie auch bei Aufforderungen in E-Mail- oder SMS-Nachrichten auf. Hier gibt es viele Möglichkeiten zu tricksen. Seien Sie vor allem vorsichtig, wenn anscheinend mit der Zustellung des dringend erwarteten Pakets etwas nicht wie gewünscht klappt, beispielsweise das Porto nicht ausreichend sei. Gerade Geschichten rund um die Corona-Krise werden für Betrugsversuche momentan aktiv genutzt, beispielsweise mit Links zu Informationen rund um Corona oder gefälschten Spendenaufrufen. Das sind alles bekannte Betrugsmaschen.
BleibenSie misstrauisch, lieber einmal mehr als zu wenig. Die Kriminellen wissen auch, die in der Schweiz lebende Bevölkerung ist sehr hilfsbereit und nett.Übrigens, weder Microsoft noch Google rufen Sie direkt zur Hilfestellung bei technischen Problemen an. Und auch Ihr Computer hat nicht automatisch einen Hilferuf zum Hersteller gestartet. Und wenn ich gerade dabei bin, lassen Sie niemals jemanden, den Sie nicht kennen, per Fernwartung auf Ihren Computer. Niemals! Wie gesagt, der Anzeigename am Telefon kann gefälscht sein.
3 Sicher gedruckte Dokumente aufbewahren
Im Büro haben die meisten von uns entsprechende Verschlussmöglichkeiten für vertrauliche Akten. Auch Zuhause müssen geschäftliche Dokumente sicher und von Dritten unerreichbar aufbewahrt werden. Zu den Dritten gehören auch alle Familienangehörigen zwei- und vierbeinige eingeschlossen. Gerade junge Katzen und Hunde verspeisen aus reinem Spass gerne einfach erreichbare Akten.
4 Geschäftliche Akten sicher vernichten
Vergessen Sie nicht, der Kehricht ist kein Aktenvernichter! Geschäftliche und vor allem vertrauliche Akten gehören dort nicht hinein. Sorgen Sie für eine Entsorgungslösung mit Ihrer Firma oder verwenden Sie den Kamin für romantische aktenfressende Lagerfeuer. Kleiner jedoch wichtiger Hinweis, das Entsorgen von Akten im eigenen Kaminfeuer dürfte in ihrer Gemeinde reglementarisch verboten sein und umweltfreundlich ist es schon gar nicht. Also besser kurz bei der eigenen Firma betreffend Aktenentsorgung nachfragen.
Webinar: DigiSnack 05/05, Spielerisch sicher im Homeoffice – 05.05.2020
Im Webinar werde ich spielerische Elemente basierend aus diesem Blog-Beitrag nutzen um Ihnen ein grösst mögliches Online Awareness Erlebnis zu ermöglichen. Mit Spass lernt es sich bekanntlich am besten.
Datum: 05. Mai 2020 14:00 bis ca. 14:30 Uhr
Trainer: Mathias Gut
Veranstalter: Digicomp Academy
Kosten: kostenlos
5 Sicherer Umgang am Homeoffice-Computer
Einfach haben es alle unter uns, die einen firmeneigenen Rechner im Homeoffice nutzen dürfen. Hier ist in der Regel die beauftragte IT darauf bedacht, dass die technischen Sicherheitsvorkehrungen getroffen wurden. Trotzdem dürfen Sie hier gerne weiterlesen, da auch die beste IT der Welt, von vielen liebevoll «Computermönsch» getauft, wie alle von uns, auch einmal Fehler machen dürfen. (Übrigens, wenn wir gerade bei Bezeichnungen sind, «Computerheini» mögen die meisten aus der Informatik gar nicht.) Wenn Sie den privaten Computer für das Homeoffice nutzen, dann fragen Sie doch Ihre IT welche sicherheitstechnischen Massnahmen zu ergreifen sind. Die Evergreens sind:
- Updates rasch einspielen
- das Antiviren-Programm aktuell halten
- und mit einem nicht hoch privilegierten Benutzer, also nicht als Administrator auf dem eigenen Computer arbeiten.
Wenn nun also Ihr Computer eine Meldung wie «anstehende Updates» meldet ist dies eine nette Aufforderung möglichst rasch eine Pause einzulegen, damit die Updates eingespielt werden können. Eine Pause darf ja auch einmal sein.
6 Umgang mit digitalen Daten
Wenn Sie intern oder mit Kunden Daten teilen, dürfen nur von der Firma autorisierten Clouddienste genutzt werden, auf keinen Fall private Cloudspeicher. Viele Cloudspeicher sind aus datenschutzrechtlicher Betrachtung bedenklich oder dürfen überhaupt nicht genutzt werden. Sie wissen es sicher schon, ich möchte es hier jedoch noch einmal explizit erwähnen. Die datenschutzrechtlichen Anforderungen, wie der Schutz vertraulicher Personendaten, gelten auch jetzt. Auch der liebgewonnene familieneigene USB-Stick, der auch für die Übermittlung des schulprämierten Schiltchrötli-Vortrags ihres Sohnes genutzt wurde, ist gänzlich ungeeignet. Wenn überhaupt dürfen hier nur verschlüsselte und von der Firma selber vergebene USB-Datenträger verwendet werden. Dies gilt insbesondere auch für den Ausdruck am eigenen Drucker. Wenn Sie nicht anders können und daher von der Firma erlaubterweise geschäftliche Daten auf den Home-Computer ablegen, müssen diese von Anfang an verschlüsselt gespeichert werden. Auch gelöschte Daten sind übrigens noch nicht vollständig weg. Mit speziellen Programmen können sogar die peinlichsten Fotos, wenn sie noch nicht überschrieben oder von Anfang an verschlüsselt wurden, wiederhergestellt werden. Sie sehen, nun sollten Sie wirklich mit Ihrer IT Kontakt aufnehmen, bevor sie sensible Daten auf irgendwelchen Datenträgern speichern.
7 Eigenes Wireless-Netzwerk
Sie wissen es, spätestens nach dem ersten bildlosen und tontechnisch abgehackten digitalen Meeting, ihr WLAN-Netz ist überlastet und zwar von der Playstation oder dem Netflix-Nachmittag Ihrer jungen Heranwachsenden. Planen Sie also die Verfügbarkeit Ihres Netzes mit nützlichen Abmachungen oder horrenden Strafen, beispielsweise dem Einzug der Smartphones. Strafen funktionieren zumindest aus eigener Erfahrung nicht, Abmachungen dagegen sind zwar schwierig, jedoch mit gegenseitigem Verständnis umsetzbar. Mein Tipp: Lassen Sie sich doch das schnellere Surfabonnement von Ihrer Firma sponsern, sinnvoll sind hier aus meiner Sicht 200/200Mbit/. Der Familienrat wird’s Ihrer Firma danken. Technisch betrachtet, muss Ihr WLAN-Netzwerk mit WPA2 oder WPA3 verschlüsselt und mit einem nicht erratbaren, aus meiner ethischen Hacker-Sicht, mindestens 24-stelligen Passwort gesichert sein. Achten Sie auch darauf, ein sicheres Passwort für Ihren Zugang zum WLAN-Router zu verwenden. Ich schenke Ihnen hier ein paar Zeichen und gebe mich mit einem mindestens 14- stelligen komplexen Passwort zufrieden. Theoretisch werden Sie nun anmerken, dass Sie sich ein langes Passwort gar nicht merken können. Meine Erfahrungen mit WLAN-Router-Passwörtern zeigt, dass selbst die einfacheren Passwörter niemand sofort weiss, wenn das Passwort für eine Konfigurationshilfe nötig wäre. Warum auch immer. Übrigens, der von mir nun schon fast inflationär erwähnte WLAN-Router ist das lustige blinkende Ding mit Antenne, welches nach einer Putzaktion mit einem Roboterstaubsauger durchwegs ausgesteckt werden kann und zu einem Totalausfall des WLAN-Netzwerkes führt. Der Ausfall wird meist sehr rasch entdeckt, siehe Anmerkungen zu den jungen Heranwachsenden.
Wenn Sie nun bis hierher gelesen haben, dürfen Sie mit Stolz von sich behaupten etwas gelernt zu haben oder Sie haben die Bestätigung, dass Sie bereits eine Awareness-Superheldin respektive ein Awareness-Superheld sind. Gerne erwähne ich an dieser Stelle meine spannenden Awareness-Trainings für den sicheren Umgang mit vertraulichen Daten und IT- Geräten.
Mein themenbezogenes Online-Training «IT-Sicherheit im Homeoffice – Online-Awareness-Training («SHOK»)» ist direkt bei der Digicomp Academy buchbar. Ich habe dieses nach einem modernen Ansatz aufgebaut und mit modernen Lernmethoden zu einem spannenden Lernerlebnis kombiniert. So können Sie oder Ihre Mitarbeitenden sicher im eigenen Homeoffice arbeiten.
Ein Security-Awareness-Training darf übrigens neben dem Lerneffekt durchaus kurzweilig und spannend sein. Mit Spass lernt es sich bekanntlich am besten!
Mathias Gut
Geschäftsführer, Netchange AG
(Wir tragen keine Verantwortung für den Inhalt verlinkter Webseiten.)