Die Sicherheit bei Geräten und der Remote-Arbeit

Die Sicherheit auf Unternehmensseite

Die Geräte und ihre Verbindungen müssen durch Maßnahmen und Tools geschützt werden, die in eine globale Strategie eingebettet sind und darauf abzielen, Daten sowohl auf den Servern als auch auf ihrer Reise durch das Netzwerk und auf den Endgeräten zu schützen. Auf Seiten der Organisation wären die wichtigsten Elemente dieser Strategie folgende:

• Definition und Anwendung der Unternehmensrichtlinie für Cybersicherheit. Die Organisation sollte von allen Mitarbeitern verlangen, dass sie die Cybersicherheitsrichtlinie akzeptieren und unterzeichnen, unabhängig davon, ob sie im Homeoffice arbeiten oder nicht. Diese Richtlinie sollte alle Sicherheitsprotokolle abdecken, die von den Mitarbeitern erwartet werden, sowie wie das Unternehmen ihnen dabei helfen wird, diese einzuhalten.
• Gerätezuweisung. Desde el inicio, la Infrastruktur sollte in der Lage sein, neue Geräte hinzuzufügen und sie dem entsprechenden Benutzer schnell und effektiv zuzuweisen. Normalerweise basieren sie auf einem Verfahren zur Anforderung und Zuweisung von mobilen Geräten.
• Registrierung. Das Zuweisungssystem muss durch ein aktives Registrierungs- und Inventarsystem ergänzt werden, das es nicht nur ermöglicht, die zugewiesenen mobilen Geräte zu registrieren (welches Gerät zugewiesen wird und an wen es zugewiesen wird), sondern auch besser auf die Bedürfnisse des Personals eingeht. Diese Systeme ermöglichen es auch, die Nutzung des Geräts zu registrieren.
• Wartung. Die Wartung der Geräte muss auf die zuständige Abteilung beschränkt sein. Daher sollten Benutzer daran gehindert werden, Hardware zu ändern, Software zu installieren oder die Konfiguration des Geräts ohne Genehmigung der technischen Abteilung zu ändern.
• Speicherung von Daten. Die Unternehmensrichtlinie für Cybersicherheit sollte Mechanismen zur Kontrolle und Prävention der Datenspeicherung auf den Endgeräten umfassen. Unternehmensinformationen, die nicht unbedingt für die Aufgaben des Benutzers erforderlich sind, sollten nicht auf dem Gerät gespeichert werden. Wenn auf die Informationen von mehreren Geräten zugegriffen wird, müssen sie synchronisiert sein, um Duplikate und Fehler in den Versionen zu vermeiden.
• Behandlung vertraulicher Informationen. In vergangenen Zeiten wäre dies nur eine Empfehlung gewesen; heutzutage ist es eine Verpflichtung für alle Unternehmen, die gemäß Gesetzen wie der DSGVO tätig sein müssen. Alle vertraulichen Informationen müssen verschlüsselt gespeichert werden. Es ist auch eine bewährte Praxis, ein standardisiertes End-of-Life-System zu verwenden, damit die Informationen sicher gelöscht werden, sobald ihr Lebenszyklus abgeschlossen ist.
• Mitarbeiterausbildung. Nicht nur unbeabsichtigte Fehler sind relevant. Im aktuellen Kontext der Cybersicherheit im Homeoffice stellt Social Engineering die Ausführung von Angriffen unter Täuschung dar. Phishing, Vishing, "CEO-Betrug", ... Ein effektives Schulungsprogramm ist entscheidend, um die Sicherheit der Geräte zu gewährleisten. Es wird empfohlen, effektive Schulungsprogramme zu implementieren, die sicherstellen, dass die Mitarbeiter die besten Praktiken anwenden, und diese Schulung durch kontinuierliche Bewusstseinsarbeit zu ergänzen.

Die Sicherheit auf Benutzerseite

Die Remote-Arbeit muss die Datensicherheit nicht gefährden. Sobald die Remote-Mitarbeiter geschult sind und diese cybersicherheitsverfahren implementiert sind, um Datenschutz- und Sicherheitsrisiken bei der Telearbeit zu vermeiden.

1. Verantwortlichkeiten. Der Benutzer ist verantwortlich für das ihm zur Verfügung gestellte Laptop oder Mobilgerät und muss daher die Sicherheit sowohl des Geräts als auch der enthaltenen Informationen gewährleisten. Der Benutzer wird die in der Richtlinie zur Arbeitsplatznutzung festgelegten Regeln anwenden.
2. Transport und Aufbewahrung. Das Gerät sollte nicht hohen Temperaturen ausgesetzt werden, die seine Komponenten beschädigen könnten, und der Benutzer sollte verhindern, dass auf die darin gespeicherten Informationen zugegriffen werden kann. Im Falle eines Diebstahls oder Verlusts des Geräts sollte dies unverzüglich dem zuständigen technischen Personal gemeldet werden.
3. Sicherheit bei Verbindungen. Die Verwendung unsicherer Wi-Fi-Netzwerke ist die häufigste Möglichkeit, ein Unternehmen einem Daten-Sicherheitsverstoß auszusetzen. Die einfachste Lösung besteht darin, ein Virtual Private Network (VPN) zu aktivieren. Die Verwendung eines VPN vor dem Einloggen in öffentliche Wi-Fi-Netzwerke verschlüsselt den Internetverkehr des Remote-Mitarbeiters und überwacht jegliche Anzeichen einer Infektion.
4. Passwörter. Die Schulung der Remote-Mitarbeiter zum Schutz von Passwörtern ist entscheidend, um die Unternehmensdaten zu schützen. Eine weitere Möglichkeit, dieses Risiko zu mindern, besteht darin, einen Passwort-Manager zu verwenden, der Passwörter generiert und sicher speichert.
5. Aplicaciones de protección. Firewalls, antivirus, IDS/IPS… Die Organisation sollte von den Telearbeitern verlangen, dass sie Schutzanwendungen wie Firewalls, Antivirensoftware und Antimalware auf allen ihren Geräten, einschließlich Mobiltelefonen, Tablets und Laptops, stets aktuell halten.
6. Benachrichtigung im Falle einer Infektion. Wir sehen an allen vorherigen Punkten, dass die Zusammenarbeit des Benutzers ein Schlüsselelement für die Sicherheit der Remote-Arbeit ist. Wenn der Verdacht auf eine Virusinfektion oder andere bösartige Software besteht, sollte dies umgehend dem zuständigen technischen Personal gemeldet werden.

Welche Technologien sollten zur Absicherung von Geräten verwendet werden

In den letzten Jahren, und insbesondere im Zusammenhang mit der COVID-19-Pandemie, hat die Entwicklung von Technologien zum Schutz der Informationen von Telearbeitern zugenommen. Daran haben nicht nur die Hersteller von Geräten und Cybersicherheitsunternehmen, sondern auch die Entwickler von Betriebssystemen mitgewirkt. Hier sind einige davon.

• BIOS-Schutz. Die Unternehmens-Laptops werden über ein Passwort geschützt, um den Zugriff auf das BIOS zu verhindern und Änderungen an der Konfiguration durch den Benutzer zu verhindern.
• Verschlüsselung. Chat-Programme, E-Mails, Anwendungen... alles muss Ende-zu-Ende-Verschlüsselung verwenden. Am besten ist es, eine Multifaktor-Authentifizierung (MFA) zu verwenden, die die Identität eines Benutzers überprüft, indem sie zunächst einen Benutzernamen und ein Passwort sowie andere Daten wie "Antwort auf eine geheime Frage" oder einen Code, der an ein Mobiltelefon gesendet wird, anfordert.
• Virtualisierte Anwendungen. Mit der Option der Anwendungsvirtualisierung kann der Benutzer eine Anwendung auf seinem Gerät ausführen, die nicht auf dem Computer installiert ist. Die Anwendung wird mithilfe eines Pakets ausgeführt, das die erforderlichen Konfigurationen enthält.
• Backup de datos en la nube. De igual forma deben tomarse medidas para que la información ahí almacenada permanezca segura. También se puede activar un sistema de verificación, de forma que cada vez que el usuario quiera acceder a la nube le sea enviado un mensaje de texto con un código que deberá introducir para poder ingresar.
• Ortungssoftware. Im Falle, dass es für erforderlich gehalten wird, eine Ortungssoftware zu installieren oder zu aktivieren, wird dem Benutzer des Geräts dies vor der Lieferung mitgeteilt. Der Benutzer, der geortet werden soll, muss ein Dokument unterzeichnen, in dem er diese Bedingung akzeptiert.
• Löschung von Daten. También se puede considerar la posibilidad de borrar dispositivos de forma remota en caso de pérdida o robo. Las plataformas de gestión de dispositivos móviles (MDM) pueden realizar estos servicios.

Ethische und rechtliche Überlegungen

Die Mobilität im Unternehmensumfeld hat die Notwendigkeit neuer Managementmodelle mit sich gebracht. Tools MDM (Mobile Device Management) ermöglichen beispielsweise die Installation und Aktualisierung von Betriebssystemen und Anwendungen, sogar die Nutzung in isolierten Netzwerken zu kapseln, Geräte per GPS zu verfolgen oder zu erkennen und zu benachrichtigen, wenn ein Gerät gefährdet ist, oder den Inhalt remote zu blockieren oder zu löschen. Sie ermöglichen auch die Integration von Identitäts- und Zugriffsverwaltung (IAM), indem sie beispielsweise die Anwendung spezifischer Passwortrichtlinien erzwingen. Es können sogar Antivirenprogramme, Network Access Control (NAC) oder Cloud-Sicherheitsdienste aktiviert werden.

Und hier liegt das Dilemma: Es ist von entscheidender Bedeutung, Mechanismen zu haben, die den Zugriff auf Unternehmens-Mobilgeräte ermöglichen, aber... ist es zulässig, auf den Inhalt des Geräts zuzugreifen? Ist es legal, den Standort zu überwachen? Können die Aktivitäten der Benutzer überwacht werden? Ja, grundsätzlich, wenn den Mitarbeitern zuvor über die Nutzung und Kontrolle informiert wurde, die das Unternehmen ausüben kann, wenn es ihnen Geräte zur Verfügung stellt, die sein Eigentum sind, und über die Art der Datenverarbeitung, die durchgeführt wird. Und natürlich muss die geltende Datenschutzgesetzgebung vollständig eingehalten werden.

Es ist definitiv kein einfaches Thema. Und erst recht nicht, da es jetzt auch möglich ist, Out-of-Band-Systeme zu implementieren, die es ermöglichen, die Geräte auch dann zu kontrollieren, wenn sie ausgeschaltet sind. Ein weiterer Aspekt, der zu berücksichtigen ist, da er den Hersteller betrifft und praktisch eine absolute Kontrolle über das Gerät bedeutet. Zum Beispiel bietet Intel seine Lösung Intel vPro an; Apple hingegen bietet Dienste LOM (Lights Out Management) für das Ein- und Ausschalten seiner Geräte unter Verwendung digitaler Zertifikate.

In jedem Fall besteht kein Zweifel daran, dass die Telearbeit eine wesentliche Option für jede Organisation ist und dass die Sicherheit ein entscheidender Aspekt ist, nicht nur um Informations- und Rufverluste zu vermeiden, sondern auch um die Einhaltung gesetzlicher Vorschriften zu gewährleisten.