Heim-PCs stellen ein Sicher­heit­srisiko dar. Wie gehen Fir­men damit um, wenn sie jet­zt Mitar­beit­er in gross­er Zahl ins Home-Office ver­legen?

Die Cyberkrim­inellen haben sich sehr schnell an die geän­derten Ver­hält­nisse angepasst: «Um Prof­it aus der derzeit­i­gen Epi­demie zu ziehen», so heisst es in einem aktuellen Bericht der rus­sis­chen Sicher­heits­fir­ma Kasper­sky Lab, «ver­schick­en dig­i­tale Angreifer derzeit ver­stärkt Phish­ing-E-Mails zum The­ma Coro­n­avirus, um an per­sön­liche Anmelde­in­for­ma­tio­nen wie Mail-Pass­wörter von Nutzern zu gelan­gen.»

 

Wie im Computermuseum

An ihrem Arbeit­splatz sind Com­put­er­an­wen­der gegen solche Bedro­hun­gen gut geschützt. Die für den Unternehmen­sein­satz opti­mierten Soft­ware-Lösun­gen hal­ten Spam und Mal­ware von den Fir­men-PCs fern, sicher­heit­skri­tis­che Soft­ware-Updates wer­den automa­tisch einge­spielt. 

In Home-Offices dage­gen sieht es manch­mal aus wie in einem Com­put­er­mu­se­um: Die Soft­ware ist nicht auf dem neuesten Stand, die Hard­ware ver­staubt. Kein ver­ant­wor­tungs­be­wusster Sicher­heit­sprofi würde sich die Pantof­fel­helden vom Home-Office als Mit­stre­it­er aus­suchen. Und doch muss er es tun, er ist auf diese Kol­le­gen angewiesen, wenn er die Empfehlung des Bun­de­samtes für Gesund­heit befol­gen und die Nutzung von Home-Office fördern will.

Wo die Mitar­beit­er im Home-Office auf ihren eige­nen PC angewiesen seien, sei es um die Sicher­heit meist nicht gut bestellt, sagt Uwe Kiss­mann, der bei der Beratungs­fir­ma Accen­ture den Bere­ich Cyber Defence Ser­vices leit­et. Doch seien grössere Unternehmen schon seit einiger Zeit dazu überge­gan­gen, den Mitar­beit­ern einen Mobil­com­put­er zur Ver­fü­gung zu stellen, dessen Sicher­heit von der Unternehmensin­for­matik garantiert werde. Wo darüber hin­aus die Verbindung ins Fir­men­netz durch eine Zwei-Fak­tor-Autorisierung und eine Vir­tu­al-Pri­vate-Net-Soft­ware geschützt werde, entstün­den ein­er Fir­ma durch die ver­mehrte Nutzung des Home-Office keine «sig­nifikan­ten» Sicher­heit­sprob­leme.

In diesem Sinn äussern sich auf Anfrage auch die Vertreter von grossen Schweiz­er Unternehmen, die ihren Mitar­beit­ern jüngst das Home-Office nahegelegt haben. Bei der Bâloise beispiel­sweise heisst es, man habe seit Jahren Erfahrun­gen mit Home-Office-Ein­sätzen, die «ver­mehrte Nutzung dieser Möglichkeit auf­grund der aktuellen Sit­u­a­tion führt nicht zu erhöht­en Sicher­heit­srisiken».

 

Kompromisse bei der Sicherheit

Nicht alle Fir­men sind darauf vor­bere­it­et, dass eine grosse Zahl von Mitar­beit­ern von zu Hause aus auf das Fir­men­netz zugreift. Mark Stähe­li hat dieser Tage Eng­pässe beobachtet. Er ist Co-CEO der auf den Ver­trieb von Sicher­heitssoft­ware spezial­isierten Zürcher Avan­tec. Manch­mal genüge es, zusät­zliche Lizen­zen einzukaufen, um die Kapaz­ität der Remote-Access-Soft­ware zu erhöhen. Eine solche Erweiterung lasse sich innert Stun­den real­isieren. 

Wenn aber auch noch neue Hard­ware beschafft wer­den müsse, könne es «zeitlich eng» wer­den, so Stähe­li. Unter solchen Voraus­set­zun­gen könne es schon passieren, dass Kom­pro­misse bei der Sicher­heit gemacht wür­den, um die Pro­duk­tiv­ität der Mitar­beit­er nicht zu behin­dern.

Zurück zur Normalität

«Benutzer gehen meist den Weg des ger­ing­sten Wider­stands», schreibt der Schweiz­er Sicher­heit­sex­perte Can­did Wüest. «Wenn ihnen keine ein­fachen Arbeitsmit­tel zur Ver­fü­gung gestellt wer­den, find­en sie andere, nicht genehmigte Meth­o­d­en zum Erledi­gen ihrer Auf­gaben.» Bei der Schweiz­er Soft­ware-Fir­ma Acro­nis tätig, erachtet Wüest die Sicher­heit im Home-Office als «unternehmen­skri­tisch».

Doch nicht nur die Anwen­der draussen in ihren Home-Offices bedro­ht­en die Sicher­heit, son­dern auch die Sicher­heitsver­ant­wortlichen in der Zen­trale, die derzeit unter Zeit­druck an den Sys­te­men herum­schraubten. Es fehle ihnen jet­zt die Zeit, um Verän­derun­gen voll­ständig zu testen. «Wir empfehlen, alle Infra­struk­turän­derun­gen zu doku­men­tieren – und die Änderun­gen eventuell rück­gängig zu machen, sobald sich die Sit­u­a­tion nor­mal­isiert.»

Quelle: www.nzz.ch