Das Smart-Working ist bei Mitarbeitern beliebt und wird von einer steigenden Anzahl Firmen umgesetzt. Während der Corona-Krise ergibt dieses Konzept umso mehr Sinn. Allerdings müssen Unternehmen auch in Notfällen einige Vorkehrungen treffen, um unangenehme Überraschungen zu verhindern, vor allem in Bezug auf Datensicherheit. Ein Ratgeber vom Sicherheitshersteller Stormshield aus eigener Erfahrung.
Prinzipiell funktioniert das Arbeiten von zu Hause hervorragend, wenn Mitarbeitern der Fernzugriff auf firmeninterne Ressourcen und Informationen gewährt wird, die sie für ihre Tätigkeit benötigen. Da es sich allerdings um sensible oder gar kritische Daten handeln könnte, muss jedes Risiko – ob Kompromittierung, Datenleck oder Datenverlust – minimiert werden. Sogar in Notfällen sollten also bestimmte Massnahmen getroffen werden, bevor Angestellte in Telearbeit geschickt werden.
In einer Notfallsituation ist tatsächlich keine Zeit für umfassende Einweisungen – schon gar nicht persönlich vor Ort mit mehreren Personen, wenn eine Pandemie vorherrscht. Dennoch können die folgenden wichtigen Informationen via E-Mail oder in Form von A4-Ausdrucken an Mitarbeiter herausgegeben werden:
Sollten private PCs oder Laptops genutzt werden, sollten Unternehmen die Mitarbeiter darum bitten, das Betriebssystem und die Anwendungen, inklusive der Antivirensoftware zu aktualisieren.
Der WLAN-Zugang zu Hause sollte mit einem starken Passwort versehen werden, das regelmässig gewechselt wird und so wenig Personen wie möglich bekannt ist. Idealerweise sollte der für die Telearbeit genutzte Rechner über den WLAN-Gastzugang des Routers zu Hause ans Firmennetzwerk angebunden werden. Damit wird vermieden, dass die Firmendaten über dasselbe Netz übertragen werden, das andere Anwender im Haus nutzen.
Die private SSID (Name des WLAN-Netzwerks) sollte keine Informationen enthalten, die Rückschlüsse über den Mitarbeiter oder die Firma zulassen.
USB-Sticks sollten gemieden werden, die bereits an mehreren Computern eingesetzt wurden.
Und zu guter Letzt: Die Mitarbeiter sollten auch zu Hause nicht vergessen, sich auszuloggen, sobald sie den PC beziehungsweise den Arbeitsraum verlassen. Zugegebenermassen ist das Risiko sehr gering, dass sich Familienmitglieder, Mitbewohner oder Reinigungskräfte an dem Computer zu schaffen machen. Nicht auszuschliessen ist hingegen, dass indiskrete Besucher sensible Informationen sehen oder ein Kleinkind versehentlich Daten löscht. Jede Arbeitsumgebung hat ihre eigenen Risikofaktoren.
Firmen-Laptop bei sich behalten
Aufgrund drohender Ausgangssperre ist jetzt der richtige Zeitpunkt, um Firmenlaptop-Besitzer darum zu bitten, ihre Mobilgeräte ständig mit sich zu führen – auch an Abenden und Wochenenden. Im Idealfall sollte die Vollverschlüsselung der Geräte aktiviert werden, doch könnte die nötige Zeit dafür fehlen. In diesem Fall sollten Sie Telearbeiter daran erinnern, ihre Computer niemals unbeaufsichtigt zu lassen. Das schliesst auch Firmenreisende mit privatem Pkw ein, die ihren Laptop zum Beispiel während des Einkaufens nicht im Auto lassen sollten.
Fernzugriff für alle
Ihr Netzwerksicherheitssystem erlaubt wahrscheinlich längst geschützte Fernzugriffe für mobile Mitarbeiter. Das ist in der Regel leicht einzurichten. Jetzt ist der richtige Zeitpunkt, um SSL- oder IPSec- gesicherte VPN-Client-Software auf den Rechnern der Mitarbeiter zu installieren, die künftig ausserhalb des Firmengebäudes tätig sein sollen. Auf diese Weise kann ein schneller und nahtloser Umstieg gewährleistet werden.
Bei der Einrichtung des Fernzugangs sollte jedoch die prompte Reaktion auf die Krise nicht ins überstürzte Handeln münden. Der Fernzugriff sollte nach dem «Zero Trust»-Prinzip geregelt werden und bei der Konfiguration sollte man berücksichtigen, dass das Unternehmen womöglich nach Beendigung der Corona-Krise die Telearbeit wieder zurückfahren möchte.
Mit Mitarbeitern im Homeoffice in Kontakt bleiben
Trotz der wichtigen Hinweise, die die IT-Abteilung an die Mitarbeiter schickte, dürften manche Angestellte – vor allem solche mit geringem Technikwissen – vor das eine oder andere Hindernis gestellt werden. Daher sollten Unternehmen von vornherein virtuelle Anlaufstellen für die Belegschaft bereitstellen, die bei Problemen helfen. Zudem sollte die Verfügbarkeit des hauseigenen IT-Teams gewährleistet sein. Dieses wird während der Krise sicherlich viel Zeit in der Lösung nutzerspezifischer Probleme investieren müssen, was sich wiederum negativ auf die Bewältigung anderweitiger Aufgaben auswirken könnte.
Nebenbei sei noch den Mitarbeitern empfohlen, niemals das eigene Passwort an Dritte weiterzugeben – weder telefonisch an Kollegen, noch an Personen, die behaupten, dem IT-Team anzugehören. Angreifer könnten die Krise auch auf diese Weise zu ihrem Vorteil nutzen.
Kommunikation unter Angestellten fördern
Um die Firmenkommunikation aus der Ferne in der Krise sicherzustellen, bieten diverse Anbieter von Videokonferenzlösungen ihre Dienste aktuell kostenlos an. Einige dieser Anwendungen sind nicht nur für Meetings nützlich, sondern erlauben zudem das Teilen von Bildschirminhalten und eine technische Fernwartung ohne Notwendigkeit, anderweitige Tools zu installieren. Vor dem Einsatz einer solchen Videokonferenzlösung sollten Unternehmen dennoch prüfen, ob die allgemeinen Geschäftsbedingungen des Dienstes mit den Richtlinien Ihres Unternehmens konform sind – Datenschutzgrundverordnung inklusive.
Nachbesprechungen, sobald die Krise vorüber ist
Sobald der Normalzustand wiederhergestellt ist, sollten Erfahrungen und Verbesserungsvorschläge ausgetauscht werden: Was muss anders gemacht werden? Was funktionierte so gut, dass es auch künftig eingesetzt werden kann? Wurden Daten aufgrund der Notfallsituation kurzzeitig auf weniger sicherer Hardware oder Peripheriegeräte gelagert? Unternehmen sollten in solchen Fällen sicherstellen, dass die betroffenen Komponenten vernichtet werden. Könnten einige der eilig zusammengeschusterten Prozesse verbessert und wiederverwendet werden? Welche Aspekte waren besonders nervenzehrend oder problematisch?
Natürlich wird – ob Krise oder nicht – davon ausgegangen, dass sämtliche Massnahmen und Problemberichte aufgezeichnet werden, also etwa in Form von E-Mails oder durch Ticketsysteme zur Fehlerbehebung.
Vielleicht nimmt man die Corona-Krise künftig sogar zum Anlass, verstärkt auf Telearbeit zu setzen – dann aber von vornherein mit angemessener Vorbereitung und verbesserter Sicherheit.