Herausforderungen für den Storage-Datenschutz Sicherheit für Unternehmensdaten im Home-Office

Von Jasmin Hammeln

Anbieter zum Thema

Die Pandemie hat die Heimarbeit am Computerarbeitsplatz von einer hierzulande einst nur zögerlich vorankommenden Nische zu einem breit angebotenen und nachgefragten Erfolgsmodell gepusht. In Sachen Sicherheit herrschen jedoch vielerorts weiterhin Improvisation und Unwissen vor – was von Cyberkriminellen ausgenutzt wird.

Das Home-Office mag komfortabel sein. In Sachen Datensicherheit ist es jedoch in vielen Unternehmen ein offenes Tor. Dabei kann eine fast so sichere Umgebung gelingen wie bei der Arbeit vor Ort im Betrieb.
Das Home-Office mag komfortabel sein. In Sachen Datensicherheit ist es jedoch in vielen Unternehmen ein offenes Tor. Dabei kann eine fast so sichere Umgebung gelingen wie bei der Arbeit vor Ort im Betrieb.
(Bild: gemeinfrei / Pixabay )

Arbeiten und leben am selben Ort: Das haben durch die Pandemie viele deutsche Unternehmen und noch mehr Angestellte erst gezwungenermaßen kennen- und dann lieben gelernt.

Allerdings bedeutet eine Arbeitswelt, in der sämtliche Verbindungen zwangsläufig über das Internet laufen müssen und in der zwischen Unternehmen und Arbeitsplatz verschiedene Unterschiede liegen, einen hervorragenden Angriffspunkt für zahlreiche Formen von Cyberkriminalität.

Diesbezüglich ist der Tenor einer Sonderauswertung des BKA sehr eindeutig: Gestiegene Attacken allerorts, eine neue Form von digitaler Unsicherheit für Daten, Anwendungen und ganze Systeme.

Doch wie sehen die diesbezüglichen Herausforderungen im Einzelnen aus? Und vor allem: Wie lassen sie sich handhaben?

Oft verkannt: die physische Sicherheit

Das Home-Office bietet in Sachen Storage-Datenschutz verschiedene Herausforderungen. Häufig dabei übersehen wird das physische Umfeld der IT. In Unternehmen sind Computersysteme meist gut geschützt untergebracht; es gibt Alarmanlagen, Sensoren, nicht selten sogar Sicherheitsdienste.

In einem häuslichen Umfeld existiert das jedoch typischerweise nicht. Zusammen mit der häufigen Nutzung von privater IT für die Arbeit ergibt sich daraus ein teils recht hohes Sicherheitsrisiko:

  • Einbrecher, die in einer Privatwohnung mitunter sehr leichtes Spiel haben,
  • Einbrecher, die sogar ganz gezielt zwecks Wirtschaftsspionage auf Mitarbeiter im Home-Office abzielen,
  • Systeme und Verbindungen, die nicht optimal abgesichert sind,
  • eine duale private und berufliche Nutzung, weshalb unter anderem die Frage nach Entschädigung oftmals schwierig zu beantworten ist.

Nicht einfacher wird die Lage, da es rechtlich für Unternehmen nur äußerst schwierig möglich ist, ihren Angestellten Vorschriften für den physischen Einbruchsschutz ihres Zuhauses zu machen – und in Mietobjekten vieles gar nicht infrage kommt.

Wenn private IT genutzt wird, dann sollte unbedingt auf eine Integration in die häuslichen Maßnahmen zur Absicherung geachtet werden. Hierzu existieren neuerdings spezielle Tarife zur Ergänzung von Hausratversicherungen, speziell gegen Hacking-Schäden. Diesbezüglich sollte auch in umgekehrter Richtung gedacht werden: Angreifer, die von anderen Stellen in das Firmennetzwerk eindringen und darüber Zugriff auf die Privatdaten und -Accounts der Mitarbeiter im Home-Office auf deren Privatgeräten bekommen.

Ferner sollten Unternehmen ihre Mitarbeiter generell hinsichtlich grundlegender Maßnahmen des Einbruchschutzes briefen lassen und sie allgemein für diese physische Sicherheit sensibilisieren. Dazu kann nicht zuletzt ein Katalog gehören, der Anforderungen an ein sicheres Home-Office definiert. Etwa Sichtschutzfolie an Bürofenstern, um einen Einblick auf die Bildschirme zu verhindern. Oder eine Liste von Räumlichkeiten, die nicht als Home-Office genutzt werden dürfen – beispielsweise Gemeinschaftsräume in WGs, Gartenlauben und dergleichen.

Das Thema WLAN und Heimnetzwerksicherheit

Ein gutgelaunter Mensch, der mit dem Laptop zuhause arbeitet: So stellen sich nicht nur viele das Home-Office vor, so wird es auch in der Praxis häufig gehandhabt. Das gilt selbst in vielen Unternehmen, die ihre Mitarbeiter mit eigener IT ausstatten – mehr zu diesem speziellen Thema weiter unten.

Doch ganz gleich, welche weiteren Sicherheitsmaßnahmen für die Datenverbindungen ergriffen werden, abermals sind häufig die „letzten Meter“ innerhalb des Zuhauses das Problem:

  • die aus Komfortgründen oder bei manchen Geräten (Stichwort „Kompaktheit“) alternativlose Nutzung von WiFi statt einer sichereren Kabelverbindung,
  • ein oft wenig sensibilisierter Umgang mit den Zugangsdaten zum Router,
  • eine häufig weit über den Arbeitnehmer hinausgehende Nutzung des Netzwerks durch weitere Geräte und User.

Wenn die Sicherheitskette zwischen den Systemen des Unternehmens und dem Bildschirm des Heimarbeitsrechners an einer derart wichtigen Stelle so geschwächt wird, dann können die Folgen oftmals verheerend sein. Dabei können Unternehmen meist nur anleiten, kaum konkrete Vorschriften machen.

  • Die IT-Abteilung sollte nach Möglichkeit grundsätzliche Sicherheitseinstellungen am Router vornehmen können. Dazu gehören ein tatsächlich sicheres Passwort für den Zugang, eine weniger transparente SSID, eine möglichst hochwertige Netzwerkverschlüsselung und idealerweise eine Whitelist beziehungsweise Blacklisten der zugriffsberechtigten Geräte anhand von MAC-Adressen.
  • Mitarbeiter sollten möglichst angehalten werden, die Verbindung über LAN-Kabel herzustellen, statt das WLAN zu benutzen.

Das tatsächliche Optimum wäre zwar ein eigener, getrennter Internetzugang nur für die Arbeit. Dies lässt sich jedoch nur in den wenigsten Unternehmen und vor allem Wohnungen realisieren.

Neuer Podcast: Storage-Insider im Gespräch mit Christian Kubik von Commvault zum Thema „Backup in der Praxis“.

Storage-Insider-Podcast: Datensicherung und Business Continuity – wie Unternehmen eine Backup-Strategie entwickeln

Backup in der Praxis

Fatal günstige Lösung: private IT

Das Home-Office spart Firmen zweifelsohne verschiedene Kosten, selbst wenn sie sich anteilig an den privaten, aber dennoch beruflich bedingten Ausgaben ihrer Mitarbeiter beteiligen – etwa bei den Providergebühren.

Allerdings zeigt sich immer wieder, wie konkret der Einsatz privater Hardware für die Arbeit aus Sicht des Datenschutzes ein Sparen am falschen Ende sein kann. Denn kaum ein Arbeitnehmer nutzt privat angeschaffte Computer und ähnliche Geräte ausschließlich für die Arbeit.

  • Sehr häufig kommt es deshalb, spätestens nach Feierabend, zu einer Mischnutzung – und somit beispielsweise dem Lesen privater E-Mails, dem Besuch möglicherweise unsicherer Websites und ähnlichen Handlungen. Oftmals wird nicht einmal der simpelste Schutzmechanismus durch das Einrichten getrennter Konten am PC appliziert, obwohl dieser bei korrekter Konfiguration durchaus für verschiedene Attacken eine deutliche Erschwernis darstellt.
  • Darüber hinaus hat der Arbeitgeber keine Möglichkeit, auf privaten Systemen die Sicherheitseinstellungen, Updates, Patches et cetera ständig auf einem seinen Ansprüchen entsprechenden Niveau zu halten.

Es mag durchaus im Ermessen von Arbeitgeber und -nehmer liegen, ob letzterer private Tastaturen, Bildschirme, Drucker und ähnliche Geräte verwendet. Wenn jedoch maximaler Datenschutz das Ziel ist, dann sollte folgende Losung gelten:

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zu Data-Storage und -Management

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung
  • 1. ausschließlich auf einem von der Firma zur Verfügung gestellten und durch die Inhouse-IT konfigurierten Rechner,
  • 2. nur für die rein berufliche Nutzung ohne Ausnahme freigegeben.

Wer die Sinnhaftigkeit solcher Ausgaben nicht ganz versteht, der sollte sich folgendes Szenario vorstellen: Ein Mitarbeiter loggt sich auf einem irgendwie infizierten Privat-PC in die firmeneigene Cloud ein. Es wird die Passworteingabe über einen Keylogger mitgeschnitten, und weil die MAC-Adresse stimmt, gelangt der Angreifer durch eine Hintertür an sämtliche Daten, auf die der Mitarbeiter ebenfalls Zugriff hat.

Sicherheitsplus: zentrale Storage-Lösungen

Es gibt wohl nur wenige problematischere Dinge in Sachen Datensicherheit und -wiederherstellbarkeit als Unternehmen, in denen die zuhause Arbeitenden ausschließlich oder anteilig lokal arbeiten und vor allem abspeichern.

In Firmen mag das aufgrund der gleichhohen physischen Sicherheit für alle Rechner ein etwas geringeres Problem sein. Wenn jedoch ein Einbruch stattfindet, bei dem der Rechner entwendet wird, dann sind die darauf gespeicherten Daten nicht nur weg, sondern könnten nach dem Hacken des Computers riesigen Schaden für das Unternehmen verursachen. Von den bereits angesprochenen Verlusten von Log-in- und ähnlichen Daten völlig zu schweigen.

Das Home-Office sollte deshalb der letzte einer langen Reihe von Gründen sein, deretwegen Unternehmen unbedingt auf zentrale Storage-Lösungen setzen sollten – übrigens nicht nur für reine Daten, sondern idealerweise auch für Anwendungen.

Cloud-Storage ist hierfür ein gutes Mittel der Wahl. Ebenso bietet sich eine im Unternehmen vorhandene Server-basierte Lösung an. Diese schützt Daten nicht nur deutlich besser vor gänzlichem Verlust, sondern auch vor missbräuchlicher Nutzung.

Die Netzwerkverbindung zum Unternehmen

Auf irgendeine Weise müssen Mitarbeiter von ihrem Heimbüro auf das Firmennetzwerk zugreifen können – und sei es nur, um E-Mails empfangen zu können. Hierfür gibt es eine ganze Reihe wenig bis gar nicht tauglicher Lösungen, jedoch nur eine gute.

Eine weitgehend ungesicherte RDP-Verbindung, wie sie leider vor allem im KMU-Bereich weiterhin standardmäßig eingesetzt wird, ist dabei eine der denkbar schlechtesten Herangehensweisen. Das derzeit beste Mittel der Wahl wäre ein VPN-Zugang. Allerdings ebenfalls nur dann, wenn damit einige Punkte einhergehen:

  • 1. Es sollte durch Anweisung und Einstellung sichergestellt werden, dass die Verbindung nur so lange besteht oder genutzt wird, wie es für die Arbeit nötig ist. Insbesondere zum Feierabend sollte die Verbindung gekappt werden – selbst bei einem dienstlichen PC.
  • 2. Für die Verbindung sollten nur starke Verschlüsselungsprotokolle herangezogen werden, namentlich L2TP oder vergleichbare Alternativen.
  • 3. Der Log-in-Vorgang sollte möglichst nicht nur auf die Kombination Passwort/Nutzername vertrauen, sondern sich ebenfalls auf weitere Techniken stützen. Dies können beispielsweise eine Multifaktor-Authentifizierung oder eine Smartcard-Lösung sein.

Mit all diesen Methoden ist es möglich, Home-Office ähnlich sicher zu machen wie herkömmliche Büroarbeit. Dennoch sollte der Faktor Mensch niemals unterschätzt werden. Für besonders sicherheitsrelevante Arbeiten kann es deshalb final die bessere Herangehensweise sein, das Heimbüro zu verlassen und vor Ort zu arbeiten – womöglich an einem Arbeitsplatz ganz ohne Direktverbindung zum Internet.

Das Storage-Kompendium zum Thema – kostenfreier Download

Die Anforderungen an die Datensicherung sind so hoch wie nie, und die Anzahl der Fälle, in denen ein Disaster Recovery notwendig ist, nimmt rasant zu. Was also gilt es beim Backup zu beachten?

Backup & Disaster Recovery – Strategien und Lösungen

Storage-Kompendium „Backup & Disaster Recovery“
(Bild: Storage-Insider)

Die Hauptthemen des Kompendiums sind:

  • Storage Class Memory (SCM)
  • Backup- und DR-Strategien/-Lösungen
  • As-a-Service-Modelle
  • Disaster Recovery
  • Datenmanagement
  • Hochverfügbarkeit von Daten (HA)
  • Business Continuity (BC)
  • Data Governance

(ID:48421789)