Home Office - aber sicher! - Eine Checkliste mit den wichtigsten Anforderungen für sicheres Arbeiten von zu Hause - Cyber Security ...
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Home Office – aber sicher! Eine Checkliste mit den wichtigsten Anforderungen für sicheres Arbeiten von zu Hause Seit einigen Wochen ist das Coronavirus (COVID-19) auch in der Schweiz angekommen. Zum Schutz der Mitarbeitenden fordern viele Unternehmen, falls möglich, im Home Office zu arbeiten. Der Grossteil der Unternehmen war oder ist jedoch nur bedingt auf Home Office eingestellt – Stichwort Infrastrukturen, Prozesse usw. Organisationen aller Grössen und Sektoren. Sie sind somit leicht verwundbare Ziele für Cyberkriminelle. Was für die Gesundheit der Mitarbeitenden notwendig ist, kann ohne die entsprechenden Vorsichtsmassnahmen für die IT-Infrastruktur, Systeme und Informationen der Unternehmen somit eine Bedrohung darstellen. Aber wer will nebst Corona-Lockdown noch einen System-Lockdown?
Hacker und Kriminelle lassen sich von solch tragischen Ereignissen inspirieren und versuchen nicht selten, Profit daraus zu
schlagen. Folgende Beispiele haben das auch in Zeiten des COVID-19 abermals gezeigt:
Gefälschte E-Mails im Namen des Bundesamts für Gesundheit (BAG)
Phishing-E-Mails basierend auf COVID-19
Malware-Infektionen basierend auf Informationen zu COVID-19; insbesondere durch die Verbreitung einer beliebten
Kartenanwendung, die angeblich zeigt, wo neue Corona-Fälle aufgetaucht sind.
Das US-Gesundheitsministerium wurde Opfer einer Cyberattacke, als die Regierung auf COVID-19 reagieren wollte.
Cyberattack hits U.S. health department amid coronavirus crisis
(Reuters) – The U.S. Department of Health and Human Services, a key part of the federal response to the fast-spreading
coronavirus outbreak, was hit by an unspecified “cyber incident” on Sunday, officials said on Monday. HHS Secretary
Alex Azar said there was “no data breach.” National Security Council spokesman John Ullyot said HHS networks “are
functioning normally at this time” and that officials are investigating the matter. Department spokeswoman Caitlin Oakley
said there was a “significant increase in activity on HHS cyber infrastructure” on Sunday but that HHS was “fully opera-
tional.” Neither Ullyot nor Oakley gave other details as to the nature of the problem. Bloomberg News, citing unnamed
sources, said there had been multiple hacking incidents that appeared aimed at slowing the department’s systems. On
Twitter, a Bloomberg reporter said the incident involved “overloading the HHS servers with millions of hits” – an apparent
reference to a denial-of-service in which a fire hose of digital traffic is directed toward a website in a bid to knock it offline.
Such incidents are common and rarely bring down government sites. The department website appeared to be accessible
on Monday. Bloomberg tied the incident to the release of a statement by the National Security Council just before mid-
night on Sunday that denied rumors of a national quarantine, saying that text messages suggesting otherwise were fake.
“There is no national lockdown,” said the statement, which was posted to Twitter.It is not immediately clear how the de-
nial of service would have been related to the fake quarantine rumors. Reacting to the report, Senator Ben Sasse of Ne-
braska said that Americans “should expect an increase in cyberattacks and stay vigilant” as the nation increasingly be-
comes absorbed in the fight against the virus.
Einige Hackergruppen versprechen, keine (weiteren) Cyberangriffe auf das Gesundheitswesen zu starten während der
COVID-19-Krise. Bleiben wir gespannt, ob Solidarität auch diese Grenze zu überwinden vermag.
Nachfolgend finden Sie einige Tipps, wie Sie trotz Home Office sicher mit dem Firmennetzwerk verbunden bleiben können.
DOSSIER: Checkliste «Sicheres Home Office»
DATUM: März 2020 2|71 – VORKEHRUNGEN DURCH DIE IT-ABTEILUNG
Security Awareness
1. Datenschutz gilt auch im Home Office (Data Privacy).
2. Aktuell besonders wichtig: Die Mitarbeitenden vor den Gefahren von Phishing warnen, denn es kursieren diverse
Phishing-E-Mails im Zusammenhang mit dem Coronavirus.
3. Zugangsdaten dürfen nicht gemeinsam genutzt werden.
4. Geräte des Arbeitgebers sind für die Tätigkeiten im Home Office reserviert. Privates Surfen im Internet oder Streamen
von Musik und Filmen sind zu unterlassen. (Gefahr einer Malware-Infektion und unnötige Verschwendung von Band-
breiten)
5. Malware-Infektionen sind unverzüglich dem IT-Support zu melden.
Mehr über Security Awareness sowie ein Poster zur Erkennung von Phishing-Mails finden Sie übrigens auf unserer Website:
SECURITY AWARENESS
Technische Vorkehrungen
6. Stellen Sie sicher, dass der Virenschutz installiert, aktiviert und vollständig aktualisiert ist.
7. Aktivieren Sie die Client Firewall des Betriebssystems oder des EPP, z.B. über Group Policy Object (GPO).
8. Geräte (Desktop, Laptop, Smartphones etc.) und Speichermedien, die ausserhalb des Firmennetzwerkes verwendet
werden, sollten über eine Verschlüsselung verfügen (z.B. BitLocker).
9. Stellen Sie sicher, dass alle Patches (Client und Server) zeitnahe installiert werden.
10. Überprüfen Sie alle Sicherheitssysteme regelmässig und aktualisieren Sie diese vollständig, z.B. Datenschutz-Tools,
Add-ons für Browser etc.
11. Legen Sie eine Backup-Strategie fest und vergessen Sie dabei folgendes nicht: Alle wichtigen Dateien sollten regelmäs-
sig gesichert werden. Stellen Sie sich vor, Sie würden Opfer einer Ransomware-Attacke und alle Ihre Dateien sind ver-
schlüsselt. Sollen Sie die Lösegeldforderung zahlen oder nicht? Ohne (offline) Backup eine schwierige Frage.
12. Remote-Zugriffe auf Anwendungen (u.a. VPN, Outlook Web Access, Web Services etc.) sowie auf das Unternehmens-
netzwerk aus dem Home Office nur mit einer Multi-Faktor-Authentisierung (MFA) zulassen, wie unter anderem:
o OTP (One-Time Password)
o Software Token (Authenticator App)
13. Erzwingen Sie mit technischen Mitteln starke Passwörtern und unterbinden Sie die Möglichkeit von Passwortsequenzen
(Passwort_A, Passwort_B etc.)
14. Prüfen Sie die Group Policy-Richtlinien auf ihre Wirksamkeit und passen Sie diese falls notwendig an.
15. Netzwerkverkehr und Log-Protokolle sollten Sie verstärkt auf Anomalien und IOC (Indication of Compromise) überwa-
chen.
16. Stellen Sie sicher, dass Sie eine sichere Verbindung zu Ihrer Arbeitsumgebung verwenden, z.B. VPN oder VDI mit
MFA.
DOSSIER: Checkliste «Sicheres Home Office»
DATUM: März 2020 3|717. Bei Verwendung einer VDI-Umgebung schränken Sie die Funktionalitäten ein. Nach Möglichkeit unterbinden Sie folgen-
des:
o Up- / Download von Dateien
o Einschränkung Datenaustausch über «Zwischenablage» / Umleitung der Client-Zwischenablage
o Das Starten nicht veröffentlichter Programme während der Client-Verbindung
o Automatische Client-Wiederverbindung
o Umleitung von Browser-Inhalten
o Minimale Verschlüsselungsstufe
o USB-Geräte
o etc.
18. Verwenden Sie eine aktuelle Browser-Version.
19. Erweitern Sie das Vulnerability Management und Scanning auch auf neu geschaffene Zugänge.
20. Berücksichtigen Sie die Empfehlungen der Hersteller für die SICHERE Konfiguration der Komponenten.
21. Unterstützen Sie Ihre Mitarbeitenden beim sicheren Konfigurieren der WLAN-Netzwerke im Home Office
22. Mitarbeitende, welche aus dem Home Office beim Service-Desk anrufen, um ihr Passwort zurückzustellen, müssen
eindeutig identifiziert werden.
Gibt es auch Dinge, die man vermeiden sollte? Ja natürlich! Zum Beispiel folgendes:
23. Vermeiden Sie die Verwendung von Remote Desktop Protocol (RDP). RDP ist nicht für eine direkte Kommunikation
über das Internet geeignet.
24. Vermeiden Sie Massnahmen, für welche Ihnen das entsprechende Wissen fehlt oder holen Sie Unterstützung von Ex-
perten.
DOSSIER: Checkliste «Sicheres Home Office»
DATUM: März 2020 4|72 – VORKEHRUNGEN DURCH DIE MITARBEITENDEN
Die Gestaltung des Arbeitsplatzes im Home Office
1. Die Bildschirmposition so wählen, dass niemand – weder Familienangehörige noch Fremde (z.B. der Nachbar durch die
Fensterfront) – Informationen ungehindert einsehen kann.
2. Wenn nötig, verwenden Sie einen Privacy-Filter. (Auch empfehlenswert für das Arbeiten unterwegs.)
3. Firmengeräte (Desktop, Laptop und Handy) sollten weder Kindern noch anderen Familienangehörigen zugänglich ge-
macht werden (NDAs gelten auch im Home Office!).
4. Stellen Sie sicher, dass Ihre private Wi-Fi-Verbindung sicher ist. Die meisten Wi-Fi-Verbindungen sind zwar korrekt ge-
sichert; insbesondere ältere Installationen können jedoch Schwachstellen aufweisen, was bedeutet, dass Personen in
der Nähe den Datenverkehr möglicherweise ausspionieren können.
Das Verhalten im Home Office
5. Bildschirmsperre bei jedem Verlassen des Gerätes aktivieren.
6. Keine sensiblen Daten unverschlüsselt oder ungeschützt per E-Mail versenden.
7. Keine geschäftlichen Informationen über private E-Mail-Konten versenden.
8. Keine Informationen im Home Office offen herumliegen lassen, z.B. ausgedruckte Dokumente. Jegliche Daten / Infor-
mationen sollten vor Familienangehörigen geschützt werden.
Telefon- / Video-Konferenz aus dem Home Office
9. Mikrofon auf stumm schalten, wenn es nicht verwendet wird.
10. Nur mit einem Headset, Kopfhörer oder dem Smartphone telefonieren – nicht den Lautsprecher im Laptop verwenden.
11. Kamera standardmässig deaktiviert und, falls möglich, immer abgedeckt lassen. Dies schont nicht nur die Bandbreite,
sondern verhindert auch, dass allenfalls sensitive Informationen eingesehen werden können.
12. Arbeitsplatz während einer aktiven Telefon- / Video-Konferenz nicht verlassen.
13. Keine Gespräche – egal ob Konferenz oder Telefon – im Freien (Balkon / Öffentlichkeit) führen.
14. Vorsicht beim Screen-Sharing. Achten Sie darauf, welche Inhalte Sie für andere Teilnehmer sichtbar machen.
DOSSIER: Checkliste «Sicheres Home Office»
DATUM: März 2020 5|73 – HINWEISE FÜR DAS MANAGEMENT
Besonders für Mitarbeitende, die oft im Home Office arbeiten, muss das Management auch aus der Distanz präsent sein.
Dasselbe gilt natürlich umso mehr in Ausnahmesituationen wie aktuell dem Coronavirus. Folgende Tipps helfen:
1. Kommunizieren Sie regelmässig mit den Mitarbeitenden:
o Über den Status Quo / Neuigkeiten
o Über die Massnahmen, die getroffen werden / wurden
o Über den angemessenen Umgang Problemen
o Informieren Sie über Notfallverfahren, Öffnungszeiten und Meldewege
2. Räumen Sie dem Aufbau von SICHEREN Remote Access-Lösungen (Fernzugriffslösungen) für Home Office eine ange-
messene Priorität ein. Die Arbeitgeber sollten zumindest MFA und sichere Zugänge (im wesentlichen Verschlüsselung)
bereitstellen.
3. Stellen Sie virtuelle Lösungen bereit, z.B. die Verwendung von elektronischen Signaturen und virtuellen Genehmigungs-
Workflows, um eine kontinuierliche Funktionalität zu gewährleisten.
4. Stellen Sie eine angemessene Unterstützung im Falle von Problemen sicher. Möglicherweise müssen dazu spezielle
Rotations- / Schicht-Pläne für das Personal erstellt werden.
5. Definieren Sie ein klares Verfahren, welches in einem Sicherheitsvorfall einzuhalten ist.
6. Erwägen Sie – wo sinnvoll und möglich – den Zugang zu sensiblen Systemen einzuschränken.
Das BAG empfiehlt, dass die Mitarbeitenden in der aktuellen Lage eine direkte Zusammenarbeit oder das gemeinsame Nut-
zen von Räume vermeiden sollten. Soziale Distanzierung ist extrem wichtig, um die Verbreitung des Virus zu verlangsamen!
Helfen Sie mit, Ihre Mitarbeitenden zu schützen. Wir helfen Ihnen, Daten und System zu schützen!
Wir hoffen, dass Ihnen die Tipps in der aktuellen Situation helfen. Sollten Sie Fragen haben oder Hilfe beim Umsetzen von
Massnahmen benötigen, sind unsere Cyber Security-Experten gerne für Sie da!
KONTAKT AUFNEHMEN
DOSSIER: Checkliste «Sicheres Home Office»
DATUM: März 2020 6|7INFOGUARD – SWISS CYBER SECURITY
InfoGuard ist der Schweizer Experte für umfassende Cyber Security. Unsere über 150 Sicherheitsspezialisten in Zug und
Bern sorgen tagtäglich für die Informationssicherheit bei über 300 Kunden in der Schweiz. Wir bieten Ihnen ein ganzheitliches
Lösungsangebot für die Umsetzung und Stärkung Ihrer Cyber Security und Cyber Defence.
SECURITY CONSULTING SERVICES
Risiken erkennen und beherrschen
Ob Cyber Security, Governance, Risk & Compliance oder Cyber Risk Resilience: Die wachsen-
den Herausforderungen lassen sich nur mit einer ganzheitlichen Cyber Security-Strategie meis-
tern. Das modular aufgebaute Dienstleistungsangebot von InfoGuard berücksichtigt Technolo-
gien, Prozesse und Ihre Mitarbeitenden gleichermassen. Die langjährige Erfahrung im Bereich
der Sicherheitsberatung nach ISO 2700x und NIST, Penetration Testing, Attack Simulation sowie
Security Awareness und die erstklassigen Kompetenzen unserer Spezialisten stellen das rei-
bungslose Zusammenspiel aller Elemente sicher.
NETWORK & SECURITY SOLUTIONS
ICT-Infrastrukturen optimieren und schützen
Effiziente Netzwerk- und Security-Infrastrukturen müssen das Optimum aus Performance, Sicher-
heit und Kosten erreichen. Das gelingt nur, wenn alle Komponenten perfekt aufeinander abge-
stimmt sind. InfoGuard bietet ein vollständiges Portfolio führender Netzwerk- und Security-Lösun-
gen für konventionelle, hoch virtualisierte sowie Cloud-Infrastrukturen. Dafür arbeiten wir in jedem
Teilgebiet mit den jeweils besten Herstellern zusammen. Unsere erfahrenen und zertifizierten Ex-
perten unterstützen Sie im ganzen Lebenszyklus Ihrer Investitionen – von der Architektur und
dem Design über das Engineering und die Integration bis hin zum Betrieb.
CYBER DEFENCE SERVICES
Cyberattacken erkennen und eliminieren
Unternehmen müssen heutzutage davon ausgehen, dass Cyberangriffe nicht nur stattfinden, son-
dern auch erfolgreich sind. Deshalb sind wirkungsvolle Abwehrmassnahmen kombiniert mit Ser- InfoGuard AG
vices zur Erkennung und Bewältigung von Vorfällen immer wichtiger. In unserem ISO 27001 zerti- Lindenstrasse 10
6340 Baar / Schweiz
fizierten Cyber Defence Center in der Schweiz bündeln wir erstklassiges Fachwissen und hoch-
Tel +41 41 749 19 00
entwickelte Technologien mit der langjährigen Erfahrung unserer Security-Experten und Threat-
Fax +41 41 749 19 10
Analysten. Unsere umfassenden Cyber Defence Services schützen Ihre On-Premise-, Cloud-,
info@infoguard.ch
IoT- und OT-Infrastrukturen rund um die Uhr.
InfoGuard AG
Office Bern
Stauffacherstrasse 141
3014 Bern / Schweiz
Tel +41 31 556 19 00
DOSSIER: Checkliste «Sicheres Home Office»
DATUM: März 2020 7|7Sie können auch lesen
