ENISA: Tipps für das Home Office

ENISA: Tipps für das Home Office

04/2020

 

Sicherheit ist auch jetzt zu berücksichtigen

Eine der wichtigsten Präventivmaßnahmen gegen die Ausbreitung von Covid-19 ist die soziale Distanzierung. Glücklicherweise können wir in dieser zunehmend vernetzten Welt unser Berufs- und Privatleben virtuell weiterführen.  Da jedoch die Zahl der Menschen, die remote arbeiten, stark zunimmt, ist es von entscheidender Bedeutung, dass wir auch auf unsere Cyber-Hygiene achten.

 

1- Empfehlungen für Arbeitgeber und Mitarbeitende

Die folgenden Empfehlungen für die Aufrechterhaltung eines angemessenen Niveaus der Cybersicherheit bei der Telearbeit werden in Empfehlungen für die Arbeitgeber und für das Personal bei der Telearbeit unterteilt.

 

Empfehlungen für Arbeitgeber

  1. Stellen Sie sicher, dass die VPN-Lösung des Unternehmens skalierbar ist und eine große Anzahl von gleichzeitigen Verbindungen aufrechterhalten kann.
  2. Stellen Sie sichere Videokonferenzen für Firmenkunden bereit (sowohl Audio- als auch Videofunktionen).
  3. Alle Geschäftsanwendungen des Unternehmens dürfen nur über verschlüsselte Kommunikationskanäle (SSL VPN, IPSec VPN) zugänglich sein.
  4. Der Zugang zu den Anwendungsportalen sollte mit Hilfe von Multifaktor-Authentifizierungsmechanismen gesichert werden
  5. Verhindern Sie, dass die Schnittstellen für den Fernzugriff auf das System (z.B. RDP) direkt dem Internet ausgesetzt werden.
  6. Gegenseitige Authentifizierung wird beim Zugriff auf Unternehmenssysteme bevorzugt (z.B. Client zu Server und Server zu Client).
  7. Stellen Sie den Mitarbeitenden während der Telearbeit nach Möglichkeit Firmencomputer/-geräte zur Verfügung; stellen Sie sicher, dass diese Computer/Geräte über aktuelle Sicherheitssoftware und Sicherheitspatch-Level verfügen und dass die Benutzer regelmässig daran erinnert werden, den Patch-Level zu überprüfen. Es ist ratsam, dass auch ein Austauschprogramm für ausgefallene Geräte vorhanden ist.
  8. BYOD (Bringen Sie Ihr eigenes Gerät mit), wie z.B. persönliche Laptops oder mobile Geräte, müssen vom Sicherheitsstandpunkt aus unter Verwendung von NAC-, NAP-Plattformen überprüft werden. (z.B. Patch-Prüfung, Konfigurationsprüfung, AV-Prüfung usw.).
  9. Stellen Sie sicher, dass angemessene IT-Ressourcen vorhanden sind, um das Personal bei technischen Problemen während der Telearbeit zu unterstützen; stellen Sie dem Personal relevante Informationen, z.B. über Kontaktstellen, zur Verfügung
  10. Stellen Sie sicher, dass Richtlinien für die Reaktion auf Sicherheitsvorfälle und Verletzungen der Sicherheit der personenbezogenen Daten vorhanden sind und dass das Personal angemessen darüber informiert wird.
  11. Stellen Sie sicher, dass jegliche Verarbeitung von Personaldaten durch den Arbeitgeber im Rahmen der Telearbeit (z.B. Zeiterfassung) mit dem EU-Rechtsrahmen für den Datenschutz in Einklang steht

 

Telearbeit-Empfehlungen für Mitarbeitende

  1. Verwenden Sie nach Möglichkeit Firmencomputer (und nicht Privatcomputer) - es sei denn, BYOD wurde gemäß dem relevanten Punkt in Abschnitt 1 oben überprüft. Vermischen Sie so weit wie möglich nicht Arbeit und Freizeitaktivitäten auf demselben Gerät und seien Sie besonders vorsichtig mit Mails, die sich auf den Coronavirus beziehen.
  2. Verbinden Sie sich mit dem Internet über sichere Netzwerke; vermeiden Sie offene/kostenlose Netzwerke. Die meisten Wifi-Systeme zu Hause sind heutzutage korrekt abgesichert, einige ältere Installationen sind es aber möglicherweise nicht. Bei einer unsicheren Verbindung können Personen in der Nähe Ihren Datenverkehr ausspionieren (Personen mit mehr technischem Know-how könnten die Verbindung kapern). Abgesehen davon ist das Risiko nicht viel höher als bei der Verwendung öffentlicher "offener Netzwerke", abgesehen von der Tatsache, dass sich die Menschen vermutlich lange Zeit am selben Ort aufhalten werden. Die Lösung besteht darin, die Verschlüsselung zu aktivieren, falls dies noch nicht geschehen ist, und/oder eine neuere Implementierung zu übernehmen. Beachten Sie, dass dieses Risiko durch die Verwendung einer sicheren Verbindung zum Büro etwas gemildert wird.
  3. Vermeiden Sie den Austausch von sensiblen Unternehmensinformationen (z.B. per E-Mail) über möglicherweise unsichere Verbindungen.
  4. Nutzen Sie so weit wie möglich die Intranet-Ressourcen des Unternehmens, um Arbeitsdateien auszutauschen. Dadurch wird einerseits sichergestellt, dass die Arbeitsdateien auf dem neuesten Stand sind, und gleichzeitig wird der Austausch sensibler Informationen über lokale Geräte vermieden.
  5. Seien Sie besonders vorsichtig mit allen E-Mails, die sich auf den Corona-Virus beziehen, da es sich dabei um Phishing-Versuche oder Betrug handeln kann (siehe unten). Im Falle von Zweifeln an der Legitimität einer E-Mail wenden Sie sich an den Sicherheitsbeauftragten der Organisation.
  6. Daten im Ruhezustand, z.B. lokale Laufwerke, sollten verschlüsselt werden (dies schützt vor Diebstahl/Verlust des Gerätes).
  7. Antivirus-/Antimalware muss installiert sein und vollständig aktualisiert sein.
  8. Das System (Betriebssystem und verwendete Anwendungen sowie das Antiviren-System) muss auf dem neuesten Stand sein.
  9. Sperren Sie Ihren Bildschirm, wenn Sie in einem gemeinsam genutzten Raum arbeiten (Sie sollten Co-Working oder gemeinsam genutzte Räume in diesem Moment wirklich vermeiden. Denken Sie daran, dass soziale Distanzierung äußerst wichtig ist, um die Verbreitung des Virus zu verlangsamen).
  10. Geben Sie die URLs der virtuellen Sitzungen nicht über soziale Medien oder andere öffentliche Kanäle weiter. (Unbefugte Dritte könnten auf diese Weise auf private Treffen zugreifen.)

 

2- Phishing-Versuche in Verbindung mit COVID-19

Es ist wichtig, das Bewusstsein für die digitale Sicherheit in dieser Zeit zu stärken, da wir bereits eine Zunahme von Phishing-Angriffen erlebt haben. Die Angreifer nutzen die Situation aus, also achten Sie auf Phishing-E-Mails und Betrügereien.

In der gegenwärtigen Situation sollte man bei E-Mails, die darum bitten, Ihre Anmeldeinformationen zu überprüfen oder zu erneuern, misstrauisch sein, auch wenn sie von einer vertrauenswürdigen Quelle zu stammen scheinen. Bitte versuchen Sie, die Authentizität der Anfrage auf andere Weise zu überprüfen, klicken Sie nicht auf verdächtige Links oder öffnen Sie keine verdächtigen Anhänge.

  • Seien Sie sehr misstrauisch gegenüber Mails von Personen, die Sie nicht kennen - besonders wenn sie um eine Verbindung zu Links oder um das Öffnen von Dateien bitten (rufen Sie im Zweifelsfall Ihren Sicherheitsbeauftragten an).
  • Mails, die ein Bild von Dringlichkeit oder schwerwiegenden Konsequenzen vermitteln, sind Schlüsselkandidaten für Phishing - in diesen Fällen sollten Sie immer über einen externen Kanal überprüfen, bevor Sie die Anforderungen erfüllen.
  • E-Mails, die von Personen gesendet werden, die Sie kennen, die aber nach ungewöhnlichen Dingen fragen, sind ebenfalls verdächtig - überprüfen Sie sie wenn möglich telefonisch.

 

bow; Abgerufen am 24.03.2020 von: https://www.enisa.europa.eu/tips-for-cybersecurity-when-working-from-home

 


Swiss Infosec AG; 01.04.2020
Kompetenzzentrum Datenschutz, +41 41 984 12 12, infosec@infosec.ch

 

datenschutz fingerabdruck

 

Datenschutz

Datenschutz greift auch in unsere Lebensprozesse ein

 

Datenschutz ist allgegenwärtig und begleitet uns im Berufsalltag wie auch im Privatleben. Erfahren Sie bei uns alles über Beratung, Ausbildung und Services im Fachbereich Datenschutz und wie wir Sie als erfahrene Datenschutzspezialisten unterstützen können.

 

Kontaktieren Sie uns, denn wir wissen, welche Daten wie zu schützen sind! Wir beraten Sie gerne. +41 41 984 12 12, infosec@infosec.ch

 

Mehr