Sicher von zu Hause arbeiten – eine Anleitung für Chief Information Security Officers

Eine Frau sitzt zu Hause auf ihrem Sofa und führt eine Telefonbesprechung mit ihrem Laptop durch.

Durch den weltweiten Ausbruch von COVID-19 suchen immer mehr Unternehmen nach einer Lösung, wie Zusammenarbeit auch im Homeoffice und aus der Ferne reibungsfrei gelingen kann. Bei Microsoft haben die Gesundheit und die Sicherheit unserer Beschäftigten, Kunden und unseres Partnernetzwerks höchste Priorität. Wir möchten Unternehmen dabei helfen, ihren Beschäftigten Homeoffice zu ermöglichen – ohne das Risiko eines Cyberangriffs zu erhöhen. Basierend auf unserer Erfahrung stehen wir ihnen dabei beratend mit Technologie, nützlichen Tipps und Ressourcen zur Seite.

Wenn Organisationen über Nacht beginnen, dezentral zu arbeiten, und kaum Zeit bleibt, detaillierte Pläne zu erstellen oder Pilotprojekte durchzuführen, müssen sich Chief Information Security Officers (CISOs) und Administratoren dringend mit neuen Szenarien und Angriffsvektoren befassen. Auf Basis unserer Erfahrungen in der Zusammenarbeit mit Kundinnen und Kunden, die sich schnell in neue Arbeitsumgebungen einfinden mussten, möchte ich euch einige bewährte Vorgehensweisen vorstellen, die zum bestmöglichen Schutz beitragen.

Sicher in der Krise: Kurzfristige Empfehlungen für CISOs

Die Aktivierung bzw. der Rollout offizieller Chat-Tools gibt den Beschäftigten eine Orientierung, wie sie sich virtuell zusammenfinden können. Wir stellen euch dafür zwei Möglichkeiten zur Auswahl: Die sechs Monate kostenlose Office 365 E1-Lizenz, die auch Teams umfasst, oder die kostenlose Teams-Version. Diese ist normalerweise in der Anzahl der Nutzer pro Team beschränkt – dieses Limit haben wir aufgrund der aktuellen Lage aufgehoben, um Teams möglichst vielen Menschen und Organisationen zugänglich zu machen.

Egal, für welche Option ihr euch entscheidet, diese Anleitung unterstützt eure Beschäftigten bei der Arbeit mit Teams im Homeoffice. Zusätzlich möchte ich euch den Open for Business Hub empfehlen, der Tools von verschiedenen Anbietern auflistet, die für kleine Unternehmen während des Covid-19-Ausbruchs kostenlos sind. Unabhängig davon, welche Software ihr nutzen möchtet, stellt sie euren Teams mit Azure Active Directory (Azure AD) zur Verfügung und richtet Single-Sign-On ein. Keine Sorge: Auf diese Weise werden keine Download-Links per E-Mail verschickt, die dazu führen könnten, dass Nutzerinnen und Nutzer auf Phishing-E-Mails reinfallen. Zusätzlich könnt ihr mit der Einrichtung einer Multi-Faktor-Authentifizierung über Azure Active Directory die Accounts der Nutzerinnen und Nutzer noch besser schützen. Die kostenlose Microsoft Authenticator-App ermöglicht eine zweistufige Überprüfung mit Hilfe von Smartphone, Fingerabdruck, Gesichtserkennung und PIN.

Ihr könnt den Zugriff auf Cloud-Anwendungen mit Azure AD Conditional Access sichern und diese Anmeldungen mit Sicherheitsvorgaben schützen. Bei Microsoft setzen wir hierbei auf Zero Trust. Kurz gesagt: Wir trauen erstmal nichts und niemandem. Stattdessen schützen und verifizieren wir Systeme bereits im Vorhinein. Nutzerinnen und Nutzer erhalten nur Zugriff, nachdem wir mehrere Faktoren kontrolliert haben. So können wir sicherstellen, dass es sich um den richtigen Nutzer, das richtige Gerät und die richtige Applikation handelt. Denkt daran, alle bereits festgelegten Richtlinien zu prüfen. So könnt ihr sicherstellen, dass ihr den Zugang für Beschäftigte im Homeoffice nicht blockiert. Hier findet ihr Tipps für die sichere Zusammenarbeit mit Partnerinnen und Partnern sowie Lieferantinnen und Lieferanten.

Azure AD Application Proxy veröffentlicht lokale Anwendungen, die auch aus der Distanz verfügbar sind. Nutzt ihr ein veraltetes Gateway? Wir unterstützen mehrere Partnerlösungen mit sicherem Hybridzugang für Azure AD.

Auch wenn viele Beschäftigte ihre Arbeitslaptops auch im Homeoffice nutzen, werden Unternehmen in dieser Zeit verstärkt Zugriff auf Unternehmensdaten von privaten Geräten registrieren. Die gemeinsame Verwendung von Azure AD Conditional Access und Microsoft Intune App-Schutzrichtlinien hilft bei der Verwaltung und Sicherung von Unternehmensdaten in genehmigten Apps auf privaten Geräten, sodass die Mitarbeiterinnen und MItarbeiter produktiv arbeiten können.

Intune erkennt automatisch neue Geräte, wenn sich Nutzerinnen und Nutzer mit ihnen verbinden. Es fordert sie auf, das Gerät zu registrieren und sich mit den entsprechenden Firmendaten anzumelden. Ihr könnt noch mehr Geräteoptionen verwalten, etwa das Einschalten von BitLocker oder das Erzwingen der Passwortlänge, ohne die persönlichen Daten der Benutzerinnen und Benutzer zu beeinträchtigen. Bitte geht verantwortungsvoll mit den Änderungen um! Stellt sicher, dass ein echtes Risiko besteht, statt Richtlinien festzulegen, nur weil sie verfügbar sind.

In der Tech Community könnt ihr mehr darüber lesen, wie Azure AD sichere Arbeit aus der Ferne ermöglichen kann.

Multi-Faktor-Authentifizierung für mehr Sicherheit im Homeoffice

Es wird euch wenig überraschen, denn wir haben es hier schon an vielen Stelle geschrieben und gesagt: Multi-Faktor-Authentifizierung (MFA) sollte immer und jederzeit aktiviert sein. MFA einzuschalten, ist das Beste, was ihr für die Sicherheit der Beschäftigten zu Hause tun könnt. Sollte es keine Pläne dafür geben, macht es zu einem Notfall-Pilotprojekt. Stellt sicher, dass Mitarbeiterinnen und Mitarbeiter, die bei der Aktivierung der MFA feststecken, Unterstützung bekommen. Da ihr dieser Tage wahrscheinlich keine Hardware-Sicherheitsgeräte verteilen könnt, verwendet einfach Windows Hello mit Biometrie oder Microsoft Authenticator für Smartphones.

Langfristige Empfehlungen für CISOs

Längerfristig empfehle ich Sicherheitsbeauftragten, ein Programm zum Auffinden und Kennzeichnen der wichtigsten Daten in Betracht zu ziehen, wie z.B. Azure Information Protection. So könnt ihr ihre Nutzung verfolgen und überprüfen, auch wenn die Beschäftigten von zu Hause arbeiten. Wir dürfen nicht davon ausgehen, dass alle Netzwerke wirklich sicher sind, oder dass alle Mitarbeiterinnen und Mitarbeiter tatsächlich im Homeoffice sind, wenn sie aus der Ferne arbeiten.

Verfolgt euren Microsoft Secure Score, um zu sehen, wie sich das dezentrale Arbeiten auf die Compliance- und die Risikobewertung auswirkt. Verwendet Microsoft Defender Advanced Threat Protection (ATP), um nach Angreifern zu suchen, die sich als Beschäftigte im Homeoffice ausgeben. Beachtet aber, dass Zugriffsrichtlinien, die nach Änderungen der Benutzerroutinen suchen, auch vor eigentlich legitimen Anmeldungen von zu Hause oder aus Cafés warnen können.

So könnt ihr euren Beschäftigten noch besser helfen – Tools, Transparenz, Aktualität:

In Zeiten, in denen immer mehr Unternehmen auf Fernarbeiten setzen müssen, brauchen die Beschäftigten mehr Unterstützung als nur die Bereitstellung von Werkzeugen und die Durchsetzung von Richtlinien. Optimal helfen könnt ihr ihnen mit einer Kombination aus Tools, Transparenz und Aktualität sein.

Im Homeoffice haben Beschäftigte Zugriff auf Daten, Informationen und das Unternehmensnetzwerk. Das ruft Angreifer auf den Plan. Warnt daher die Mitarbeiterinnen und Mitarbeiter, dass sie mit mehr Phishing-Versuchen rechnen müssen – vor allem auch dem gezieltem Spear-Phishing, das auf hochkarätige Nutzerinnen und Nutzer abzielt. Sorgfalt ist das Gebot der Stunde, also achtet auf dringende Fälle, die gegen die Unternehmensrichtlinien verstoßen, eine emotionale Sprache verwenden oder durch Fehler und Unstimmigkeiten auffallen – und teilt den Beschäftigten mit, wo sie verdächtige Nachrichten melden können.

Die Einführung einer klaren Kommunikationspolitik hilft den Beschäftigten, offizielle Nachrichten zu erkennen. Beispielsweise sind Videos schwerer zu verfälschen als E-Mails: Ein offizieller Kanal wie Microsoft Stream kann die Wahrscheinlichkeit von Phishing verringern und verbindet Mitarbeiterinnen und Mitarbeiter in der Ferne miteinander. Das Streaming bzw. die Aufzeichnung solcher Videos hilft ihnen auch dabei, Beruf und Privatleben besser miteinander zu vereinen – Schul- und Kita-Schließungen verändern ihren gewohnten Tagesrhythmus, aufgezeichnete Videos können sie anschauen, wann es ihr #worklifeflow am besten zulässt.

Warum eine transparente Kommunikationspolitik entscheidend für die IT-Sicherheit ist

Einige unserer erfolgreichsten Kundinnen und Kunden gehören auch zu unseren transparentesten. Durch die Bereitstellung klarer und grundlegender Informationen, einschließlich der Frage, wie Beschäftigte ihre Geräte schützen können, helft ihr euch und euren Kolleginnen und Kollegen, den Bedrohungen einen Schritt voraus zu sein.

Helft euren Teams etwa zu verstehen, warum das Herunterladen und Verwenden von privaten oder kostenlosen VPNs eine schlechte Idee ist. Diese Verbindungen können vertrauliche Informationen aus dem Unternehmensnetzwerk extrahieren, ohne dass die Beschäftigten es bemerken. Bietet ihnen stattdessen eine Anleitung an, wie sie ein unternehmenseigenes VPN nutzen können.

Die Beschäftigten brauchen ein grundlegendes Verständnis der Richtlinien für die Zugangskontrolle und Anforderungen an ihre Geräte, um eine Verbindung zum Unternehmensnetzwerk herzustellen, wie etwa einen aktuellen Anti-Malware-Schutz. Auf diese Weise verstehen sie besser, wieso ihr Zugang blockiert ist und wie sie die benötigte Unterstützung erhalten können.

Von zu Hause aus zu arbeiten bedeutet nicht, isoliert zu sein. Ihr könnt euren Teams versichern, dass sie auch im Homeoffice weiterhin sozial integriert sind, mit ihren Kolleginnen und Kollegen in Kontakt bleiben können und trotzdem zur Sicherheit des Unternehmens beitragen. Lest auf dem Microsoft 365-Blog mehr darüber, wie eure Beschäftigten und natürlich auch ihr selbst produktiv bleiben könnt, während ihr aus der Ferne arbeitet.


Ein Beitrag von Stratos Komotoglou
Senior Subsidiary Product Marketing Manager Microsoft 365 Security bei Microsoft Deutschland

Profilbild Stratos Komotoglou

Tags: , , , ,

Weitere Infos zu diesem Thema

6. März 2020
Unser Engagement für Kunden während des Ausbruchs von COVID-19

Der Ausbruch von COVID-19 wirkt sich auf das Leben von Menschen weltweit aus. Wir wollen Microsoft Teams so vielen Menschen wie möglich zur Verfügung stellen und die öffentliche Gesundheit und Sicherheit unterstützen, indem wir Teams miteinander verbinden, die räumlich getrennt voneinander arbeiten.

13. März 2020
Homeoffice

Unser Ziel ist es, für die gesamte globale Wirtschaft sicher zu stellen, dass Beschäftigte aus der Ferne arbeiten können, ohne dabei auf Zusammenarbeit, Produktivität oder Sicherheit zu verzichten.

13. März 2020
Technischer Support

Viele Menschen – seien es Büroangestellte oder Studierende – arbeiten in diesen Tagen von zu Hause, zum Teil zum ersten Mal. Wir unterstützen unsere Kunden und wollen mögliche Probleme bei der Einführung unserer Tools reduzieren und helfen, sie so gut wie möglich nutzen zu können.