#3 Datensicherheit im Homeoffice: diese Punkte solltest Du beachten
Ausgangssperren, Kontaktverbote und Quarantäne – Die Corona-Pandemie zwingt uns dazu, sowohl im privaten als auch im geschäftlichen Bereich viele Dinge neu zu organisieren. Tausende sitzen jetzt mit ihren Notebooks im Homeoffice, anstatt die professionelle IT-Infrastruktur des Büros nutzen zu können. Das ist eine gute Maßnahme, um die Pandemie einzudämmen – aber auch ein Sicherheitsrisiko für Non-Profit-Organisationen und Unternehmen. Unverschlüsselte Daten, Passwörter und interne Dokumente könnten leicht in die Hände von Hackern fallen, wenn Du grundlegende Sicherheitsaspekte nicht berücksichtigst. Wir haben langjährige Erfahrung mit Remote-Arbeiten und teilen hier unsere Tipps zum sicheren Arbeiten im Homeoffice:
Regel Nr. 1: Trennung von Privatem und Beruflichem – auch bei der Hardware
Sofern Du und Deine Kollegen ohnehin schon mit Notebooks ausgestattet seid, fällt Euch die Umstellung auf ein sicheres Homeoffice etwas leichter. Auch wenn die finanziellen Mittel da sind, die nötige Hardware jetzt anzuschaffen, ist schon viel gewonnen. Doch nicht jede Non-Profit-Organisation kann sich das derzeit leisten. Viele greifen also auf private Geräte zurück. So oder so – in jedem Fall gilt es, unbedingt Homeoffice-Regel Nr. 1 zu beachten: Trenne private Belange von beruflichen!
Einerseits hilft das dabei, sich ausschließlich auf die Arbeit zu fokussieren und nicht von privaten E-Mails, dem eigenen Facebook-Account oder anderen Dingen abgelenkt zu werden. Andererseits können so nicht versehentlich interne Excel-Files im privaten Webspace landen oder Mails vom Chef über den Sport-Club-Verteiler weitergeleitet werden. Eine saubere Trennung von privaten und beruflichen Inhalten ist der erste, wichtige Schritt für sicheres Arbeiten von Zuhause. Privates hat auf dem Firmenrechner nichts zu suchen.
Wenn es Dir aktuell nicht möglich ist, alle Mitarbeiter mit Notebooks, Headsets und Mobiltelefonen auszustatten, kann natürlich auch mit den privaten Geräten gearbeitet werden. Um eine bestmögliche Trennung von Privatem und Beruflichem umzusetzen, ist es allerdings ratsam, einen zweiten Benutzer-Account für die Arbeit anzulegen. Am sichersten ist es, diesen Account als normalen Anwendungsbenutzer zu konfigurieren – also einen Benutzer ohne Administratoren-Rechte. So ist sichergestellt, dass Schadsoftware nicht auf geschützte Bereiche zugreifen kann.
Regel Nr. 2: Niemals ohne Hardwareverschlüsselung
Was für digitale Nomaden zum Standard gehört, sollte auch im Homeoffice beachtet werden. Notebooks, externe Festplatten und USB-Sticks sollten standardmäßig immer verschlüsselt sein. So hat man im Falle eines Verlustes oder Diebstahls zwar immer noch die Hardwarekosten zu tragen, aber größere Schäden durch Datenklau oder die Veröffentlichung von Internas können eingegrenzt werden. Stell Dir zum Beispiel vor, dass eine im Klartext gespeicherte Spender-Statistik vom geklauten Notebook ins Web gestellt wird. Neben einer Untersuchung durch die Bundesdatenschutzbehörde und einem etwaigen – nicht zu unterschätzenden – Bußgeld musst Du auch mit einem großen Vertrauensverlust bei Deinen Spendern rechnen!
Wir verwenden zur Absicherung unserer Windows-Hardware die Software Bitlocker, bei unseren MacOS-Systemen nutzen wir das integrierte FileVault.
Regel Nr. 3: Verwende Virenscanner, Firewall und Malware-Erkennungssoftware
Auch wenn es heutzutage eigentlich selbstverständlich sein sollte, weisen wir an dieser Stelle explizit auf die Wichtigkeit von Viren- und Malwarescannern hin. Jeder Rechner und jeder Benutzeraccount sollte immer durch ein entsprechendes Programm mit aktuellen Signaturen – also mit täglichen Auto-Updates – gesichert sein. Außerdem sollte die Firewall eingeschaltet sein und den Datenverkehr möglichst restriktiv handhaben.
Für uns hat sich bei Macs die externe Firewall Little Snitch bewährt. Sie fragt uns bei jeder eingehenden, aber vor allem auch bei ausgehenden Verbindungen, ob man dies überhaupt zulassen möchte. Dabei sind wir schon auf wirklich interessante Zusammenhänge gestoßen!
Regel Nr. 4: Erstelle sichere Passwörter und verwende praktische Passwort-Tools
Dieses Thema hat natürlich immer Relevanz – nicht nur im Homeoffice. Sichere Passwörter sollten ein essentieller Bestandteil jeder IT-Infrastruktur sein. Dafür haben wir bei Wikando ein umfangreiches Regelwerk erstellt:
- Jedes Passwort darf nur einmal für einen Dienst verwendet werden.
- Jedes Passwort muss mindestens 32 Zeichen lang sein, Sonderzeichen, Groß- und Kleinschreibung sowie Zahlen enthalten.
- Besonders wichtige Passwörter setzen sich aus einem mind. 8-stelligen Passwort-Präfix (das nur der Mitarbeiter kennt) sowie einem 32-stelligen, hardware-generierten Passwort-Teil zusammen.
Als besonders wichtige Passwörter stufen wir vor allem E-Mail, PC- und Backup-Passwörter ein. Wenn Du Dir jetzt denkst: „Wer soll sich denn all diese komplizierten Passwörter merken?“, bist Du damit nicht alleine. Auch wir standen vor diesem Problem und haben eine nutzerfreundliche Lösung gefunden: Passwortmanager. Diese Programme ermöglichen es, Passwort-Monster einfach zu verwalten. Wir verwenden das Programm LastPass. Damit kannst Du mit einem Klick sichere Passwörter nach den obigen Vorgaben erstellen und sicher abspeichern. Außerdem ist es möglich, sich mit nur einem Klick automatisch in einen Service einzuloggen.
Ein besonders nützliches Feature bei diesem Programm ist die Möglichkeit, globale Firmenaccounts mit den Mitarbeitern zu teilen, ohne dass diese das Passwort einsehen können. Gerade für strikte DSGVO-Vorgaben ist das von großem Vorteil. Gleichzeitig kann der Administrator darüber informiert werden, wenn Nutzer keine sicheren Passwörter verwenden und proaktiv tätig werden.
Weitere Passwortmanager mit ähnlichem Funktionsumfang sind u.a. 1Passwort oder Dashlane.
Regel Nr. 5: Nutze die Zwei-Faktor-Authentifizierung
Spätestens seitdem alle Zahlungsdienstleister in Europa im Rahmen der starken Kundenauthentifizierungauf die Zwei-Faktor-Authentifizierung (2FA) eingeführt haben, ist diese Absicherung wahrscheinlich für jeden ein Begriff. Dieses Verfahren setzt auf mehrere, voneinander unabhängige Authentifizierungswege. Wer sich nochmals einen Überblick verschaffen will, kann dies über unseren damaligen Beitrag zu Strong Customer Authentication machen.
Was für Online-Zahlungen vorgeschrieben ist, empfehlen wir auch für alle möglichen Cloud-Dienste: aktiviere wenn möglich die 2-Faktor-Authentifizierung. Dazu findest Du bei vielen Diensten die Möglichkeit einen zweiten Faktor über die Software Google Authenticator hinzuzufügen. Auch den Hardware-Token Yubikey kann man aktivieren. Selbstverständlich unterstützt die FundraisingBox beide Möglichkeiten. Wer super sicher sein will, kann beide Verfahren gleichzeitig verwenden.
Wenn Du aktuell neue Software oder Services – z.B. für die Nutzung im Homeoffice – einführst, ist es ratsam, dass 2FA als Auswahlkriterium mit aufgenommen wird.
Mit Sicherheit sicher
Wenn Du diese fünf Regeln befolgst, kannst Du sicher und entspannt Dein Homeoffice antreten. Welche Programme sich für uns als Remote-Unternehmen als äußerst nützlich erwiesen haben, liest Du hier: Mit der richtigen Software zum produktiven Homeoffice. Auch unsere Tipps zu Hardware, Zugängen und WLAN haben wir für Dich zusammengefasst.
Weitere Tipps und Empfehlungen folgen in den kommenden Tagen, schau wieder rein!