Was hat Smart Home mit IT-Sicherheit im Homeoffice zu tun?

Nutzen Ihre Mitarbeiter auch private Geräte im Homeoffice, um auf das Unternehmensnetzwerk zuzugreifen? Dagegen ist generell nichts einzuwenden. Erfahrungsgemäß sind jedoch die persönlichen Laptops, Tablets und Smartphones weniger gegen Cybergefahren abgesichert (Passwortschutz, Firewall etc.) als die im Unternehmen genutzten und von der Unternehmens-IT überwachten Firmengeräte. In einer idealen Welt wäre die Zugriffshardware im Homeoffice also vom eigenen Rechner für private Aktivitäten getrennt. Denn neben den fehlenden Sicherheitseinstellungen sind die privaten Geräte im Heimnetzwerk oftmals mit den oftmals leichter angreifbaren Smart Home Anwendungen vernetzt. Mehr zu Cyberangriffe und Netzwerküberwachung

Kosten versus Sicherheit

Trotzdem werden zu einem großen Teil Privatrechner im Homeoffice genutzt. Das liegt sicherlich in einigen Fällen auch am fehlenden Platz für einen zweiten Arbeitsplatz zuhause. Viele Arbeitgeber stellen aber auch gar keine zusätzlichen Firmengeräte für die Arbeit im Homeoffice zur Verfügung –  sei es, um Kosten zu sparen oder weil die passende Hardware, wie zum Beispiel aktuell in Zeiten der Pandemie, auf die Schnelle schlichtweg schwer zu beziehen war. Kostenersparnis sollte hier jedoch nie über Informationssicherheit im Unternehmen und Datenschutz gestellt werden. Der Schaden kann zu groß ausfallen.

 

Unsichere IoT-Geräte im Heimnetzwerk als Einfallstor

Über häufig auftretende IT-Sicherheitslücken in IoT-Geräten können Angreifer in Heimnetzwerke eindringen und dann die damit verbundenen, ungeschützten privaten Geräte kapern. Wenn dann mit dem gleichen Gerät auf die Infrastruktur des Arbeitgebers zugegriffen wird, kann sich Schadsoftware unbemerkt verteilen. Doch damit nicht genug: Auch bei der Rückkehr ins Büro können ungesicherte persönliche Geräte (BYOD) Schadsoftware ins Unternehmensnetzwerk einschleusen. Ähnlich kritisch ist das Verbinden von Firmen-Notebooks mit dem Heimnetzwerk. Zwar sind Firmenrechner in der Regel besser geschützt als private, ein Risiko für Unternehmensdaten und -systeme bleibt jedoch. Dies ist vor allem dann der Fall, wenn die Installation von nicht genehmigten Anwendungen und der Zugriff auf IoT-Geräte im Heimnetzwerk erlaubt sind.

 

Auf die Verbindung kommt es an

Entscheidend für die Risikoeinschätzung ist, inwieweit zwischen den Geräten im Homeoffice und der Firmen-IT eine Verbindung aufgebaut wird, die es einem wie auch immer gearteten Schädling erlaubt, auf diese Weise das Firmennetzwerk zu kompromittieren – und ob Daten aus dem Firmennetzwerk real abfließen.

 

Ein Virtual Private Network (VPN) eignet sich hier nur bedingt, da diese Verbindung in der Praxis oftmals eine direkte Verbindung zwischen dem Heim- und Unternehmensnetz herstellt, die es Schadsoftware erlauben kann, das Firmennetzwerk zu kompromittieren.

 

Der sicherste Remote-Zugriff auf die interne IT eines Unternehmens mit einer klaren Trennung von Heim- und Unternehmensnetz ist und bleibt derzeit eine Terminalserver- oder VDI-Verbindung mit einem dedizierten und abgesicherten Gateway. Diese kann durchaus auch mit privaten Geräten genutzt werden. Idealerweise wird sie ergänzt um eine Zwei-Faktor-Authentifizierung und der Unterbindung von Austausch von Dateien zwischen dem Heim- und Unternehmensnetz.

Ein wichtiger Punkt wird oft übersehen: Oftmals fehlt bei den Mitarbeiter*innen das Bewusstsein für die mit der Arbeit im Homeoffice verbundenen Sicherheitsrisiken. Hier ist der Arbeitgeber in der Pflicht: Spezielle Schulungen und verbindlich kommunizierte Nutzungsregelungen schaffen Transparenz und führen auf Sicht zu mehr Sicherheit für Ihr Unternehmensnetz.