blackzheep - stock.adobe.com

Checkliste für Netzwerk-Compliance bei Remote-Arbeit

Diese Netzwerk-Compliance-Checkliste für Remote-Arbeit enthält unter anderem Best Practices für Remote-Richtlinien und -Verfahren sowie Helpdesk-Unterstützung und Datensicherung.

Remote Work (auch Remote-Arbeit, Telearbeit oder Fernarbeit genannt) ist eine attraktive Alternative zur Arbeit vor Ort. Zudem stellt sie eine wichtige Option für Unternehmen dar, wenn im Katastrophenfall der Betrieb gestört oder unterbrochen wird. Die Flexibilität, Mitarbeiter schnell von Präsenz- auf Fernarbeit umzustellen, ist Teil der Resilienzstrategie eines Unternehmens.

Der Erfolg und die Akzeptanz von Remote-Arbeit sind vor allem den Fortschritten in der Netzwerktechnologie, etwa VPNs, dem Internet und einer verbesserten Netzwerksicherheit, zu verdanken. Die Netzwerkkonnektivität ist das Bindeglied, das Remote-Arbeit möglich macht. Dieser Trend zu Fernarbeit erfordert kontinuierliche Verbesserungen bei der Netzwerk-Compliance, insbesondere im Hinblick auf die Herausforderungen, sichere und resiliente Netzwerke zu gewährleisten.

Dieser Artikel untersucht die Compliance-Probleme, mit denen Netzwerkexperten im Zusammenhang mit Remote-Arbeit konfrontiert sind, und bietet Einblicke in relevante Strategien für Netzwerksicherheit und regulatorische Aspekte.

Herausforderungen durch Remote-Arbeit

Durch die Zunahme der Fernarbeit kommt es zu einem Konflikt zwischen traditionellen Netzwerkperimetern und der Konnektivität von verschiedenen Standorten aus. So müssen sich Netzwerkmanager mit Geräten im Heimnetzwerk, der Verwendung persönlicher und möglicherweise ungeschützter Computer sowie dem erhöhten Potenzial für Sicherheitslücken auseinandersetzen, wenn Remote-Verbindungen unzureichend abgesichert sind. Netzwerkmanagementteams müssen Konnektivitätsprobleme nun auf Grundlage verschiedener Standards und Frameworks in den Griff bekommen.

Diesen Teams stehen jedoch viele verschiedene Produkte und Services zur Verfügung, um sichere Remote-Work-Umgebungen einzurichten. Netzwerkprotokolle und Geräte, die in Unternehmensnetzwerken zum Einsatz kommen, eignen sich ebenfalls für die Remote-Arbeit. Die Herausforderung besteht darin, stabile, durchsetzbare Richtlinien und Verfahren zur Verwaltung von Remote-Geräten festzulegen.

Die vier wichtigsten Punkte einer Netzwerk-Checkliste für Remote-Arbeit.
Abbildung 1: Die vier wichtigsten Punkte einer Netzwerk-Checkliste für Remote-Arbeit.

Checkliste für Netzwerkkonnektivität und Sicherheits-Compliance

Die aktuellen Netzwerkstandards und -protokolle gelten auch für Remote-Arbeit. Somit müssen die Netzwerkteams entscheiden, welche Konfiguration für die Remote-Konnektivität am sinnvollsten ist. Außerdem gilt es zu berücksichtigen, auf welche Ressourcen die Mitarbeiter Zugriff haben, wenn sie aus der Ferne arbeiten.

In einer Remote-Arbeitsumgebung müssen die folgenden Elemente Teil einer Gesamtstrategie und eines Gesamtprogramms sein. Weitere Punkte werden in der zugehörigen Checkliste beschrieben.

  • Sicherheit: Sicherheit ist vielleicht das wichtigste Thema, wenn es um die Bereitstellung und Verwaltung einer Remote-Work-Infrastruktur geht.
  • Skalierbare Netzwerkinfrastruktur: Die Remote-Kommunikation erfordert eine skalierbare Netzwerkinfrastruktur. Zu dieser Skalierbarkeit gehört eine ausreichende Bandbreite, um Video, E-Mail, Sprache, Messaging sowie Wireless- und Remote-Zugriff auf Systeme zu gewährleisten.
  • Richtlinien für den Remote-Zugriff: Die Netzwerkteams müssen Richtlinien für den Fernzugriff festlegen. Diese Richtlinien regeln die Nutzung von persönlichen Geräten, die Art der Kommunikationsressourcen am Remote-Standort, den Zugriff auf Unternehmensressourcen und die zu verwendenden Technologietypen (etwa Router, VoIP und Collaboration Tools). Außerdem enthalten sind Netzwerkmanagement und -diagnose, Datenschutzaspekte sowie die Verhinderung von Cyberangriffen und anderen Sicherheitslücken.
  • Verfahren für die Remote-Arbeit: Unternehmen müssen zudem Prozesse für die Remote-Arbeit aufsetzen. Das betrifft unter anderem den Fernzugriff auf Ressourcen, die Meldung von Problemen an einen Helpdesk, Konfiguration und Testen persönlicher Geräte sowie die Reaktion auf verdächtige Aktivitäten.

Die folgende Checkliste behandelt die wichtigsten Probleme der Netzwerk-Compliance für Remote-Work-Umgebungen.

Checklistenpunkt

Zu ergreifende Maßnahmen

Management des Remote-Work-Programms.

Erstellen Sie ein Remote-Work-Programm mit Zustimmung der Geschäftsleitung. Bilden Sie Teams, um es zu verwalten, zum Beispiel aus der IT- und HR-Abteilung. Beachten Sie, dass der Betriebsrat nach dem Betriebsverfassungsgesetz ein Mitbestimmungsrecht hat.

Remote-Work-Richtlinien für Mitarbeiter und externe Personen festlegen.

Erarbeiten Sie Remote-Work-Richtlinien für die folgenden Bereiche:

  • Gerätetechnologie.
  • Netzwerktechnologie.
  • Sicherheitstechnologie.
  • Datenmanagement.
  • Netzwerkmanagement.
  • Tests.
  • Schulung und Awareness-Training der Mitarbeiter.
  • Remote-Zugriff auf Unternehmensressourcen.
  • Helpdesk-Unterstützung.
  • Reaktion auf Vorfälle (Incident Response)
  • Personalführung.

Planen Sie außerdem eine regelmäßige Überprüfung der Richtlinien ein.

Remote-Work-Verfahren für Mitarbeiter und externe Personen festlegen.

Entwickeln, vereinbaren und dokumentieren Sie Verfahren für die folgenden Bereiche:

  • Remote-Arbeitsumgebungen.
  • Nutzung persönlicher Geräte und deren Konfiguration.
  • Nutzung der vom Unternehmen bereitgestellten Systeme anstelle von persönlichen Geräten.
  • Gerätekonfiguration.
  • Netzwerkkonfiguration.
  • Sicherheitsmanagement.
  • Remote-Zugriff auf Unternehmensressourcen.
  • Datensicherung und -wiederherstellung.
  • Datenschutz.
  • Helpdesk-Unterstützung.
  • Incident Response.

Planen Sie regelmäßige Überprüfungen der Verfahren ein.

Remote-Netzwerkdienste.

Berücksichtigen Sie die folgenden Bereiche:

  • VPNs.
  • Internetzugang.
  • Zugang zu internen Unternehmensnetzwerken.
  • Zugang über Cloud-Services.
  • Zugang über ein VoIP-System.

Grundlegende Netzwerksicherheit.

Berücksichtigen Sie die folgenden Bereiche:

  • Ende-zu-Ende-Verschlüsselung.
  • Anti-Phishing- und Malware-Software.
  • Ransomware-Software.
  • IDS/IPS.
  • Firewalls.
  • Antivirensoftware.
  • Patching.
  • Penetrationstests.

Remote-Netzwerksicherheit.

Berücksichtigen Sie die folgenden Bereiche:

  • Ende-zu-Ende-Verschlüsselung.
  • Anti-Phishing- und Malware-Software.
  • Ransomware-Software.
  • IDS/IPS.
  • Firewalls.
  • Antivirensoftware.
  • Patching.
  • Penetrationstests.

Netzwerk-Performance-Management.

Überprüfen Sie die Netzwerkleistung möglichst rund um die Uhr unter Berücksichtigung der folgenden Faktoren:

  • Ausreichende Bandbreite.
  • Datendurchsatz.
  • Latenz.
  • Unterbrechungen.
  • Ausfälle lokaler Carrier.
  • Ausfälle von WAN-Carriern.
  • ISP-Ausfälle.
Achten Sie darauf, dass die Geräte-Patches auf dem neuesten Stand sind. Prüfen Sie auch, ob genügend Lizenzen vorhanden sind, wenn VPNs genutzt werden. Informieren Sie sich über die Disaster-Recovery-Pläne der Carrier für eventuelle Ausfälle.

Patch-Management.

Stellen Sie sicher, dass Patches bei Bedarf eingespielt werden. Erstellen Sie ein Patch-Management-Programm, um zu gewährleisten, dass dies geschieht.

Endpunktsicherheit.

Sorgen Sie dafür, dass auf den Geräten die aktuellste Sicherheitssoftware installiert ist, unter anderem für:

  • Verschlüsselung.
  • Malware-Schutz.
  • Ransomware-Schutz.
  • Virenschutz.
  • Firewalls.

Nutzung persönlicher Geräte (BYOD-Richtlinien).

Stellen Sie sicher, dass die IT-Mitarbeiter die Geräte überprüfen und dass Sicherheits-Apps installiert sind, die den Sicherheitsrichtlinien des Unternehmens entsprechen. Führen Sie Tests durch, um zu kontrollieren, ob die Sicherheitsfunktionen korrekt eingerichtet sind. Führen Sie regelmäßig Penetrationstests durch, um die Compliance zu gewährleisten.

Nutzung von Firmengeräten.

Konfigurieren Sie Geräte für die Remote-Nutzung (zum Beispiel Notebooks) mit der passenden Sicherheits- und Zugangskontrollsoftware sowie den entsprechenden Richtlinien. Führen Sie Tests durch, wenn die Geräte installiert sind, um die Kontrollen zu überprüfen. Nehmen Sie regelmäßig Penetrationstests vor, um sicherzustellen, dass die Firmengeräte nicht kompromittiert wurden.

Remote-Access-Kontrollen.

Sorgen Sie dafür, dass der Remote-Zugriff entsprechend den Unternehmensrichtlinien erfolgt. Dazu gehören:

  • Passwörter.
  • Rollenbasierter Zugriff.
  • Multi-Faktor-Authentifizierung.
  • Protokolle.

Verschlüsselung.

Nutzen Sie Verschlüsselung auf Grundlage der Unternehmensrichtlinien, etwa Ende-zu-Ende-Verschlüsselung, Verschlüsselung für Data at Rest und Verschlüsselung für Data in Motion. Aktivieren Sie Sicherheitsvorkehrungen für Geräte, die remote verwendet werden.

Collaboration-Ressourcen.

Vergewissern Sie sich, dass die folgenden Tools korrekt installiert und die Sicherheitsfunktionen aktiviert sind:

  • Collaboration Tools für Video, wie Google Meet, Microsoft Teams und Zoom.
  • Messaging-Dienste und Kommunikations-Tools, beispielsweise Slack.
  • E-Mail-Programme, etwa Outlook und Gmail.
  • Filesharing-Software, zum Beispiel Dropbox, Google Drive und OneDrive.

Datensicherheit und Datenschutz.

Sorgen Sie dafür, dass Daten in einer sicheren Umgebung gespeichert werden können, so dass nur Personen mit entsprechender Berechtigung darauf Zugriff haben. Legen Sie Richtlinien für den Datenschutz und das Datenmanagement fest, um dies zu unterstützen.

Datensicherung und -wiederherstellung.

Sichern Sie insbesondere personenbezogene Daten auf einem geschützten lokalen oder externen Storage-System. Die Daten müssen sich im Notfall leicht wiederherstellen und abrufen lassen, etwa wenn sie bei einem Cyberangriff gestohlen oder beschädigt wurden.

Incident Detection and Response.

Remote-Nutzer müssen in der Lage sein, einen Helpdesk oder andere Ressourcen zu kontaktieren, wenn sie System- oder Netzwerkprobleme feststellen oder einen Sicherheitsverstoß vermuten. Erstellen Sie formelle Incident-Response- und Helpdesk-Protokolle, und nehmen Sie diese in die Remote-Work-Richtlinien auf.

Schulung und Awareness-Training für Mitarbeiter und externe Personen.

Informieren Sie die Remote-Mitarbeiter regelmäßig über technische und sonstige Entwicklungen. Erstellen Sie Schulungsprogramme für Remote-Mitarbeiter, die unternehmenseigene und private Geräte verwenden, um ihnen zu vermitteln, wie der Zugriff auf Unternehmensressourcen erfolgt. Ermitteln Sie alle Probleme, die sich im Rahmen der Schulung ergeben. Integrieren Sie die Schulungen in das Mitarbeiter-Onboarding, und passen Sie sie in regelmäßigen Abständen oder bei technologischen Änderungen an.

Audits.

Stimmen Sie sich mit internen oder externen Auditoren ab, wenn Sie Audits für Remote-Arbeit planen. Sammeln Sie Nachweise mithilfe der folgenden Werkzeuge:

  • Penetrationstests.
  • Netzwerk- und Systemprotokolle.
  • Remote-Monitoring-Systeme.

Identifizieren Sie die zu prüfenden Kontrollen, und untersuchen Sie die folgenden Bereiche:

  • Einhaltung der Richtlinien durch Remote-Nutzer.
  • Einhaltung der wichtigsten Standards und Vorschriften zum Datenschutz.
  • Berichte über Störungen und Sicherheitsverletzungen.

Tests.

Führen Sie Tests auf Firmen- und Mitarbeitergeräten durch, um einen ordnungsgemäßen Betrieb zu gewährleisten. Testen Sie alle neuen Netzwerkressourcen, bevor Sie diese für Remote-Mitarbeiter bereitstellen.

Incident Response.

Legen Sie einen Prozess fest, mit dem Sie auf Probleme reagieren können, die Remote-Mitarbeiter mit einem Gerät oder dem Zugriff auf Netzwerkdienste beziehungsweise Unternehmensressourcen melden. Stimmen Sie sich mit einem Helpdesk oder einem anderen Service ab, der Probleme aufnimmt.

Disaster Recovery.

Erarbeiten Sie ein Protokoll, mit dem Sie Remote-Mitarbeiter über Störungen am Hauptsitz des Unternehmens oder im Rechenzentrum informieren. Erläutern Sie, welche Schritte zu unternehmen sind, wenn der normale Betrieb wieder aufgenommen werden kann. Informieren Sie die Remote-Nutzer, sich bei Problemen mit Remote-Standorten an den Helpdesk zu wenden. Dokumentieren Sie Verfahren, mit denen Remote-Mitarbeiter auf eine lokale Störung reagieren können, ähnlich wie bei technischen Disaster-Recovery-Plänen für den Hauptsitz und andere wichtige Bürostandorte.

Remote-Arbeit ist nach wie vor ein wesentlicher Bestandteil der aktuellen Unternehmenslandschaft. Diese Checkliste soll dazu beitragen, dass sich Netzwerkteams mit allen Aspekten der Fernarbeit befassen, um eine sichere Umgebung für die Mitarbeiter zu schaffen.

Erfahren Sie mehr über LAN-Design und Netzwerkbetrieb