LIGHTFIELD STUDIOS - stock.adobe

Home-Office: Risiken für Storage und Daten minimieren

Viele Firmen haben Mitarbeiter, die von zu Hause aus arbeiten. Dabei sollten sie auf Sicherheits- und Schulungsvorkehrungen achten, die für Remote-Arbeit erforderlich sind.

Amazon kündigte an, dass das Unternehmen seine Richtlinie zur Arbeit von zu Hause aus bis Januar 2021 verlängert und damit einen Trend fortsetzt, den viele Unternehmen seit dem Ausbruch von COVID-19 übernommen haben. Es scheint, als ob auch andere Unternehmen dem Beispiel von Amazon folgen werden, und dass die Heimarbeit zu einem irreversiblen festen Bestandteil der Arbeitswelt wird.

Dieser steile Anstieg an Remote-Mitarbeitern bringt einige Herausforderungen mit sich, vor allem wenn es um den Datenschutz und potenzielle Datensicherheitsrisiken geht. Der Schutz von Daten innerhalb einer sicheren Unternehmensumgebung ist schon schwierig genug. Aus der Ferne zu arbeiten, kann selbst für die zuverlässigsten Sicherheitsteams eine Herausforderung sein.

Mitarbeiter, die von zu Hause aus arbeiten, bringen zahlreiche Risiken für ruhende (data at rest) und bewegte Daten (data in motion) mit sich, und Unternehmen müssen alle notwendigen Maßnahmen ergreifen, um sensible Daten zu schützen und Compliance-Verstöße zu verhindern.

Diese Risiken für Daten und Speicher verursachen Remote-Mitarbeiter

Das Verhalten der Mitarbeiter wird von Organisationen oft als das schwächste Glied bei der Data Protection angesehen. Wenn Mitarbeiter außerhalb des Büros arbeiten, kann dieses Glied noch weiter geschwächt werden, insbesondere bei einer plötzlichen Zunahme von Mitarbeitern, die von zu Hause aus arbeiten.

Abbildung 1: Heimmitarbeiter können Daten und Speicher gefährden
Abbildung 1: Heimmitarbeiter können Daten und Speicher gefährden

Die damit verbundenen Datensicherheitsrisiken können in die folgenden sechs Kategorien eingeteilt werden:

  • Angestellte, die in weniger sicheren Umgebungen arbeiten. Obwohl einige Work-from-Home (WFH)-Mitarbeiter ihr Zuhause abgesichert haben, haben viele dies nicht getan, was eine Vielzahl von Angriffsflächen eröffnet, die von Wi-Fi-Druckern bis hin zu den Webschnittstellen reichen können, die sie zur Verwaltung ihrer Router verwenden. Manche Leute vergeben schwache Passwörter für ihre Wi-Fi-Netzwerke oder verwenden überhaupt keine Passwörter. Die physische Sicherheit kann nahezu nicht vorhanden sein, da Türen unverschlossen oder Fenster halb geöffnet sind. Außerdem ist die Wahrscheinlichkeit, dass Heimcomputer mit Malware infiziert werden, höher als bei Systemen innerhalb der Unternehmensfirewall.

  • Die Grenzen zwischen Arbeitsplatz und Zuhause verwischen. Mit der plötzlichen Verlagerung zur Heimarbeit nutzen immer mehr Menschen ihre privaten Geräte, um ihre Arbeit zu erledigen. Sie kaufen ein, schreiben SMS an Freunde, mailen an Verwandte und suchen im Internet auf denselben Computern, auf denen sie vertrauliche Daten verarbeiten. Selbst wenn sie auf Firmengeräten arbeiten, ist es wahrscheinlicher, dass sie persönliche Aufgaben erledigen, wenn sie von zu Hause aus arbeiten. Soziale Netzwerke können ein besonders großes Datensicherheitsrisiko darstellen, da die Mitarbeiter immer laxer mit den Informationen umgehen, die sie online teilen.

  • Arbeitnehmer neigen eher dazu, Anwendungen und Dienste zu missbrauchen. Eines der größten Probleme ist die Schatten-IT, bei der die Mitarbeiter ihre eigenen Anwendungen oder Dienste auswählen, anstatt die von der IT-Abteilung genehmigten, um ihre Aufgaben schneller und effizienter zu erledigen. Beispielsweise könnten sie sensible Daten auf einer nicht genehmigten Cloud-Plattform speichern oder genehmigten Cloud-Speicher verwenden, aber den Dienst falsch konfigurieren oder niemanden darüber informieren, dass die Daten sich an anderer Stelle befinden. WFH-Mitarbeiter könnten auch über nicht sanktionierte Dienste miteinander zusammenarbeiten und sensible Daten über ungesicherte Kanäle austauschen.

  • Mitarbeiter, die zu Hause arbeiten, nehmen eher legereArbeitsgewohnheiten an. Sie könnten mehr Dateien herunterladen, als sie auf einmal benötigen, oder sie könnten es versäumen, ihre Daten regelmäßig hochzuladen oder zu sichern. Manche lassen ihre Geräte und Peripheriegeräte unverschlossen herumliegen oder teilen sie mit anderen Personen im Haushalt. Vielleicht gehen sie auch unachtsam mit gedruckten Dokumenten um, oder sie teilen ihre Zugangsdaten mit anderen Mitarbeitern, um ein Projekt zu beschleunigen.

  • Die Menschen passen sich neuen Arbeitsweisen an. Viele Mitarbeiter sind es wahrscheinlich nicht gewohnt, zu Hause zu arbeiten. Aber auch diejenigen, die es sind, müssen möglicherweise neue Wege lernen, ihre Aufgaben zu erledigen. Sie könnten mit zahlreichen Ablenkungen konfrontiert werden, zum Beispiel wenn die Kinder von der Schule oder der Kindertagesstätte nach Hause kommen. Unter solchen Bedingungen ist es leicht, Fehler zu machen. Sie könnten beispielsweise E-Mails mit sensiblen Daten an die falschen Empfänger senden oder sie könnten anfälliger für Social-Engineering-Versuche wie Phishing sein. Gleichzeitig stehen viele unter erheblichem Druck, ihre Arbeit zu erledigen, während sie nicht über angemessene Richtlinien, Policies oder Schulungen verfügen, wie man Daten sicher speichert und überträgt, wenn man von zu Hause aus arbeitet.

  • Insider haben mehr Möglichkeiten, bösartiges Verhalten auszuführen. Sicherheitsteams haben es schwerer, WFH-Mitarbeiter zu erwischen, die versuchen, Daten oder geistiges Eigentum zu stehlen, weil die Teams weniger Einblick in das haben, was Mitarbeiter zu Hause tun. Gleichzeitig können die aktuellen Umstände zu einer verärgerten Belegschaft führen, da sie mit begrenzten Arbeitszeiten, geringerer Vergütung und Unsicherheit über ihre Zukunft konfrontiert sind. Diese Frustration kann sich in mehr Versuchen niederschlagen, sensible Daten zu stehlen.

Minimierung der Risiken für Storage und Daten

IT-Teams können Maßnahmen ergreifen, um die Speicher- und Datensicherheitsrisiken zu minimieren, die mit WFH-Mitarbeitern einhergehen. Obwohl die genauen Schutzmaßnahmen von den jeweiligen Umständen abhängen, können die Schritte selbst in die folgenden Kategorien eingeteilt werden:

Implementieren Sie Schutzmaßnahmen für Endgeräte

Wenn möglich, sollten Unternehmen ihren Heimarbeitern Firmengeräte zur Verfügung stellen, die die IT-Abteilung verwalten und vollständig absichern kann. Sie müssen dies jedoch so tun, dass die Privatsphäre der Mitarbeiter nicht verletzt wird, wie es die geltenden Compliance-Vorschriften vorsehen. Wenn ein Unternehmen seinen WFH-Mitarbeitern keine Geräte zur Verfügung stellen kann, sollte die IT-Abteilung sicherstellen, dass die Mitarbeiter über die notwendigen Sicherheitsvorkehrungen verfügen, um ihre persönlichen Geräte zu schützen, zum Bespiel mit Antimalware-Software oder die Möglichkeit, Firewall-Schutz zu aktivieren.

Data at rest und data in motion absichern

Daten müssen verschlüsselt werden, wann immer sie übertragen werden und wo immer sie sich befinden, wobei stets die besten Praktiken für die Speichersicherheit anzuwenden sind. Wenn Mitarbeiter ihre eigenen Computer verwenden, sollten sie von einem Mitarbeiter der IT-Abteilung eingewiesen werden, wie sie Verschlüsselung implementieren. Unternehmen könnten auch erwägen, Daten vor der Übertragung mit Pseudonymen zu versehen, um persönliche Informationen zu entfernen, die Einzelpersonen identifizieren könnten. Darüber hinaus sollten die IT-Teams den Mitarbeitern VPNs zur Verfügung stellen und Virtualisierungstechnologien wie virtuelle Desktop-Infrastrukturen implementieren, wo dies möglich und sinnvoll ist.

Starre Zugriffskontrollen implementieren

Ein umfassendes Identitäts- und Zugriffsmanagement-Framework ist für die Kontrolle des Benutzerzugriffs auf sensible Daten unerlässlich. IT-Teams sollten das Prinzip der geringsten Privilegien anwenden, wenn sie Zugriff auf Speicherressourcen oder andere Ressourcen gewähren, und Strategien wie strenge Passwortrichtlinien, Zwei-Faktor-Authentifizierung und, wo möglich, biometrische Authentifizierung anwenden. Sie sollten auch die gemeinsame Nutzung von Anmeldeinformationen und anderes riskantes Verhalten überwachen. Darüber hinaus sollten Unternehmen eine Passwortverwaltung in Erwägung ziehen, um die Benutzer bei der Speicherung und Generierung ihrer Passwörter zu unterstützen.

Stellen Sie den Mitarbeitern die benötigten Tools zur Verfügung

Wenn WFH-Mitarbeiter das haben, was sie brauchen, um ihre Arbeit zu erledigen, ist die Wahrscheinlichkeit geringer, dass sie Schatten-IT einsetzen oder andere Optionen nutzen. Die IT-Abteilung sollte sicherstellen, dass die Mitarbeiter problemlos auf ihre Dokumente zugreifen und effektiv zusammenarbeiten können, ohne sensible Daten auf ihren lokalen Systemen speichern zu müssen. Zu diesem Zweck könnten Unternehmen zentralisierte Cloud-Speicher oder Kollaborationsplattformen oder ähnliche Dienste in Betracht ziehen, die in ihren eigenen Rechenzentren untergebracht sind. Sie sollten auch sicherstellen, dass zentralisierte Backup- und Disaster-Recovery-Dienste vorhanden sind, um den WFH-Betrieb zu unterstützen.

Stellen Sie der IT die benötigten Tools zur Verfügung

Ohne die richtigen Werkzeuge können Administratoren ihre Daten nicht effektiv schützen. Ein IT-Team könnte zum Beispiel von einer einheitlichen Endpunktverwaltung profitieren. Außerdem muss die IT-Abteilung in der Lage sein, den Dateizugriff zu prüfen, Bedrohungen zu überwachen, Warnungen bei verdächtigen Anmeldeaktivitäten zu setzen, E-Mails zu scannen und verschiedene andere Operationen durchzuführen. Darüber hinaus sollte die IT-Abteilung in der Lage sein, Remote-Systeme zu patchen und zu kontrollieren, welche Software die Mitarbeiter auf den unternehmenseigenen Geräten installieren, und sie benötigt Tools zur Verfolgung und Inventarisierung dieser Geräte.

Mitarbeiter auf das Arbeiten zu Hause vorbereiten

Je besser die Mitarbeiter auf die Arbeit zu Hause vorbereitet sind, desto effektiver werden sie sensible Daten schützen. Unternehmen sollten ihren Mitarbeitern eine klare Anleitung geben, wie sie ihre Daten schützen können und was auf dem Spiel steht, wenn sie es nicht tun. Richtiges Training sollte oberste Priorität haben, damit jeder die WFH-Richtlinien des Unternehmens versteht und weiß, was akzeptables Verhalten ist. Das Ziel ist es, ihnen zu helfen, sichere Arbeitsgewohnheiten zu entwickeln, und ihnen gleichzeitig das Feedback und die Unterstützung zu geben, die sie brauchen, um diese Gewohnheiten zu fördern.

Wenn WFH-Mitarbeiter das haben, was sie brauchen, um ihre Arbeit zu erledigen, ist die Wahrscheinlichkeit geringer, dass sie Schatten-IT einsetzen oder andere Optionen nutzen.

Erfahren Sie mehr über Cloud Storage