Hände auf einer Tastatur
© YanLev / Shutterstock.com

Sicheres Homeoffice in der Verwaltung

Risiken und Schutzmaßnahmen

Die Corona-Pandemie hat auch in Behörden und Verwaltungen vieles auf den Kopf gestellt. Homeoffice, im Zuge der besseren „Vereinbarkeit von Familie und Beruf“ seit Jahren immer wieder leidenschaftlich diskutiert, war und ist vielerorts plötzlich erstaunlich „unbürokratisch“ und flexibel möglich. Doch dort, wo allzu forsch vorgegangen wurde, können erhebliche Sicherheitsrisiken drohen. Denn auch Hacker und Cyberkriminelle haben natürlich längst auf die veränderte Situation reagiert. Dienstlich genutzte Homeoffice-Arbeitsplätze geraten unter Beschuss. Ist dann der Fernzugriff auf sensible Daten nur unzureichend abgesichert, kann die Katastrophe vorprogrammiert sein.

Paul Marx

Die gute Nachricht ist jedoch: Wer die möglichen Sicherheitsprobleme kennt, kann vorbeugen. Fünf Punkte, auf die in der Verwaltung beim Thema Homeoffice jetzt besonders geachtet werden sollte:

1. Infizierte PCs im Homeoffice

Viele Beschäftigte in der Verwaltung nutzen im Homeoffice ihren privaten Rechner, um auf Daten und Applikationen zuzugreifen. Was aber, wenn der PC oder das Notebook, das auch privat von anderen Familienmitgliedern genutzt wird, mit Schadsoftware infiziert ist? Auch beim Einsatz gängiger Virenscanner kann dies nie gänzlich ausgeschlossen werden. Wichtig ist deshalb, darauf zu achten, dass für den Homeoffice-Einsatz eine speziell abgekapselte Lösung zum Einsatz kommt, die völlig unabhängig von der eigentlich installierten Software arbeitet.
 

© Shutterstock.com

2. Authentifizierung der Benutzer

Ein besonderes Sicherheitsrisiko stellt außerhalb des abgesicherten Behördennetzwerks auch die Anmeldung beziehungsweise Authentifizierung des Benutzers dar. Hier sind definitiv Lösungen anzuraten, die nicht nur auf eine einfache Kombination aus Benutzername und Passwort setzen, sondern mehrere Faktoren ins Spiel bringen: Beispielsweise durch zusätzliche Hardwarekomponenten wie Smartcards oder Token, durch die eine echte Multi-Faktor-Authentisierung realisiert wird.

3. Manipulationen an der Software und gefälschte Updates

Wichtig bei Homeoffice- und Fernzugriffslösungen ist darüber hinaus der Schutz vor Manipulationen. Veränderungen an der Lösung selbst dürfen nicht unentdeckt bleiben. Sinnvoll ist hier beispielsweise der Einsatz von digitalen Signaturen für die einzelnen Softwarekomponenten. Werden diese laufend gegenseitig geprüft, fallen Manipulationen sofort auf und die Verbindung kann automatisiert unterbrochen werden. Im Zuge einer Sicherheitsüberprüfung der Homeoffice-Anbindung müssen auch die Update-Prozesse in den Fokus rücken. Es gilt, zu verhindern, dass Cyberkriminelle beispielsweise manipulierte Updates einschleusen, um Daten abgreifen oder Zugriffsrechte erhalten zu können. Wichtig sind deshalb Prozesse, bei denen vor einer Installation oder Ausführung automatisiert die Quelle und die Integrität von Updates überprüft werden. Dies lässt sich im Rahmen eines zentralen Managements umsetzen, bei dem gleichzeitig die Berechtigung des jeweiligen Users abgefragt wird. So ist sichergestellt, dass ausschließlich legitime Updates verteilt werden – und dass diese auch nur von authentifizierten Benutzern empfangen werden können.


 

Eine eID-Infrastruktur bringt Sicherheit für Bürgerinnen und Bürger sowie Verwaltungen.
© Shutterstock.com

4. Online-Angriffe

Immer dann, wenn Anwender ihre eigenen Endgeräte für den Zugriff auf Behördendaten oder behördliche Applikationen nutzen, muss auch möglichen Online-Angriffen Rechnung getragen werden. Dienstlich genutzte, private Notebooks und Desktop-PCs sind naturgemäß deutlich leichter angreifbar. Denn sie stehen nicht innerhalb einer abgesicherten Umgebung, sondern sind in der Regel über einen (mehr oder weniger aktuellen) Router aus dem Consumer-Segment mit dem Internet verbunden. Sinnvoll sind hier beispielsweise Homeoffice-Lösungen, die für zusätzlichen Schutz über eine eigene, integrierte Firewall verfügen. Zu empfehlen ist in diesem Zusammenhang außerdem, alle TCP/IP- oder Ping-Anfragen grundsätzlich abblocken zu lassen, um Angreifer abzuwehren, die sich im selben Netz befinden, etwa einem potenziell unsicheren Heim-WLAN.

5. Absichtliches oder versehentliches Umgehen durch Beschäftigte

Last but not least muss auch das Sicherheitsrisiko „Anwender“ berücksichtigt werden. Sichere Homeoffice-Lösungen sind so konzipiert, dass sie nicht einfach „umgangen“ werden können und auch „Bedienfehler“ nicht zu riskanten Situationen führen. Dabei sollte keinesfalls immer von einem absichtlichen Vorgehen ausgegangen werden. Gerade weniger IT-affine User könnten eine Homeoffice-Lösung auch versehentlich auf eine Weise nutzen, die Sicherheitsprobleme auf dem Host-System mit sich bringt – und wiederum die Tür für Schadsoftware wie Trojaner oder Keylogger öffnen könnte. Dies lässt sich bei einzelnen Lösungen beispielsweise dadurch verhindern, indem automatisch geprüft wird, ob etwa eine Ausführung innerhalb einer virtuellen Maschine versucht wird.

Der ECOS SECURE BOOT STICK

Sicherer Fernzugriff bis VS-NfD

Wie ein rundum abgesicherter Zugriff aus dem Homeoffice bis zur Geheimhaltungsstufe VS-NfD gelingen kann, zeigt ECOS Technology zum Beispiel mit dem ECOS SECURE BOOT STICK. Statt aufwendig vorkonfigurierte, kostspielige Behörden-Notebooks mit VPN-Zugang auszugeben, wird hier ein Stick verwendet, der sicheres, ortsunabhängiges Arbeiten von beliebigen Rechnern aus ermöglicht. IT-Sicherheitslösungen von ECOS Technology kommen unter anderem bei der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin), bei der Bundesanstalt für Verwaltungsdienstleistungen (BAV), beim Hessischen Ministerium der Justiz oder bei der DVZ Datenverarbeitungszentrum Mecklenburg-Vorpommern GmbH zum Einsatz.

Wir erwarten, dass zu vielen Themen unseres Journals bei Ihnen der Wunsch besteht, sich auszutauschen. Daher planen wir eine Kommentarfunktion für unsere registrierten Leser.