Sicheres Homeoffice E-Book

Glaube dich nicht allzu gut gebettet;

ein gewarnter Mann ist halb gerettet.

Johann Wolfgang von Goethe (1749-1832)

Inhalt

Vorwort

Geleitwort

Einleitung

Motivation und Ziel

Aufbau des Buchs

Sicheres Homeoffice

Einleitung

Homeoffice

Risiko Homeoffice

Gerätesicherheit

Kommunikationssicherheit

Verhaltenssicherheit

Fazit

Verwendete Literatur

Homeoffice Regelungen und Maßnahmen nach BSI Grundschutz

Einleitung

Motivation

Der BSI Grundschutz

Betrachtungen zum BSI Standard 200-1

Allgemeine Betrachtungen

Organisatorische Rahmenbedingungen schaffen

Mitarbeiter sensibilisieren

Incident Management

Informationsfluss

Dokumentation

Analoge Medien

Betrachtung der elementaren Gefährdungen

Katastrophen

Ausfall von Strom oder Internetzugang

Unbefugtes Eindringen in Räumlichkeiten

Diebstahl und Verlust von Geräten

Verlust der Vertraulichkeit

Schadprogramme und Integritätsverlust

Social Engineering

Bausteine speziell für Homeoffice und Mobiles Arbeiten

Fazit

Verwendete Literatur

Kommunikationssicherheit im Homeoffice

Einleitung

Forschungsfrage und Zielsetzung

Methodik und Aufbau

Begriffsdefinitionen und Abgrenzungen

Schutzziele der Informationssicherheit

WLAN-Sicherheit

Wired Equivalent Privacy Protocol (WEP)

Wi-Fi Protected Access (WPA)

Wi-Fi Protected Access 2 (WPA2)

Wi-Fi Protected Access 3 (WPA3)

Wi-Fi Protected Setup (WPS)

Virtual Private Network (VPN)

Site-to-Site-VPN

End-to-Site-VPN

End-to-End-VPN

Kommunikationssicherheit im Homeoffice und in Unternehmen allgemein

Schwachstellenanalyse der Unternehmen im Umgang mit Homeoffice

Homeoffice-Nutzung und IT-Kompetenz der Mitarbeiter deutscher Unternehmen

Schädliche Handlungen in deutschen Unternehmen und in Verbindung mit Homeoffice

Infrastruktur im Homeoffice weltweit mit Fokus auf die Kommunikationssicherheit

Erkenntnisse aus der Schwachstellenanalyse

Optimierungsmaßnahmen

Zusammenfassung und Ausblick

Verwendete Literatur

IT-Verhaltenssicherheit und die Auswirkungen von COVID-19

Einleitung und Kurzfassung

Begriffsdefinition

Social Engineering

Malware

IT-Verhaltenssicherheit

Social Engineering Attacken

Risiken durch COVID-19

Technische Risiken

Soziale Risiken

Fazit: Risiken durch COVID-19

Maßnahmen

Technische Maßnahmen

Soziale Maßnahmen

Fazit

Verwendete Literatur

IT-Sicherheitsherausforderungen in Zeiten von Corona: Data-Leakage-Prevention

Einleitung

Problemstellung

Zielsetzung

Forschungsfrage und Forschungsmethodik

Grundlagen: Data-Leakage-Prevention

Was ist Data-Leakage?

Was ist Data-Leakage-Prevention?

Data-Leakage-Prevention-Verfahren

DLP-Herausforderungen in Zeiten von Corona

Risiken im Homeoffice

Risikofaktor Mitarbeiter/Beschäftigte

IT-infrastrukturelle Risiken

DLP-Lösungen

Technische Lösungen

Organisatorische Lösungen

Fazit und Ausblick

Verwendete Literatur

Digitale Identitäten und deren Entwicklung während der Covid-19 Pandemie

Einleitung

Digitale Identitäten

Klassische Authentifizierungsverfahren

Erweiterte Verfahren

Praktische Implementationen

Einfluss der Covid-19 Pandemie

Herausforderungen

Veränderung der Verfahren

Veränderung der Nutzung

Fazit

Verwendete Literatur

Reife der organisatorischen Sicherheitsanforderungen unter Berücksichtigung von COVID 19

Einleitung

Relevanz der Forschungsfrage

Methodisches Vorgehen

Definitionen

Cybersecurity und Informationssicherheit

Reifegradmodelle

Reifegradmodelle

BSI Reifegradmodell

Systems Security Engineering - Capability Maturity Model

Cybersecurity Maturity Model Certification

Laz’s security maturity hierarchy

Cyber Security Capability Maturity Model

Zusammenfassung der Reifegradmodelle

Cybersicherheit in Bezug auf die COVID 19-Pandemie

Auswirkungen der COVID-19 Pandemie auf die Cybersicherheit

Zwischenstand und Präventionsmaßnahmen

Ansatz der Erweiterung für Reifegradmodelle mit Inkludierung der Präventionsmaßnahmen.

Ausblick und Fazit

Verwendete Literatur

Die Autorinnen und Autoren

Danksagung

Wirtschaftsinformatik an der FH Bielefeld

Markenrechtlicher Hinweis

Die in diesem Band wiedergegebenen Gebrauchsnamen, Handelsnamen, Warenzeichen usw. können auch ohne besondere Kennzeichnung geschützte Marken sein und als solche den gesetzlichen Bestimmungen unterliegen.

Amazon ist eine eingetragene Marke von Amazon.com, Inc.

Microsoft® ist eine eingetragene Marke der Microsoft Corporation.

SAP® und SAP S/4HANA® sind Marken oder eingetragene Marken der SAP SE oder ihrer verbundenen Unternehmen in Deutschland und anderen Ländern.

Sämtliche in diesem Band abgedruckten Bildschirmabzüge unterliegen dem Urheberrecht © des jeweiligen Herstellers.

Hinweis zur Verwendung der männlichen und weiblichen Form

Aus Gründen der besseren Lesbarkeit wird im Folgenden auf die gleichzeitige Verwendung männlicher und weiblicher Sprachformen verzichtet. Sämtliche Personenbezeichnungen gelten gleichwohl für beiderlei Geschlecht.

Vorwort

Zum 1. Februar 2023 hat die NRW-Landesregierung die Maskenpflicht im ÖPNV sowie die Isolierungspflichten für Corona-Infizierte auslaufen lassen. Das Infektionsschutzgesetz gilt noch bis zum 7. April 2023. Ziel ist dabei vor allem der Schutz vulnerabler Gruppen.

Die SARS-CoV-2-Arbeitsschutzverordnung wurde vorzeitig zum 2. Februar 2023 außer Kraft gesetzt. Sie umfasste Sonderregeln, die zum Schutz vor einer Corona-Infektion am Arbeitsplatz galten u.a., dass der Arbeitgeber eine Gefährdungsbeurteilung vornimmt und ein entsprechendes Hygienekonzept erstellt und umsetzt. Konkrete Maßnahmen, wie etwa das Bereitstellen von Tests oder die 3G-Regel galten bereits seit Mai 2022 nicht mehr. Auch die sogenannte Homeoffice-Pflicht gilt seit dieser Zeit nicht mehr.

Trotz des Wegfalls dieser Pflicht haben die vergangenen Pandemie-Jahre die Vorteile der Arbeit im Homeoffice klar verdeutlicht. Nicht nur ist die IT heute auf einem Stand angekommen, der diese Arbeitsform gut praktikabel und ebenfalls komfortabel macht, sondern auch viele vorher beschworene Nachteile der Telearbeit (Remote Work) wurden widerlegt. Viele Arbeitgeber aber auch der Gesetzgeber haben auf diese Entwicklung reagiert und sowohl neue Arbeitsmodelle (New Work) als auch weitere Erleichterungen der Arbeit im Homeoffice eingeführt. Laut einer Erhebung des ifo Instituts aus dem Dezember 2022 lag der Anteil der Beschäftigten der Gesamtwirtschaft in Deutschland, die zumindest teilweise im Homeoffice arbeiten, im Dezember 2022 noch bei rund 25 Prozent. Im Dienstleistungssektor summierte sich dieser Anteil im Dezember sogar auf ca. 36 Prozent.

Änderungs- bzw. Nachbesserungsbedarf gibt es neben einigen rechtlichen Themen wie z. B. dem Arbeitsschutz und der Arbeitszeitgesetzgebung insbesondere noch bei der Informationssicherheit im Homeoffice. Zwar sind wir in den meisten Fällen heute von der plötzlichen Umstellung auf das mobile Arbeiten in 2020 und den insbesondere auf Verfügbarkeit und Fortbestand des Betriebs ausgerichteten und teilweise sehr ungeplanten und wenig durchdachten Maßnahmen weit entfernt, doch die Informationssicherheit stellt weiterhin ein großes Risiko der Arbeit im Homeoffice dar.

Dieses Risiko lässt sich in die drei Kategorien Gerätesicherheit, Kommunikationssicherheit und Verhaltenssicherheit einteilen, die allerdings jede für sich sehr komplex sind und eine Vielzahl von relevanten Aspekten umfassen. Die Beiträge dieses Buches, die in Teilen Ergebnisse eines Masterseminars an der Fachhochschule Bielefeld sind, haben nicht das Ziel, einen vollständigen Überblick zu geben. Vielmehr verdeutlichen sie die Situation in einigen relevanten Teilbereichen der Thematik und sollen damit einen fundierten Ausgangspunkt für Unternehmen bieten, die ihre Informationssicherheit im Homeoffice weiter optimieren wollen.

Abschließend möchte ich als Dozent des Seminars noch anführen, dass ich mich über das Engagement und das große Interesse der beteiligten Studierenden an diesem Thema sehr gefreut habe.

Zu guter Letzt bitte ich unsere Leser um ihre Kritik und Anregungen. Sie erreichen mich per E-Mail unter:

[email protected]

Bielefeld im Februar 2023

Prof. Dr. Achim Schmidtmann

Geleitwort

Homeoffice hat in den letzten Jahren aufgrund der COVID-19-Pandemie einen starken Zuwachs erfahren. Es gibt zahlreiche Studien, die die Auswirkungen von Homeoffice auf die Arbeitsproduktivität, Work-Life-Balance und den psychischen Gesundheitszustand untersucht haben.

Homeoffice kann zu einer höheren Arbeitsproduktivität führen, jedoch kann es auch zu einer Verschlechterung der Work-Life-Balance und einer Überlastung führen, wenn es schwer ist, eine klare Trennung zwischen Arbeit und Freizeit zu schaffen.

Neben diesen Faktoren ist auch die Informationssicherheit eine wichtige Forschungsfrage, welche sowohl den einzelnen als auch die Institutionen vor großen Herausforderungen stellt. So hat die Informationssicherheit eine entscheidende Bedeutung, da sie dafür sorgt, dass wichtige Daten und Netzwerke geschützt sind. Um diese Bedrohungen zu minimieren, ist es wichtig, dass Unternehmen robuste Informationssicherheitsrichtlinien einführen, einschließlich der Verwendung sicherer Geräte, der Überwachung des Netzwerkzugriffs, regelmäßige Sicherungen von Daten und der Schulung von Mitarbeitern in Informationssicherheit

Daher helfen uns solche Publikationen bessere Entscheidungen darüber zu treffen, wie wir sicher und produktiv von zu Hause aus arbeiten können, Risiken und sichere Praktiken zu fördern.

Ich danke meinen Kollegen Prof. Dr. Achim Schmidtmann und Prof. Dr. Jörg-Michael Keuntje sowie den Studierenden aus den wissenschaftlichen Erkenntnissen des Seminars diesen Beitragsband auf den Weg gebracht zu haben.

Bielefeld, im Februar 2023

Prof. Dr. Riza Öztürk

(Dekan des Fachbereichs Wirtschaft der Fachhochschule Bielefeld)

Einleitung

Dieser erste Abschnitt des Buches stellt neben der Motivation und dem Ziel den Aufbau dieses Sammelwerks kurz vor und versucht dabei Ihre Neugier und Ihr Interesse für die verschiedenen Beiträge zu wecken.

Motivation und Ziel

Die Corona Pandemie hat deutlich gemacht, dass über die Hälfte aller Jobs mindestens teilweise im Homeoffice ausgeführt werden können. 1 Gleichzeitig zeigen weitere Forschungen, dass die Arbeit im Homeoffice das Infektionsrisiko deutlich senken kann.2 Jedoch ist damit nicht das Infektionsrisiko durch Computerviren und andere Malware gemeint, denn dieses, so zeigen weitere Studien ist im Homeoffice höher als am Arbeitsplatz im Unternehmen. Da wiederum andere Untersuchungen darauf hinweisen, dass die überwiegende Mehrheit der während der Pandemie im Homeoffice tätigen, auch in Zukunft im selben oder geringerem Umfang von zu Hause arbeiten möchte, gilt es sich dem Themenbereich Informationssicherheit im Homeoffice verstärkt zu widmen.3

Ziel dieses Sammelwerkes ist es deswegen, einen zwar nicht vollständigen, aber doch umfassenden Überblick über das gesamte Spektrum des sicheren Homeoffice zu geben und damit einerseits auf Gefahren und Schwachstellen hinzuweisen, andererseits aber auch über bereits erzielte Erfolge und sinnvolle Maßnahmen zu berichten. Auf diese Weise soll es konkret dabei helfen, sich der Risiken der Arbeit im Homeoffice im Hinblick auf Datensicherheit und Datenschutz bewusst zu werden und diese entweder zu reduzieren (vermindern) oder noch besser zu vermeiden.

1 Alipour, J.-V., O. Falck und S. Schüller (2020), Germany’s Capacity to Work from Home, CE-Sifo Working Paper 8227.

2 Kunze, F., K. Hampel und S. Zimmermann (2021), Homeoffice in der Corona-Krise – eine nachhaltige Transformation der Arbeitswelt?, Konstanzer Homeoffice-Studie, Februar, Uni Konstanz

3 Knie, Andreas; Zehl, Franziska; Schelewsky, Marc: Mobilitätsreport 05, Ergebnisse aus Beobachtungen per repräsentativer Befragung und ergänzendem Mobilitätstracking bis Ende Juli, Ausgabe 16.08.2021, Bonn, Berlin, mit Förderung des BMBF.

Aufbau des Buchs

Das Buch enthält sieben Beiträge zu verschiedenen Aspekten des Themas „Sicheres Homeoffice“. Der erste Beitrag stammt vom Herausgeber des Buches. Es folgt ein Beitrag eines Kollegen aus der Fachgruppe Wirtschaftsinformatik. Die folgenden fünf Beiträge sind Seminararbeiten von Studierenden des Masterstudiengangs Wirtschaftsinformatik an der Fachhochschule Bielefeld.

Der erste Beitrag „Sicheres Homeoffice - ein langfristiger und nachhaltiger Ansatz“ ist als Einstieg und gleichzeitig als eine Art Themenüberblick gedacht. Darin werden die verschiedenen Risikokategorien der Arbeit im Homeoffice und die damit verbundenen Herausforderungen näher erläutert.

Es folgt der Beitrag „Homeoffice Regelungen und Maßnahmen nach BSI Grundschutz“, in dem die zum IT-Grundschutz gehörenden Dokumente auf ihre Relevanz für die Informationssicherheit im Homeoffice untersucht werden. Der Schwerpunkt liegt dabei auf der Analyse des BSI-Standards 200-1 und der elementaren Gefährdungen aus dem Grundschutzkompendium im Hinblick auf Implikationen für das Homeoffice.

Der dritte Beitrag „Kommunikationssicherheit im Homeoffice - Herausforderungen für Unternehmen und Beschäftigte durch den kurzfristigen Wechsel ins Homeoffice“ befasst sich insbesondere mit der Gewährleistung der Informationssicherheit von Heimnetzwerken und der Anbindung an die Unternehmensinfrastruktur.

„IT-Verhaltenssicherheit und die Auswirkungen von COVID-19“ ist der Titel des vierten Beitrags, der sich mit menschlichem Verhalten und den Risiken des Social Engineering befasst. Es wird gezeigt, dass eine Verhaltensänderung auf den individuellen Faktoren Einstellung, Wissen und Gewohnheit sowie auf den drei organisatorischen Faktoren Umgebung, Führung und Training beruht.

Es folgt ein Beitrag mit dem Titel „IT-Sicherheitsherausforderungen in Zeiten von Corona: Data-Leakage-Prevention“, der sich mit der Verhinderung von Datenlecks, Datenverlust und Datendiebstahl bei der Arbeit aus dem Homeoffice beschäftigt. Er vermittelt Details zu den Risiken sowie verschiedene Lösungsansätze.

Der Beitrag „Digitale Identitäten und ihre Entwicklung während der Covid-19 Pandemie“ beleuchtet zunächst das Thema digitale Identitäten im Allgemeinen und geht dann auf die Entwicklung von Authentifizierungsverfahren und deren Einsatz unter den besonderen Bedingungen der Covid-19 Pandemie ein.

Der abschließende Beitrag mit dem Titel „Reife der organisatorischen Sicherheitsanforderungen unter Berücksichtigung von COVID 19“ beschäftigt sich mit der Frage, wie der Reifegrad einer Organisation in Bezug auf die IT-Sicherheitsanforderungen bestimmt werden kann und wie dabei die neuen Sicherheitsaspekte der COVID 19 Pandemie dabei berücksichtigt werden können. Dabei wird ein Ansatz entwickelt, der die in der Literatur bereits existierenden Reifegradmodelle erweitert, um die Angriffsfläche für Cyberattacken in Unternehmen zu reduzieren.

Sicheres Homeoffice

Ein langfristiger und nachhaltiger Ansatz

Autor: Achim Schmidtmann

Einleitung

Der Begriff Homeoffice ist spätestens seit dem Beginn der Corona Pandemie in aller Munde. Umgangssprachlich ist damit meistens das heimische Arbeitszimmer und seine steuerliche Einordnung gemeint, allerdings verbirgt sich hinter dem Begriff ein übergreifender Organisationsansatz zur Flexibilisierung, wie die folgende Definition zeigt: „Homeoffice, auch Telearbeit genannt, ist eine flexible Arbeitsform, bei der die Beschäftigten ihre Arbeit vollumfänglich oder teilweise aus dem privaten Umfeld heraus ausführen.“4 Der folgende Beitrag meiner Kollegin Christiane Nitschke, auf den ich hier verweisen möchte, klärt allerdings darüber auf, dass diese Definition recht ungenau ist, da zwar Telearbeit immer auch Homeoffice ist, der Begriff Homeoffice generell aber nicht genau definiert und damit sehr viel umfangreicher zu verstehen ist.

Eine flexible Arbeitsphilosophie, die neben dem Büro auch die Arbeit im Homeoffice ermöglichte, gab es bei progressiven Unternehmen schon lange vor der Pandemie. Viele Arbeitgeber vermuteten aber eine auf Dauer geringere Arbeitsdisziplin und -leistung im Homeoffice nicht zuletzt auch aufgrund der eingeschränkten Kontrollmöglichkeiten. Diese Annahme hat sich in den letzten Monaten aber nicht bewahrheitet. Vielmehr hat diese Zwangslage verdeutlicht, dass auch aufgrund von längst vorhandenen technischen Hilfsmitteln die Arbeit im Homeoffice schnell starten und eine ausreichende Arbeitsleistung erbringen konnte. Teilweise hat sich ferner bereits eine solide Remote-Kultur entwickelt, die vornehmlich auf Vertrauen und Respekt gegenüber der Belegschaft basiert. Doch die Arbeitskultur alleine garantiert noch nicht die Informationssicherheit (incl. IT-Sicherheit) im Homeoffice.5

Ein sicheres Homeoffice bezeichnet allgemein einen Zustand dieser Arbeitsform, der frei von unvertretbaren Risiken und damit gefahrenfrei ist. Die Risiken können sich dabei auf die Person im Homeoffice, die Arbeitsstätte mit ihrer Einrichtung aber auch auf die Arbeit bzw. Arbeitsmittel und Arbeitsergebnisse der Person und damit den Arbeitgeber beziehen.

Die vermehrte Arbeit im Homeoffice hat unter anderem auch zu einem weiteren Anstieg der Datenmengen geführt, nicht zuletzt, weil es nun weitere Lokationen gibt, an denen mit Unternehmensdaten gearbeitet wird. Die Kommunikation mit Kunden und Arbeitskollegen aus dem Homeoffice findet virtuell via Videokonferenz (z. B. mit Microsoft Teams, Zoom oder WebEx), E-Mail, Kurznachrichtendiensten (wie z. B. Slack) oder über das Telefon statt. Die verwendeten Arbeitsmittel, wie z. B. Notebooks, Tablets oder Smartphones, werden häufig vom Arbeitgeber bereitgestellt. Anders verhält es sich dagegen in vielen Fällen bei weiteren technischen Geräten wie Drucker, Router und den Peripherie Geräten wie z. B. Bildschirmen, Tastaturen, Headsets aber auch externen Festplatten für Backups. Hier wird von Unternehmen auch gerne auf bereits verfügbare Geräte der Arbeitnehmer zurückgegriffen. Diese zusätzliche Komplexität des Homeoffice stellt neue und weitergehende Herausforderungen an die Sicherheit der Daten und speziell auch den Datenschutz dar.6 Auch wenn Vertrauen und Respekt gegenüber der Belegschaft sehr wichtig sind, sollte für die Technik ein Zero-Trust-Modell gelten, um das Risiko für Unternehmensnetze und -anwendungen zu minimieren und neben externen Bedrohungen auch interne Gefahrenpotentiale auszuschließen. 7

Homeoffice

Noch im Jahr 2018 lag der Anteil der Erwerbstätigen in Deutschland, die zumindest manchmal von zu Hause arbeiteten (mindestens einmal im Monat) bei ca. 12 Prozent. Damit war Deutschland im europäischen Vergleich nur im unteren Mittelfeld und von den durchschnittlich ca. 15 Prozent recht weit entfernt.8 Die schwankenden Homeoffice-Zahlen vom Beginn der Coronapandemie im April 2020 bis heute zeigen, dass noch immer viele Beschäftigte mit Homeoffice-geeigneten Jobs zur Präsenzarbeit angehalten werden. Diese kehrten in Lockerungsphasen ins Büro zurück, um bei der nächsten Verschärfung wieder von zuhause zu arbeiten. So lag die Quote derer, die angaben, dass sie ausschließlich oder überwiegend von zuhause arbeiteten im April 2020 bei 27 %, im November 2020 bei sehr viel niedrigeren 14 % und im Januar 2021 dann wieder stärker erhöht bei 24 %9. Im Januar 2022 arbeiteten 28,4 Prozent der Beschäftigten zeitweise im Homeoffice, allerdings liegt das Potenzial nach Aussage des ifo Instituts sogar bei 56 Prozent, so dass deutlich mehr Menschen dort arbeiten könnten.10, 11