home office security assessment

Au­ßer­ge­wöhn­li­che Si­tua­tio­nen füh­ren zu be­son­de­ren Maß­nah­men. Auf­grund ak­tu­el­ler Er­eig­nis­se um das Co­ro­na­vi­rus sehen sich Un­ter­neh­men mit einer neuen Her­aus­for­de­rung kon­fron­tiert: In­ner­halb kür­zes­ter Zeit, ihren Mit­ar­bei­tern Res­sour­cen be­reit­zu­stel­len, um ihnen ef­fi­zi­en­tes Ar­bei­ten von zu Hause aus zu er­mög­li­chen. Hier­bei wird nach schnell rea­li­sier­ba­ren Lö­sun­gen ge­sucht; IT-Si­cher­heit ist dabei teil­wei­se zweit­ran­gig.

Die Ein­füh­rung einer sol­chen In­fra­struk­tur bringt eine er­heb­li­che Um­struk­tu­rie­rung der An­griffs­flä­che des Un­ter­neh­mens mit sich. Den An­grei­fern er­öff­net diese kurze Re­ak­ti­ons­zeit unter Umständen ein grö­ße­res und viel­leicht auch ein­fa­che­res Ein­falls­tor, um Zu­griff auf wich­ti­ge Un­ter­neh­mens­kom­po­nen­ten zu er­hal­ten.

Trotz des Vertrauens in die eigenen Mitarbeiter, entstehen neue Herausforderungen im Umgang mit vertraulichen Daten wie etwa Kundendaten oder Unternehmensgeheimnissen. Während der Zugriff auf diese Daten zuvor meist nur aus dem internen Firmennetzwerk möglich war, ist dieser nun auch über eine exponierte IT-Infrastruktur möglich.

Aus diesen Gründen empfiehlt es sich, die Umsetzung des Home Office hinsichtlich der IT-Sicherheit in einem dedizierten Assessment zu bewerten.

Im Rahmen eines Home Office Security Assessments werden dazu folgende Punkte betrachtet:

  • Eva­lua­ti­on der ein­ge­setz­ten Au­then­ti­sie­rungs­lö­sung ge­gen­über des Fir­men­netz­wer­kes (SSO, MFA, etc.)
  • Prü­fung des si­che­ren Zu­griffs auf das Fir­men­netz­werk (z.B. via VPN) sowie auf even­tu­ell vor­han­de­ne Res­sour­cen in der Cloud
  • Re­view der Fire­wall­re­geln zum Schutz des Fir­men­netz­wer­kes ge­gen­über An­grei­fern
  • Analyse der Vorgehensweise für das Bereitstellen der Client-Systeme (Staging, Provisionierung, etc.)
  • Prüfung der si­cher­heits­re­le­van­ten Kon­fi­gu­ra­tio­nen und Härtungsmaßnahmen von Client­-Sys­te­men (z.B. Festplattenverschlüsselung und Rechteverwaltung)
  • Ana­ly­se der Pro­zes­se zur Ver­wal­tung der Cli­ents (Patch­ma­nage­ment, Schutz vor Schad­pro­gram­men, etc.)
  • Si­cher­heits­be­wuss­ter Um­gang der Mit­ar­bei­ter beim Ar­bei­ten mit sen­si­blen Daten im privaten und/oder öf­fent­li­chen Raum (Sicht­schutz­fil­ter, Bild­schirm­sper­re, etc.)

Als Er­geb­nis er­hal­ten Sie einen de­tail­lier­ten Be­richt, der den ak­tu­el­len Stand der IT-Si­cher­heit Ihrer Ho­me ­Of­fice In­fra­struk­tur wi­der­spie­gelt. Ein es­sen­ti­el­ler Teil die­ses Be­richts be­steht aus Emp­feh­lun­gen für Ver­bes­se­rungs­maß­nah­men zu den fest­ge­stell­ten Be­fun­den.

Es bie­tet sich au­ßer­dem an, ein As­sess­ment der Ho­me­ Of­fice In­fra­struk­tur mit einem Penetrationstest auf zen­tra­le Sys­te­me zu ver­bin­den, um das Ri­si­ko aus der Sicht eines ex­ter­nen An­grei­fers bes­ser ab­schät­zen zu kön­nen. Falls der Zu­griff vom Ho­me­ Of­fice pri­mär auf Res­sour­cen in der Cloud statt­fin­det, bie­tet sich die Kom­bi­na­ti­on mit einem Cloud Security Assessment an. Eben­so ist die Kom­bi­na­ti­on des As­sess­ments mit einer in­ten­si­ve­ren Prüfung der Client-Systeme möglich.