Was wichtig wird: Wenn Mitarbeiter ins Büro zurückkehren

26.05.2020
G DATA Blog

Wenn unverhofft ein Ereignis eintritt, dann ist es gut, einen Plan zu haben. Wichtig ist aber auch der Plan für „danach“. Die COVID19-Pandemie ist ein gutes Beispiel dafür.

Innerhalb weniger Tage mussten IT-Abteilungen in Deutschland und anderen Ländern die gesamte Belegschaft auf Homeoffice-Betrieb umschalten – auch dort, wo bis dato das Thema Homeoffice keine Rolle gespielt hat. Nicht immer ließ sich der Übergang ohne Stolpersteine bewältigen. Eine Konsequenz aus dieser Tatsache:  Notebooks und Webcams waren zeitweise nicht oder nur mit sehr langen Lieferzeiten erhältlich. Kaum ein Unternehmen hat für derartige Szenarien ausreichend Notebooks für die gesamte Belegschaft auf Lager. Auch bei G DATA CyberDefense ist das nicht anders. Natürlich sind Notebooks in gewisser Anzahl vorhanden – diese stehen für Präsentationen externer Referenten, Schulungen oder als kurzfristiger Desktopersatz bereit Als feststand, dass der reguläre Bürobetrieb vorerst nicht mehr in dieser Form stattfinden sollte, stand die IT-Abteilung vor einer großen Herausforderung. Zwar waren, wie in unserem kurzen Interview erwähnt, ausreichend Ressourcen bei der Infrastruktur des Netzwerkes vorhanden, aber es fehlte an mobilen Geräten für alle Mitarbeiter. Und Privatrechner uneingeschränkt mit dem Firmennetz zu verbinden, war alleine aus Sicherheitsgründen keine Alternative. Das ließ nur eine Option offen: Einige Mitarbeiter mussten ihre Büro-PCs mit nach Hause nehmen.

Pragmatische Entscheidungen mit Folgen

Eine pragmatische Lösung, die einiges an logistischem Aufwand erforderte – aber in dieser Situation die einzig mögliche. Gleichzeitig blieb allerdings eine wesentliche Fragestellung offen: Was passiert mit diesen Rechnern, wenn sie wieder in die Firma kommen? Sie einfach wieder ins Firmennetz zu hängen, als wäre nie etwas passiert, stand von Anfang nicht zur Debatte. Schon zu diesem Zeitpunkt entschieden die Verantwortlichen, dass die Rechner  vorher ausnahmslos geprüft werden müssen. Noch sicherer wäre es, die Geräte vollständig neu aufzusetzen. Doch dazu später mehr.

Sichtbarkeit schaffen

Dreh- und Angelpunkt der Remote-Arbeit ist das VPN des Unternehmens. Hier ist es ganz entscheidend, Zugriffsrechte zu gewähren und wo nötig zu ändern. Entscheidend ist auch, wer mit welchem Gerät auf welche Teile des Netzwerkes zugreifen kann. Ein Rechner, der im Büro steht, hat hier die niedrigsten Hürden zu überwinden. Doch wie sieht es mit einem Privat-PC aus, der auf das Firmennetz zugreifen will? Dieser sollte natürlich nicht dieselben Zugriffsrechte bekommen wie ein Unternehmensrechner. Die Gründe liegen auf der Hand: Die IT-Abteilung hat diesen Rechner noch nie zu Gesicht bekommen, kann nicht einschätzen, wie sicher oder unsicher das Gerät ist und es handelt sich nicht um Firmenbesitz. Daher lassen sich rechtlich nicht dieselben Maßstäbe und Policies anwenden wie für ein firmeneigenes Gerät.
Die entscheidende Frage ist also: Wie lässt sich aus IT-Sicht ein Firmenrechner von einem Privatrechner unterscheiden?. Dafür muss jeder firmeneigene Rechner eindeutig identifizierbar sein. Geeignete Merkmale dafür gibt es genug – angefangen beim Rechnernamen über die MAC-Adresse bis hin zum Standardbenutzer. Ändert sich eines der Merkmale jedoch, wäre der Rechner nicht mehr eindeutig identifizierbar. So unüblich ist das nicht: Führt die IT beispielsweise ein neues Namensschema für Unternehmensrechner ein, wäre an vielen Stellen eine manuelle Anpassung erforderlich. Manche VPN-Lösungen bringen hier bereits ab Werk die Möglichkeit mit, einen Rechner mit einer eindeutigen, einmaligen und unveränderbaren ID zu versehen. Diese ID ist im Verbund mit Benutzernamen, Passwort sowie einem zweiten Anmeldefaktor die Eintrittskarte in das Firmennetz. Und anhand der ID des Rechners lässt sich auch eine Einsortierung der Rechner in unterschiedliche Berechtigungsgruppen vornehmen, etwa über das Active Directory des Unternehmensnetzwerkes.
Dort lassen sich dann die Rechner mit einer ID, die zweifelsfrei einem firmeneigenen PC zugeordnet ist, in eine Berechtigungsgruppe mit weitergehenden Zugriffsrechten verschieben. Rechner hingegen, die nicht zum Inventar des Unternehmens gehören, bekommen eine eigene Gruppe zugewiesen, die gewissen Zugriffsbeschränkungen unterliegt.

"Wie schlimm kann es schon werden?"

Dass unvorhersehbare Dinge passieren ist eine unbequeme Tatsache. Es liegt auch in der menschlichen Natur, dass sich niemand gerne seine Komfortzone verlässt, indem er sich mit unangenehmen Dingen befasst. Das weiß jeder, der schon einmal zwischen dem Abwasch und einem gemütlichen Fernsehabend entscheiden musste. So existierte in vielen Firmen kein Plan für den Fall, dass niemand mehr im Büro arbeiten kann oder darf. Für Überlegungen, wie es „danach“ weitergeht, blieb oft keine Zeit – es galt, dringendere Probleme zu lösen.

Wann die Corona-Krise so weit überstanden ist, dass Mitarbeiter wieder vom Büro aus arbeiten können, steht zwar zum Veröffentlichungszeitpunkt dieses Artikels noch nicht fest – dennoch tun Unternehmen und deren IT-Abteilungen gut daran, bereits jetzt Vorkehrungen für diese Zeit zu treffen. Durch die Tatsache, dass in dieser Zeit Privates und Berufliches näher zusammenrückt, ist bei vielen Nutzern die Hemmschwelle niedriger, auch Privatangelegenheiten eben schnell am Arbeits-PC zu erledigen. Vom Phishing bis zum Befall mit Schadsoftware steht das gesamte Risikospektrum offen. Und im ungünstigsten Fall bekommt die IT-Abteilung davon nichts mit. Eine Schadsoftware, die bereits jetzt unbemerkt auf dem Unternehmensrechner sitzt, kann hier fatale Folgen haben, sobald der Rechner wieder vollständig ins Unternehmensnetz zurückkehrt.
Für den Fall, dass in Zukunft ähnliche Szenarien zur Realität werden, können Unternehmen sich bereits jetzt vorbereiten. Und dazu sind in vielen Fällen keine kostspieligen Neuanschaffungen erforderlich. Viele der Maßnahmen, die jeder ergreifen kann, sind mit vorhandenen Mitteln umsetzbar.

 

Sechs Tipps für die Zeit nach der Krise

  1. Eine schrittweise Rückkehr planen und durchführen. Sofern dies mit bestehenden Arbeitsverträgen vereinbar ist, sollte die Rückkehr zur regulären Büroarbeit schrittweise erfolgen. Die Planung dafür muss in enger Abstimmung zwischen Führungskräften, Team- und Abteilungsleitern sowie den betroffenen Kolleginnen und Kollegen erfolgen, sodass Risiken für alle Beteiligten so weit wie möglich minimiert werden. Besondere Beachtung sollten die Faktoren erfahren, die einzelne Mitarbeitergruppen betreffen: Während bei einigen Kollegen die Kinderbetreuung noch nicht gewährleistet ist, gilt es in anderen Fällen auch die Mitarbeiter zu schützen, die entweder selbst einer Risikogruppe angehören oder mit Angehörigen einer Risikogruppe zusammenleben. Die an der Entscheidung und Planung beteiligten Parteien sollten hier eine tragfähige Lösung entwerfen.
    Nicht zuletzt entzerrt eine gestaffelte Rückkehr auch den Arbeitsplan der IT-Abteilung, der sich aus den nachfolgenden Maßnahmen ergibt.
  2. Rechner, die zurück ins lokale Firmennetz sollen, neu aufsetzen
    Dafür bietet sich eine Imaging-Lösung an. Sollte es eine entsprechende Provisionierungs-Lösung geben, mit der Softwareverteilung und die Installation von Systemen automatisieren lässt: noch besser. Dateien, die lokal auf dem Rechner gespeichert sind und noch für die Arbeit benötigt werden, müssen vorher natürlich gesichert werden.
  3. Bei dieser Gelegenheit: Inventar aktualisieren
    Die Prüfung und Neuinstallation ist übrigens auch eine gute Möglichkeit, die Hardwareausstattung des Rechners auf Aktualität zu überprüfen. Wenn der Rechner sowieso gerade in der IT steht, dann können entsprechende Upgrades auch sofort durchgeführt werden, ohne dass hier ein weiterer Zwischenschritt erforderlich ist. Sofern die Hardware ohnehin demnächst hätte ausgetauscht werden sollen, bieten sich dieser Schritt an. Das spart auch mittelfristig wiederum Arbeit - die für das Aufsetzen eines Neugerätes, dessen Ausgabe und die Rückführung der alten Hardware hätte aufgewendet werden müssen.
  4. Härtungsmaßnahmen für die neu aufgesetzten Systeme umsetzen.
    Mit diesem Schritt können Unternehmen sowohl direkt etwas für die Sicherheit tun als auch Vorbereitungen für vergleichbare Ereignisse treffen. Ein Beispiel für derlei Härtungsmaßnahmen ist etwa das globale Deaktivieren von Makros in Office-Dokumenten. Viele Schadprogramme (wie etwa Emotet) werden unter anderem über Makros in Word-Dokumenten verbreitet. Sind diese deaktiviert, hat ein Schadprogramm, das diesen Verbreitungsweg nutzt, keine Chance mehr das System zu infizieren
  5. Festplattenverschlüsselung aktivieren
    Was auf Laptops, die ohnehin für den mobilen Einsatz vorgesehen sind, schon lange Standard ist (beziehungsweise sein sollte), muss auf allen Desktoprechnern aktiviert werden.
    Mit dieser Maßnahme ist sichergestellt, dass selbst der Diebstahl der Hardware nicht zum Datenschutzskandal wird.
  6. Updates und Patches konfigurieren
    Das Einspielen von Updates gehört zu den effektivsten Maßnahmen zur Absicherung gegen Schadsoftware und unbefugten Zugriff. Jeder Rechner muss daher ausnahmslos so konfiguriert werden, dass die Verteilung von Updates reibungslos möglich ist. Auch hier gibt es unter Windows entsprechende Bordmittel in Form eines hauseigenen Windows-Updateservers (WSUS). Dieser sollte für jeden Unternehmensrechner der erste Anlaufpunkt für Microsoft-Updates sein. Wichtig dabei: Sorgen Sie für ausreichend Bandbreite, um Verzögerungen bei der Verteilung von Updates zu vermeiden. Wer zusätzlich über ein Patch-Management verfügt, sollte auch hier die Konfiguration einmal auf den Prüfstand stellen und auf Aktualität prüfen.

Tim Berghoff
Security Evangelist