Wie in dem Zitat beschrieben, ist die Überführung aus dem Büro ins Home-Office eventuell nicht ganz reibungslos verlaufen und es haben sich an der einen oder anderen Stelle sowohl prozessuale als auch personelle Fehler eingeschlichen. Durch die Lockerungen startet nun die zweite Überführung zurück ins Büro und man sollte eben diese Fehler nicht wiederholen.
Es gibt einen wesentlichen Punkt, welcher bei der Überführung zu beachten ist:
1. Die Wiedereingliederung der Hardware in die IT-Infrastruktur
Da es die verschiedensten Szenarien im Home-Office gab, beispielsweise mit Firmenhardware wie einem Notebook, oder auch privater Hardware sowie die Übernahme des kompletten Arbeitsplatzes vom Büro ins Home-Office, muss man jede einzelne Überführung individuell betrachten.
Nichtsdestotrotz gibt es einige Punkte, die allgemein für Alle geltend sind:
1. Entwerft einen Fragenkatalog, um die Mitarbeiter nach genutzten Tools und Hilfsmittel zu befragen. Diese werden dann einer Sicherheitsüberprüfung basierend auf den Anforderungen des Unternehmens unterzogen. Hilfe hierfür findet man unter anderem auf der Seite des Bundesamtes für Sicherheit und Informationstechnik.
Gerne können wir Sie hierzu kostenfrei beraten.
2. Konzeptioniert eure Netzbereiche so, dass es eine Art „Quarantäne“ Bereich gibt, um die Hardware auf Herz und Niere zu überprüfen, bevor diese ins reguläre Firmennetzwerk zugelassen werden.
3. Erstellt ein Desaster-Recovery-Plan, um frühzeitig bei Ausfall eines Endgerätes und eventueller damit einhegender Kompromittierung reagieren zu können und um das Tagesgeschäft nicht zu gefährden.
4. Die Rückführung der Home-Office-IT bietet jetzt die Gelegenheit, sich von dem klassischen Perimeter- basierenden Sicherheitsansatz zu verabschieden, der interne Netzwerke und seine Akteure als vertrauenswürdig (Trusted Network) einstuft und sich bei Schutzmaßnahmen hauptsächlich auf Grenzübergänge fokussiert.
Als neuer Sicherheitsansatz sollte ein „Zero Trust“-Modell dienen: Vertraue niemanden und verifiziere jeden. Jedes Gerät, jeder Dienst und Nutzer sollte zuerst misstraut werden und nur die geringst möglichen Berechtigungen gegeben werden. Ein Zugriff gibt es nur, wo es unabdingbar ist. Ziel ist es, sämtliche Dienste, Nutzer und Geräte zu erfassen und Systeme zur Authentifizierung bereitzustellen, um ein möglichst granuläres Bild der Interaktionen im eigenen Netzwerk zu bekommen.
