Kurzanleitung zur sicheren Telearbeit – gut

KURZANLEITUNG FÜR SICHERES TELEARBEITEN

Aufgrund des durch das Coronavirus verursachten Alarmzustands fördern viele Verwaltungen und öffentliche Einrichtungen die Telearbeit, um die Kontinuität ihrer Funktionen und Dienste zu gewährleisten. Allerdings kann Telearbeit ein Risiko für die Cybersicherheit darstellen, wenn sie nicht rechtzeitig im Voraus geplant, das Personal entsprechend geschult und Geräte und Verbindungen nicht sicher konfiguriert sind. Angesichts des aktuellen Kontexts ist es möglich, dass all dies in vielen Fällen nicht möglich war; Aus diesem Grund bieten wir Ihnen eines an Auswahl der wichtigsten zu berücksichtigenden Grundschutzmaßnahmen Dies kann Ihnen bei der Arbeit aus der Ferne helfen, indem es Sicherheitsrisiken bei der Informationsverarbeitung in Ihrem Unternehmen minimiert.

Bedenken Sie, dass die aktuelle Situation für Cyberkriminelle sehr attraktiv ist, um im Austausch gegen ein Lösegeld Passwörter zu stehlen und vertrauliche Informationen zu kapern. Fälle dieser Art sind in den letzten Monaten in öffentlichen Verwaltungen mit schwerwiegenden wirtschaftlichen Schäden und Reputationsschäden aufgetreten.

Diese Auswahl wurde mit dem Ziel erstellt, die Auswahl zu erleichtern ein praktischer und exekutiver Leitfaden, der sich an nicht fachkundige Benutzer mittlerer und kleiner öffentlicher Verwaltungen richtet, die nicht über Ressourcen verfügen einen vollständigen und fortschrittlichen Sicherheitsplan umzusetzen. Wir wollen ein Übermaß an Informationen vermeiden und unter den gegebenen Umständen undurchführbare Empfehlungen aussprechen. Für Benutzer, die mehr über dieses Thema erfahren möchten, stellen wir am Ende des Leitfadens zusätzliche Links bereit.

Diese Empfehlungen sind allgemeiner Natur. Wenn Ihr Unternehmen über einen eigenen Leitfaden zur Cybersicherheit verfügt, schauen Sie sich diesen an.
 

1. Organisatorische Aspekte

Ihre Organisation verfügt sehr wahrscheinlich bereits über einen Protokoll- und Cybersicherheitsmanager. Erkundigen Sie sich bei ihm nach den Punkten, die wir Ihnen unten anbieten.

Befolgen Sie die Sicherheitshinweise des Technologiemanager Ihrer Organisation.

Nutzen Sie die von Ihrer Organisation autorisierte Tools und Anwendungen. Wenn Sie andere Lösungen benötigen, seien Sie vorsichtig und verwenden Sie nur vertrauenswürdige Anwendungen.

Und ausserdem...

Stellen Sie sicher, dass Backups von Unternehmensdokumenten erstellt werden, die Sie von zu Hause aus arbeiten.

Finden Sie heraus, über welchen Kanal Vorfälle kommuniziert und Zweifel geklärt werden können.

Melden Sie jeden Cybersicherheitsvorfall unverzüglich dem Technologiemanager Ihres Unternehmens.

2. Arbeitsteam

Von Ihrem Heimarbeitsteam haben Sie Zugriff auf die vertraulichen Informationen Ihrer Organisation. Unabhängig davon, ob Sie einen Firmencomputer oder einen Personalcomputer verwenden, müssen eine Reihe von Schutz- und Präventivmaßnahmen berücksichtigt werden. Wenn Sie ein Unternehmensarbeitsteam verwenden, befolgen Sie in den meisten Fällen bereits die meisten oder alle Empfehlungen der vom Administrator durchgesetzten Sicherheitsrichtlinien.

Stellen Sie sicher, dass die System und Anwendungen werden mit den neuesten Versionen aktualisiert und dass die automatische Versionsaktualisierung aktiviert ist.

Überprüfen Sie, ob Ihr Computer über eine verfügtaktives Antiviren- und Anti-Malware-Programm.

  • Für Windows: Aktivieren Microsoft Defender Anti-Malware
  • Für MAC: Installieren Sie eine Marktlösung mit einer kostenlosen Version: Kaspersky, Avast, AVG, Bitdefender usw.

Wende an automatische Bildschirmsperre nach zehn Minuten.

Und ausserdem...

Erstellen Sie in Ihrem Betriebssystem ein separates Konto für Familie und Telearbeit. Jeder unbefugte Zugriff auf vertrauliche Informationen muss vermieden werden.

Aktivieren Sie eine Firewall auf Ihrem Computer.

3. Internetverbindung und Fernzugriff

Heim-WLAN-Netzwerke verfügen normalerweise nicht über die gleichen Sicherheitskontrollen, wie z. B. Firewalls, die in Unternehmensbüros implementiert sind. Aus diesem Grund müssen Sie bei der Remote-Arbeit besonders auf die Eigenschaften des Netzwerks achten, über das Sie eine Verbindung herstellen, sei es zum Surfen im Internet oder zum Zugriff auf die Systeme und Daten Ihres Unternehmens.

Vermeiden Sie die Verwendung öffentlicher WLAN-Netzwerke, die nicht bekannt und vertrauenswürdig sind, um aus der Ferne auf Organisationsdienste zuzugreifen.

Und ausserdem...

Verwenden Sie gegebenenfalls die von Ihrer Organisation empfohlenen VPN-Remoteverbindungsdienste (Virtual Private Network), um auf Unternehmensinformationssysteme zuzugreifen.

Stellen Sie sicher, dass der Internetverbindungsrouter nicht das werkseitige Standardkennwort verwendet. Im Internet und auf YouTube finden Sie viele Tutorials. Sie können verwenden das von der Verbraucher- und Nutzerorganisation empfohlene Verfahren.

Legen Sie das Passwort des Routers mit sicheren Verschlüsselungssystemen fest: WPA3 (vorzugsweise) oder WPA2.

4. Backups

Für alle Bürodokumente, die Sie auf dem PC erstellen, den Sie für die Telearbeit nutzen und die nicht auf dem Server der Organisation gespeichert sind, gibt es wahrscheinlich kein automatisiertes Backup-System. Daher wird empfohlen, vorsichtshalber Sicherungskopien anzufertigen.

Sichern Sie lokal generierte Dokumente über einen der folgenden Mechanismen:

  • USB-Sticks: Um die Sicherheit zu gewährleisten, sollten Sie diese zuvor gereinigt oder formatiert haben
  • Externe Festplatte
  • Von der Organisation autorisierter Cloud-Speicherdienst

5. Passwörter und Authentifizierung

Wenn Sie remote arbeiten, ist die Art und Weise, wie Sie sich in Systemen und Anwendungen authentifizieren, besonders wichtig, da ein gestohlenes Passwort auf vertrauliche Informationen zugreifen und/oder die Kontrolle über einen Dienst in Ihrem Unternehmen übernehmen könnte. Hier sind einige Empfehlungen, um sich sicherer zu authentifizieren sowie stärkere Passwörter zu definieren und zu verwenden.

Nutzen Sie nach Möglichkeit den Zugang zu Informationssystemen mit einem digitalen Zertifikat (vorzugsweise T-CAT P) oder Zwei-Faktor-Authentifizierungssystemen, um den Diebstahl Ihres Passworts zu verhindern. (Zwei-Faktor-Systeme basieren auf Einmalcodes, die per SMS oder an eine APP gesendet werden)

Verwenden Sie komplexe Passwörter: Kombination aus Sonderzeichen, Zahlen sowie Groß- und Kleinbuchstaben.

Notieren Sie Ihre Unternehmenskennwörter nirgendwo.

Si Sie installieren digitale Zertifikate in einer Software auf Ihrem PC (TCAT-P, idCAT-Zertifikat) nutzt die Option „Write the Password for the private key“: Auf diese Weise kann das digitale Zertifikat nur verwendet werden, wenn das Passwort bekannt ist.

Und ausserdem...

Wenn Sie viele Konten mit unterschiedlichen Benutzern und Passwörtern nutzen müssen, nutzen Sie eine App, um die verschiedenen Passwörter sicher zu verwalten. Es gibt mehrere Lösungen, die eine kostenlose Version anbieten (Lastpass, Dashlane usw.). Apple – iOS-Geräte verfügen über einen in das Betriebssystem integrierten Passwort-Manager.

Und ausserdem...

Computer-Webbrowser müssen mit der neuesten Softwareversion und den neuesten Patches aktualisiert und konfiguriert werden.

Löschen Sie regelmäßig den Browserverlauf, Cookies, gespeicherte Passwörter und andere temporäre Dateien. Auf diese Weise vermeiden Sie potenzielle Spionageelemente.

7. Sichere Videokonferenzen

Um die Sicherheit und Vertraulichkeit von Gesprächen zu gewährleisten während deres Videokonferenzes mit Ihrem Arbeits- oder Projektteam, Kalk Berücksichtigen Sie folgende Aspekte:

Die Sitzung sicher einberufen. Erlauben Sie nur Benutzern, die die Besprechungsdetails kennen, an der Videokonferenzsitzung teilzunehmen. für es zu tun:

  1. Crea ein Treffen dem nur Menschen beitreten können Gäste
  2. Unserer Partnerund die Einladung per privater E-Mail dels Teilnehmer bzw Sein durch von einem Plattform oder Kanal segeheilt
    • Mach dassind Menschen, die habengis Gast per Email müssen, zu ... habenEinloggen durch dDas msolche Adresse oder,
    • benutze ein sZwei-Faktor-Authentifizierungssystem, Zum Beispiel Erstellen den Meeting-Link (oder die Meeting-ID)., im Fall von Zoom) und erfordernnt ein clau beitreten.
    • Das Wartezimmer es ist auch Eine sehr nützliche Funktion für Gastgeber, um zu steuern, wer das Meeting betritt und verlässt.
  3. Geben Sie den Link zur Teilnahme am Meeting nicht über soziale Medien oder andere öffentliche Foren weiter. JEDER, der den Link hat, kann dem beitreten Sitzung.

Teilnehmer verwalten.

  • Konfigurieren Sie im Voraus, wer während des Meetings den Bildschirm teilen oder Dateien per Chat senden kann.
  • Denken Sie bei großen Versammlungen daran, dass der Gastgeber dies tun kann einzelne Teilnehmer stumm schaltenment oder alles auf einmal, um Echos, Hintergrundgeräusche und Ablenkungen oder parallele Gespräche zu vermeiden.
  • Bewerten Sie ggf. bverrückt werdenr das Treffen wann alle Teilnehmer sind da, sodass kein neuer Teilnehmer beitreten kann unerwünscht

Und ausserdem...

Machen Sie sich vertraut bisher mit den Einstellungen und Funktionen des Videokonferenztools VerwendetSatin- für Säbel wie man den virtuellen Raum schützt, in dem das Meeting stattfinden wird.

Stellen Sie am Ende der Sitzung sicher, dass der virtuelle Raum, in dem das Treffen stattgefunden hat, vorhanden ist ist geschlossen o zugänglich nur für Sitzungsteilnehmer, da es Notizen geben kann, Dateien und private Informationen.

8. Phishing

Phishing ist eine Form der Cyberkriminalität, die im Versenden betrügerischer E-Mails mit dem Ziel besteht, Passwörter oder andere persönliche Informationen zu stehlen. Es handelt sich um eine der häufigsten Betrugsmaschen von Cyberkriminellen. Die Funktionsweise von Phishing ist einfach: Sie erhalten eine legitim aussehende E-Mail, in der Sie über einen Link aufgefordert werden, Informationen zu aktualisieren, zu validieren oder zu bestätigen. Nachdem Sie darauf geklickt haben, werden Sie auf eine gefälschte Webseite weitergeleitet, auf der das Passwort oder andere Daten gestohlen werden.

Klicken Sie nicht auf Links und laden Sie keine Dokumente herunter, die an verdächtige E-Mails angehängt sind. Seien Sie misstrauisch gegenüber E-Mails, in denen Sie zu ungewöhnlichen Aktionen zur Passworterneuerung aufgefordert werden. Überprüfen Sie die Absenderadresse (nicht den Alias) scheinbar legitimer E-Mails.

Und ausserdem...

Wenn Sie eine Verbindung über das Internet herstellen, überprüfen Sie in der Browserleiste, ob die Ziel-Webadresse korrekt ist. Cyberkriminelle können eine Website vollständig nachbilden und Ihr Passwort stehlen.

9. Am Ende der Arbeit

Von Ihrem Heimarbeitsteam haben Sie Zugriff auf die vertraulichen Informationen Ihrer Organisation.

Schließen Sie alle Verbindungen zu Informationssystemen und Unternehmenswebsites.

Sichern Sie alle lokalen Dokumente, an denen Sie gearbeitet haben und die nicht durch die Unternehmenssicherung abgedeckt sind.

Und ausserdem...

Löschen Sie den Browserverlauf, Cookies, gespeicherte Passwörter und andere temporäre Dateien.

10. Weitere Informationen

Benutzern, die die Informationen in diesem Handbuch erweitern möchten, empfehlen wir den Besuch der folgenden Webseiten mit speziellen Inhalten:

Danksagung

Diese Empfehlungen wurden unter Verwendung der eigenen Ressourcen des AOC, der Richtlinien der katalanischen Cybersicherheitsagentur, des katalanischen Verbands der Telekommunikationsingenieure (Telecos.cat), der Berater Genís Margarit Contel und Cristina Ribas Casademont sowie der Dokumente in der erstellt Abschnitt „Weitere Informationen“.

Wir vom AOC möchten uns bei allen selbstlosen und proaktiven Beiträgen bedanken, die wir erhalten haben und die in dieser Zeit sehr nützlich und wertvoll sind, um die Sicherheit der Informationssysteme des öffentlichen Sektors zu gewährleisten.

Notizen

  1. Dieser Leitfaden ist offen für Anregungen, Verbesserungsvorschläge und Korrekturen. Ihre Kommentare sind uns sehr willkommen – Sie können sie an senden innovacio@aoc.cat.
  2. Wir haben zwei Organisationen aus der Freie-Software-Community und vier Benutzer, die kritisches Feedback gegeben haben, gebeten, uns bei der Vervollständigung dieses Leitfadens mit spezifischen Empfehlungen für Linux-basierte Betriebssysteme zu helfen. Im Moment haben wir keine Antwort erhalten.