Howard Fuhs
Howard Fuhs
Howard Fuhs
IT-Sicherheitsberater
IT-Sicherheitsberater
IT-Sicherheitsberater

Datensicherheitsaspekte bei Telearbeitsplätzen

Mobile Unsicherheit

Copyright (C) 10/1997 by Howard Fuhs

Unsere Arbeitswelt erlebt einen tiefgreifenden Wandel. Um Chancen für neue Arbeitsformen und flexiblere Arbeitszeiten wahrzunehmen, ist Telearbeit für viele Unternehmen und Arbeitnehmer ein Thema mit hoher Priorität. Einhergehend mit der Einführung von Telearbeit in Unternehmen entstehen auch Probleme der Datensicherheit, die oftmals von den Verantwortlichen nicht oder nicht ausreichend angegangen werden.

Ist die Datensicherheit an einem Telearbeitsplatz jedoch nicht ausreichend gewährleistet, kann dies weitreichende Auswirkungen auf das Unternehmen und die Arbeitsplätze haben.

Datenverlagerung
Die hauptsächlichen Datensicherheitsprobleme bei der Telearbeit stellen die ständigen Verlagerungen von wichtigen, sensiblen Unternehmensdaten zur Weiterverarbeitung an einen Ort und in einen Computer dar, über den das Unternehmen keine direkte Kontrolle mehr hat. Darüber hinaus müssen Kommunikationswege verwendet werden, die ebenfalls außerhalb des Unternehmenseinflusses liegen.

Datenspionage und Datensabotage
Versetzt man sich in die Lage eines Angreifers, so wird schnell klar, dass es gerade die nach außen geführten Datenverbindungen sind, die am einfachsten angreifbar sind. Es wird sich kein Angreifer der Mühe unterziehen, Daten aus einer gut gesicherten EDV-Zentrale eines Unternehmens zu stehlen, wenn er über schlecht abgesicherte Telearbeitsplätze sein Ziel wesentlich einfacher und risikoloser erreichen kann. Damit entsteht gerade für Telearbeitsplätze ein wesentlich höheres Gefahrenpotential im Hinblick auf Wirtschaftsspionage

Als hauptsächliche Vorgehensweise bei Datenspionage und Datensabotage wären Diebstahl des Computers / der Festplatte, "Abhören" der Datenübertragungswege oder Verfälschung und Manipulation von Daten zu nennen.

Datenschutzkonzept
Bei der Einführung von Telearbeitsplätzen sollte ein Datenschutzkonzept erarbeitet werden, welches auf die individuellen Bedürfnisse des Unternehmens abgestimmt ist und optimalen Schutz bei optimaler Kosteneffektivität gewährleistet. Innerhalb dieses Datenschutzkonzeptes sind die einzelnen Maßnahmen zur Vorbeugung und für den Ernstfall definiert.

Ein Datenschutzkonzept sollte

  1. bestmöglichsten Schutz unter ökonomischen Aspekten
  2. bei geringster Störung des Arbeitsalltags bieten, und darüber hinaus auch noch
  3. an das Unternehmen und seine Bedürfnisse individuell angePasst sind.

Da diese Datenschutzkonzepte individuell für die Unternehmensbedürfnisse erstellt werden, sollen nachfolgend die wichtigsten Faktoren aufgezählt werden, die in einem solchen Lösungskonzept unbedingt berücksichtigt sein sollen. Von der richtigen Implementierung dieser Faktoren in einer unternehmensweit gültigen Datensicherheitsrichtlinie für Telearbeitsplätze und der entsprechenden Auswahl und Anpassung von Produktlösungen wird der Erfolg der gesamten Sicherheitsmaßnahme abhängig sein.

Sicherung der Kommunikationswege
Das Abfangen der Datenfernübertragung durch Dritte kann man auch als "Abhören" bezeichnen. Eine direkte physikalische Absicherung der Kommunikationswege ist im Rahmen von öffentlichen Kommunikationsnetzwerken kaum möglich. Es muss also dafür Sorge getragen werden, dass die Daten direkt geschützt werden. Hier kann nur der Einsatz von Verschlüsselungstechnologie und die verschlüsselte Datenübertragung ausreichend Sicherheit bieten. Jeglicher Datenverkehr zwischen dem Telearbeitsplatz und dem Unternehmen muss in verschlüsselter Form stattfinden. Damit wird sichergestellt, dass selbst bei einer Kompromittierung des Übertragungsweges die abgefangenen Daten nicht von Unbefugten eingesehen oder auf sonstige Weise verwendet werden können.

Wird das richtige Produkt mit einem sicheren Verschlüsselungsalgorithmus eingesetzt, kann auch mit noch so ausgeklügelten Programmutilities nichts mehr in einen lesbaren Zustand zurückversetzt werden.

Der sicherste Datenschutz ist und bleibt die Datenverschlüsselung. Deshalb sollte eine solche Maßnahme in keiner unternehmensweiten Datensicherheitsrichtlinie fehlen. Bedenklich sollte stimmen, dass immer mehr Stimmen laut werden, die eine Datenverschlüsselung strikt einschränken oder gar ganz verbieten wollen. Damit würde das Feld der Datensicherheit um ihre beste und wirksamste Schutzmethode gebracht.

Absicherung des Arbeitsplatzes
Der für den Telearbeitsplatz vorgesehene Computer muss durch eine ganze Reihe von Datensicherheitsmaßnahmen geschützt werden. An erster Stelle ist hier der Zugriffsschutz zu nennen. Mit Zugriffsschutzsoftware läßt sich ein hohes Maß an Sicherheit erreichen. Damit der berechtigte Anwender den Computer nutzen kann, muss er das richtige Passwort wissen oder über ein ID-Token verfügen. Weiterhin verhindert eine gute Zugriffschutzsoftware auch das Booten des Computers von Diskette und kann auch gegebenenfalls den gesamten Festplatteninhalt verschlüsseln. Des weiteren sollte ein Prüfsummenprogramm und mindestens ein gutes Antivirenprogramm auf dem Computer installiert sein. Bei dem Einsatz von Verschlüsselungstechnologie empfiehlt es sich, den ganzen Festplatteninhalt zu verschlüsseln, um so möglichst wenig Angriffspunkte zu bieten.

Die wirksamste Waffe gegen Datenverlust und Computerviren stellen regelmäßige Sicherheitskopien dar. Im Rahmen der Telearbeit muss der Anwender regelmäßige Sicherheitskopien der Datenbestände des Arbeitsrechners anlegen und sachgemäß in den eigenen Räumlichkeiten oder im Unternehmen lagern. So sollte auch mindestens ein externer Streamer im Unternehmen zur Verfügung stehen, mit dem die Sicherheitskopien angelegt werden. Besser wäre es, jeden Telearbeitsplatz mit einem Backup-Medium auszustatten. In welchen Zeitabständen eine Sicherheitskopie von den Daten anzulegen ist, hängt hauptsächlich vom tatsächlichen Datenaufkommen ab. Werden viele Daten erfaßt/bearbeitet, so ist es dringend ratsam, täglich eine Sicherheitskopie anzufertigen. Ansonsten reichen wöchentliche Sicherheitskopien aus. Eine längere Frequenz als wöchentlich sollte in einer Backup-Richtlinie nicht ins Auge gefaßt werden.

System-Revision
Gerade Computer für Telearbeitsplätze sollten einer Systemrevision unterzogen werden. Es empfiehlt sich zu diesem Zweck entsprechende Software einzusetzen, die den Vorgang der Revision nicht nur unterstützt, sondern auch vereinfacht und erheblich beschleunigt.

Im Rahmen einer Revision können dann auch neue Software-Updates eingespielt werden.

Private Computernutzung
Wenn schon ein Computer im Heim des Mitarbeiters aufgestellt wird, was liegt dann näher als die private Nutzung des Computers? Eine Regelung der privaten Nutzung des Computers muss in der Datensicherheitsrichtlinie vorhanden sein. Eine private Computerverwendung sollte dem Telearbeiter nur dann gestattet werden, wenn es technisch möglich ist, die die Festplatte mittels eines Wechselracks aus dem Computer zu entfernen und an einem sicheren Ort aufzubewahren. Der Mitarbeiter kann dann mit seiner eigenen Festplatte auf dem Unternehmensrechner arbeiten. Sollte diese technische Möglichkeit nicht gegeben sein, ist es dringend ratsam, eine private Nutzung des Computers zu untersagen.

Grund hierfür ist die unkontrollierbare Installation von Software durch den Telearbeiter. So kann privat installierte Software aus unzuverlässigen Quellen stammen und ein Trojanisches Pferd enthalten, das Daten ausspäht, manipuliert oder vernichtet.

Weiterhin besteht die Gefahr der Verletzung von Softwarelizenzbedingungen oder der Installation von Raubkopien. Geschieht das auf der Firmenfestplatte, ist automatisch die Unternehmensleitung dafür rechtlich verantwortlich und nicht der Mitarbeiter.

Nutzung des Internets
Auch die berufliche Nutzung des Internets muss in Sicherheitsrichtlinien berücksichtigt werden. Die Regelung sollte klare Richtlinien zu den Themen E-Mail, WWW, FTP und Usenet News enthalten.

Ein Schwachpunkt in einem Sicherheitskonzept kann E-Mail darstellen. Was hilft die beste Verschlüsselung auf einem Computer, wenn sich Daten und Informationen im Klartext als E-Mail versenden lassen?

Was World Wide Web (WWW) und File Transfer Protocol (FTP) anbelangt, besteht die Gefahr, sich Daten aus dem Internet auf den Computer zu laden, die mit Viren infiziert sind oder ein Trojanisches Pferd enthalten.

Auch die Gefahrpunkte Cookies, Java Applets und ActiveX Controls sollten im World Wide Web nicht unterschätzt werden. Vor allen Dingen mit ActiveX Controls läßt sich sehr schnell und sehr einfach eine datensicherheitstechnische Katastrophe herbeiführen.

Anwenderschulung
Die Basis aller Datensicherheitsbemühungen sollte eine fundierte Schulung des Anwenders darstellen. Das primäre Problem bei Datenpannen ist in der Regel eine mangelhafte oder nicht vorhandene Ausbildung der Anwender im Bereich der Datensicherheit. Ohne konsequente Schulung der Benutzer wird sich in diesem Bereich auch mittelfristig nichts ändern, denn Datenschutzsysteme sind oftmals nur so gut wie der Computeranwender, der die Datensicherheitsmaßnahmen durchführen soll. Ein User, der zum Thema Datensicherheit und die dazu verwendeten Systeme nicht ausgebildet wurde, wird die Systeme nicht oder gar falsch einsetzen und die Resultate falsch interpretieren. Mit schlecht ausgebildeten Anwendern ist kein vernünftiger und wirksamer Datenschutz zu betreiben. Es sollte dem betreffenden Mitarbeiter ebenfalls klar gemacht werden, dass es auch in seinem Interesse ist, wenn Unternehmensdaten optimal geschützt sind.

Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Jede Verwertung außerhalb der engen Grenzen des Urheberrechtsgesetzes ist ohne Zustimmung des Autors unzulässig und strafbar.

Copyright (C) 10/1997 by Howard Fuhs

 

Fuhs Security Consultants
 
Alle Rechte
vorbehalten!
 
 Realisation:
Frank Ziemann
Home Impressum


WebCam
24h WorldTimer PCI DSS Publikationen Digital Publishing EN English
Thema 00
Hier finden Sie Information über Dinge, von denen wir jetzt noch nichts verraten wollen.
Fallbeispiele
Fallbeispiele aus der alltäglichen Datenunsicherheitspraxis.
Neues
Aktuelle Neuigkeiten und Medieninformationen.
Service
Sichern Sie Ihr Unternehmen durch unsere Dienstleistungen und Serviceangebote ab.
Fallbeispiele
Die neue 24h WorldTimer Uhrenserie mit standardisierter astronomischer Zeitangabe nach ISO 8601 für 24-Stunden-Umgebungen
PCI DSS
Dienstleistungen und Serviceangebote rund um den Payment Card Industry Data Security Standard
Publikationen
Fachartikel und Buchmanuskripte von Howard Fuhs.
Digital Publishing
Publikationen von Howard Fuhs auf CD-ROM.
EN English pages
Please find here our English pages for international visitors.
      E-Mail
Sie erreichen uns
per E-Mail unter
  info@fuhs.de
    Realisation
EDV-Beratung
Frank Ziemann
www.fz-net.com
 Themen  
Themen
Papers Satellite Hacking
Fachartikel deutsch
Präsentationen
Fachartikel englisch
Bücher von Howard Fuhs
Buchrezensionen
Medienberichte
Datensicherheitsinfos
Sicherheitsinfos
Computerviren und ihre Vermeidung
Information Security Bulletin
Bilder PCBRL
Bilder DCF77
Jokes
Fachartikel deutsch
Deutsche Fachartikel von Howard Fuhs.
Präsentationen
Präsentationen von Howard Fuhs.
Fachartikel englisch
Englische Fachartikel von Howard Fuhs.
Sicherheitsinformationen
Sicherheitsinformationen auch aus Quellen des Computeruntergrunds.
Computerviren und ihre ...
Buchmanuskript von Howard Fuhs über Computerviren, erstmals veröffentlicht 1993.
Jokes
Einfach nur Witze.
Bücher von Howard Fuhs
Buchveröffentlichungen von Howard Fuhs.
Howard Fuhs in den Medien
Medienbericherstattung über Howard Fuhs.
Datensicherheitsinformationen
Allgemeine Datensicherheitsinformationen von Howard Fuhs.
Bilder PCBRL
Technische Bilder von Howard Fuhs für das Printed Circuit Board Research Lab.
Information Security Bulletin
Deutsche Ausgaben des Information Security Bulletin von CHI-Publishing Ltd., UK.
Papers Satellite Hacking
Englische Texte zum Vortrag Satellite Monitoring, Satellite Hacking and Satellite Security
DCF77 Funkuhr
Vintage Gallery - Bilder einer DCF77 Funkuhr von 1972
Buchrezensionen
Howard Fuhs bespricht Fachbücher