15. November 2020

IT-Sicherheit im Home Office: Checkliste für Unternehmen

Author Image

Von Joachim Reinke

November 15, 2020

Home Office, ISO 27001, IT-Sicherheit
Share 0
Share 0
Post 0

Home Office ist längst Alltag zum in vielen Unternehmen geworden. Gerade deshalb reicht es nicht, das Thema nur irgendwie mitlaufen zu lassen.

Sobald Mitarbeiter außerhalb des Büros arbeiten, entstehen zusätzliche Risiken: Geräte liegen in privaten Räumen, Gespräche finden in gemischten Umgebungen statt, WLAN und Drucker gehören nicht automatisch zur Unternehmens-IT, und der Übergang zwischen privat und beruflich wird schnell unsauber. Genau deshalb ist eine klare, alltagstaugliche Checkliste sinnvoll. Leitfäden für Home Office und Telework betonen dabei vor allem: sichere Geräte, sichere Verbindungen, klare Regeln, Awareness und praktikable Fallbacks.

Die kurze Antwort

Wenn Sie Home Office sicher aufsetzen wollen, sollten Sie mindestens diese Bereiche sauber regeln:

  • Geräte
  • Software und Updates
  • Anmeldeverfahren
  • Heimnetz und Verbindungen
  • Umgang mit Daten und Ausdrucken
  • Videokonferenzen und Telefonate
  • Verhalten der Mitarbeiter
  • Meldung von Vorfällen

Genau diese Themen entscheiden in der Praxis darüber, ob Home Office nur irgendwie funktioniert oder auch sicher funktioniert.

Die Checkliste

1. Geräte sauber trennen und absichern

Der erste Punkt ist simpel: Berufliche Arbeit gehört nach Möglichkeit auf verwaltete Firmen-Geräte.

Sobald sensible Informationen auf privaten Laptops, privaten Handys oder privaten Festplatten landen, wird die Lage unübersichtlich. Dann ist oft nicht mehr klar, wer das Gerät administriert, wie Updates laufen, ob Sicherungen existieren und wer im Haushalt Zugriff darauf hat. Genau deshalb ist die sauberste Lösung in vielen Fällen: Firmenlaptop, Firmenhandy, klare Zuständigkeit, klare Konfiguration.

Prüfen Sie deshalb:

  • Arbeiten Mitarbeiter mit Firmen-Geräten oder mit privaten Geräten?
  • Sind diese Geräte verschlüsselt?
  • Gibt es eine Bildschirmsperre mit kurzer Inaktivitätszeit?
  • Können Geräte bei Verlust gesperrt oder gelöscht werden?
  • Ist klar, wer die Geräte administriert?

2. Software aktuell halten und unnötige Software vermeiden

Home Office wird schnell unsicher, wenn Firmen-Geräte mit privater Software, fragwürdigen Tools oder veralteten Programmen vermischt werden.

Wichtiger als eine möglichst lange Tool-Liste ist, dass Geräte sauber gepflegt werden:

  • Betriebssystem aktuell (aktuelle Schwachstellen werden möglichst automatisiert behoben);
  • Browser aktuell;
  • Office-Umgebung aktuell;
  • Schutzsoftware aktiv;
  • unnötige Software runter.

Prüfen Sie deshalb:

  • Sind Sicherheitsupdates automatisiert oder klar geregelt?
  • Gibt es Schutz gegen Malware?
  • Dürfen Mitarbeiter beliebige Software installieren?
  • Sind Makros, Skripte oder Browser-Erweiterungen geregelt?
  • Ist klar, welche Tools für die Arbeit erlaubt sind und welche nicht?

Wenn Sie das näher beleuchten möchten, haben wir noch einen Spezialartikel zu sicheren Endgeräten.

3. Anmeldung absichern: MFA statt nur Passwort

Im Home Office hängen viele Zugriffe an Cloud-Diensten, VPN, E-Mail, Kollaborationstools und administrativen Oberflächen. Genau deshalb ist ein reines Passwort heute zu wenig.

Für berufliche Zugänge sollte MFA Standard sein, vor allem für E-Mail, VPN, Admin-Zugänge und andere sensible Anwendungen. Gleichzeitig sollte klar sein, wie der Fallback aussieht, wenn ein Gerät verloren geht oder ein zweiter Faktor gerade nicht verfügbar ist.

Prüfen Sie deshalb:

  • Ist MFA für wichtige Zugänge aktiviert?
  • Gilt das auch für E-Mail und VPN?
  • Gibt es getrennte Anforderungen für normale und privilegierte Konten?
  • Sind Notfallwege sauber geregelt?
  • Werden Zugangsdaten niemals mit Familienmitgliedern oder Dritten geteilt?

Hier gehen wir in der Thema "Sichere Authentifizierung" noch genauer hinein.

4. Heimnetz und WLAN nicht als Nebensache behandeln

Viele Home-Office-Setups scheitern nicht am Laptop, sondern am Umfeld.

Ein altes Router-Passwort, offene Gastnetze, unsichere IoT-Geräte oder ein unübersichtliches Heimnetz können unnötige Risiken schaffen. Es geht nicht darum, aus jeder Wohnung ein Rechenzentrum zu machen. Aber ein Mindestmaß an sauberer Netzsicherheit sollte da sein. Genau deshalb taucht das Thema Heimnetz in praktischen Home-Office-Leitfäden immer wieder auf.

Prüfen Sie deshalb:

  • Ist das WLAN mit einem starken Passwort geschützt?
  • Sind Standardpasswörter auf Router oder Repeater geändert?
  • Gibt es fragwürdige offene oder geteilte WLANs?
  • Wird für sensible Zugriffe ein VPN genutzt?
  • Ist klar, ob dienstliche Geräte auf private NAS, Drucker oder andere Heimgeräte zugreifen dürfen?

Und da Sie das Heimnetzwerk nicht unter Kontrolle haben: Setzen Sie die Verbindung des Firmenrechners nach dem Zero Trust-Prinzip auf.

5. Daten, Ausdrucke und lokale Ablage sauber regeln

Home Office ist oft nicht unsicher, weil jemand "gehackt" wird, sondern weil Daten im Alltag falsch landen: im privaten Download-Ordner, auf dem Küchentisch, im Heimdrucker oder im falschen Cloud-Speicher.

Gerade Ausdrucke, Notizen, Screenshots und lokale Dateien werden im Büro oft automatisch besser mitgedacht als zuhause. Genau deshalb braucht es klare Regeln.

Prüfen Sie deshalb:

  • Dürfen sensible Informationen lokal gespeichert werden?
  • Wenn ja: unter welchen Bedingungen?
  • Wie wird mit Ausdrucken im Home Office umgegangen?
  • Wo liegen Notizen, Ausdrucke oder unterschriebene Unterlagen?
  • Ist klar geregelt, welche Daten niemals in private Tools oder private Speicher wandern dürfen?

6. Videokonferenzen und Telefonate vertraulich halten

Ein häufiger blinder Fleck im Home Office sind Gespräche.

Nicht jede Information ist nur als Datei schützenswert. Auch gesprochene Inhalte können sensibel sein: Kundendaten, Personalthemen, Entwicklungsdetails, Vertragsfragen oder interne Probleme.

Prüfen Sie deshalb:

  • Können Gespräche von Dritten mitgehört werden?
  • Ist der Bildschirm für Besucher, Nachbarn oder Familie einsehbar?
  • Werden Headsets genutzt, wenn es sinnvoll ist?
  • Sind Hintergrund und Kamerawinkel unkritisch?
  • Ist klar, wann sensible Gespräche besser nicht im offenen Wohnumfeld geführt werden?

7. Mitarbeiter brauchen klare Regeln, nicht nur Technik

Technik hilft. Aber im Home Office entscheidet Verhalten oft genauso stark.

Mitarbeiter müssen wissen:

  • was mit Firmen-Geräten erlaubt ist;
  • was mit privaten Geräten nicht erlaubt ist;
  • wie mit Phishing, verdächtigen Links und Anhängen umzugehen ist;
  • was bei Verlust eines Geräts zu tun ist;
  • und wann ein Vorfall sofort gemeldet werden muss.

Genau deshalb betonen praktische Leitfäden zu Remote Work fast immer auch Awareness und klare Mitarbeiterregeln.

Prüfen Sie deshalb:

  • Gibt es eine kurze, verständliche Home-Office-Regelung?
  • Haben Mitarbeiter diese Regelung wirklich gesehen und verstanden?
  • Werden typische Home-Office-Risiken geschult?
  • Ist klar, was bei Unsicherheit der richtige Meldeweg ist?

8. Vorfälle müssen auch von zuhause aus meldbar sein

Ein Home-Office-Setup ist nur dann sauber, wenn Mitarbeiter im Problemfall nicht rätseln müssen.

Was passiert bei:

  • verdächtiger E-Mail;
  • verlorenem Handy;
  • gestohlenem Laptop;
  • versehentlich falsch versendeter Datei;
  • verdächtigem Login;
  • technischer Unsicherheit?

Wenn es dafür keinen klaren Meldeweg gibt, wird aus einem kleinen Problem schnell ein größerer Vorfall.

Prüfen Sie deshalb:

  • Ist der Meldeweg für Sicherheitsvorfälle klar?
  • Ist dieser Weg auch außerhalb des Büros praktikabel?
  • Wissen Mitarbeiter, was "sofort melden" konkret bedeutet?
  • Gibt es im Ernstfall erreichbare Ansprechpartner?

Was will der Auditor sehen?

Im ISO 27001-Audit wird das Thema Home Office innerhalb der Anforderung A.6.7 ("Remote Working") geprüft. Der Auditor will sehen, dass Home Office bei Ihnen nicht dem Zufall überlassen ist. Entscheidend ist, dass es klare Regeln für Geräte, Zugänge, Daten, Gespräche, Ausdrucke und Vorfälle gibt und dass diese Regeln im Alltag tatsächlich gelebt werden. Überzeugend sind dabei vor allem eine verständliche Home-Office-Regelung, technische Schutzmaßnahmen wie Verschlüsselung und MFA, Schulungsnachweise und ein klarer Meldeweg für Sicherheitsvorfälle.

Der häufigste Fehler

Der häufigste Fehler ist, Home Office wie eine rein technische Verlängerung des Büros zu behandeln.

In Wirklichkeit ist Home Office eine andere Arbeitsumgebung mit anderen Risiken:
mehr Privates, mehr Kontextwechsel, mehr Eigenverantwortung, mehr Abhängigkeit von Heimnetz, Raum und Verhalten.

Genau deshalb braucht Home Office keine riesige Sonderbürokratie, aber eben doch eine eigene, klare Sicherheitslogik.

FAQ

Reicht ein Firmenlaptop für sich allein aus?

Nein. Ein Firmenlaptop ist ein guter Start, aber nicht die ganze Lösung. Zusätzlich wichtig sind Updates, MFA, klare Regeln, sichere Verbindungen und ein praktikabler Umgang mit Daten und Vorfällen.

Müssen Mitarbeiter im Home Office zwingend ein VPN nutzen?

Nicht immer für jeden einzelnen Dienst. Aber für sensible Zugriffe und bestimmte interne Ressourcen ist ein gesicherter Verbindungsweg oft sinnvoll. Entscheidend ist, dass der Zugang insgesamt sauber abgesichert ist.

Dürfen private Geräte im Home Office genutzt werden?

Das kann man erlauben, aber nur mit klaren Regeln und passenden Schutzmaßnahmen. In vielen Fällen ist die Arbeit mit verwalteten Firmen-Geräten der sauberere und einfachere Weg.

Was ist im Home Office oft der größte blinde Fleck?

Häufig sind es nicht nur Technikprobleme, sondern Ausdrucke, Gespräche, Einblicke auf Bildschirme, private Ablageorte oder unklare Regeln für das Verhalten zuhause.

Wie aufwendig muss eine Home-Office-Regelung sein?

Nicht unnötig lang. Wichtiger als ein großes Dokument ist eine kurze, klare und verständliche Regelung, die im Alltag tatsächlich benutzt wird.

Braucht jedes Unternehmen eine eigene Home-Office-Checkliste?

Sobald Mitarbeiter regelmäßig außerhalb des Büros arbeiten, ist das sehr sinnvoll. Gerade für kleine und mittlere Unternehmen gibt es dafür praktische Basismaßnahmen und Checklisten.

 

Unser Tipp

Home Office wird nicht dadurch sicher, dass Mitarbeiter einfach denselben Laptop nur an einem anderen Ort aufklappen. Sicher wird es, wenn Geräte, Zugänge, Heimnetz, Daten, Gespräche, Regeln und Vorfallwege zusammenpassen. Genau dafür ist eine gute Checkliste da: nicht als Papierübung, sondern als pragmischer Realitätscheck für die tägliche Arbeit außerhalb des Büros.

Wenn Sie Home Office in Ihrem Unternehmen sicher und praxistauglich regeln wollen, ohne daraus ein Bürokratiemonster zu machen, sprechen Sie mit uns oder Sie schreiben uns etwas gleich rechts unten hier auf der Seite in den Chat.

Share 0
Share 0
Post 0
Author Image
Share0

Über den Autor

Joachim Reinke

Joachim Reinke unterstützt seit 2017 Unternehmen beim Aufbau praxistauglicher Managementsysteme für Informationssicherheit und Qualität. In dieser Zeit hat er bereits mehr als 100 Unternehmen begleitet. Er ist zertifizierter Lead Auditor und als Dozent für Informationssicherheit und Qualitätsmanagement bei Zertifizierern und Trainingsanbietern tätig. Kunden schätzen besonders seine klare, praxisnahe und verständliche Vermittlung auch anspruchsvoller Inhalte.

Einen Kommentar hinterlassen

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

{"email":"Email address invalid","url":"Website address invalid","required":"Required field missing"}