Sicheres Arbeiten im Home Office – Wer spricht da?
Im vorherigen Blogartikel wurden die Schutzziele „Verfügbarkeit“ und „Vertraulichkeit“ für das Arbeiten im Home Office betrachtet. Zunächst wurde die mögliche Verletzung der Vertraulichkeit beim Transport von zumeist physischen Informationswerten zum häuslichen Arbeitsplatz angesprochen. Dies ist aber nicht das einzige Szenario. Man könnte auch hinterfragen, ob sich in den Räumlichkeiten „Smart Home“- oder ähnliche Gerätschaften befinden, wie z.B. die vorrangig im privaten Bereich genutzten Sprachassistenten, smarte Lautsprecher oder Fernsehgeräte mit Sprachsteuerung. Es ist bei solchen Geräten nicht jedem Benutzer immer klar, ob und unter welchen Bedingungen diese Geräte Umgebungsgeräusche aufzeichnen, auswerten oder weitergeben. Eine Verletzung der Vertraulichkeit des gesprochenen Wortes – z.B. in einem dienstlichen Telefonat oder auch in einer privaten Unterhaltung – könnte also durchaus möglich sein.
Schutzziel: Authentizität im Home Office
Neben den beiden bisher erwähnten Schutzzielen erweist sich auch das oft nicht ganz so präsente Schutzziel „Authentizität“ als beachtenswert. Es beinhaltet die überprüfbare „Echtheit“ von Systemen oder auch von Menschen. So möchte man z.B. sicher sein, dass die Webseite der eigenen Hausbank für das Homebanking „authentisch“ ist, also tatsächlich von der eigenen Hausbank stammt und keine gut gemachte Fälschung ist. Übertragen auf das Arbeiten im Home Office stellt sich also die Frage, wie die IT-Abteilung, der Mitarbeiter am Service Desk oder vielleicht sogar die Kollegen sicher sein können, dass ein eingehender Anruf tatsächlich authentisch ist, also wirklich vom eignen Mitarbeiter im Home Office stammt, und nicht von einem Unbefugten oder gar einem Angreifer. Die angezeigte Telefonnummer alleine reicht da nicht aus – sie könnte recht einfach gefälscht werden, was in Deutschland allerdings illegal ist. Auch ein Videobild alleine oder eine Ähnlichkeit in der Stimme sind nicht ausreichend – mit aktueller Technik sind recht erstaunliche Fälschungen von Gesichtern, Mimik und auch Tonfall von realen Menschen in Echtzeit möglich, so genannte „Deep Fakes“. Wie schwierig es ist, hier eine ausreichende Zuverlässigkeit zu erreichen, zeigt insbesondere die permanente Verfeinerung von Verfahren wie z.B. „Videoident“, welches in der Finanzbranche zur Legitimationsprüfung mittels Videokonferenz dient.
Lösungsmöglichkeit: Mehrere Faktoren im Home Office
Eine Möglichkeit, wie sichergestellt werden kann, dass ein Anruf auch tatsächlich von dem Mitarbeiter im Home Office stammt, wäre ein Rückruf zu der in den internen Stammdaten hinterlegten Rufnummer, z.B. auf das dienstliche Mobiltelefon. Eine mögliche Alternative könnte die Abfrage der Personalnummer sein, die als weiteres Merkmal zur Sicherstellung der Authentizität herangezogen werden könnte. Generell ist es für solche Szenarien immer eine gute Idee, einen zweiten Faktor mit einzubinden, sei es der Faktor „Wissen“ (wie beschrieben, die Personalnummer) oder der Faktor „Besitz“, wie z.B. bei der Nutzung einer Authenticator App auf einem Mobiltelefon. Dieser Ratschlag zur Nutzung von Zwei- oder Mehrfaktorauthentifikation gilt generell, nicht nur für das Arbeiten im Home Office.
Was Sie noch interessieren könnte…
Seminar:
Datenschutz und Informationssicherheit im Home Office und beim mobilen Arbeiten
Podcast:
Unser Podcast hat diesem Thema 3 Teile gewidmet. Alle drei Folgen der Serie „Security im Home Office“ finden Sie auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.