Wenn unverhofft ein Ereignis eintritt, dann ist es gut, einen Plan zu haben. Wichtig ist aber auch der Plan für „danach“. Die COVID19-Pandemie ist ein gutes Beispiel dafür.
Innerhalb weniger Tage mussten IT-Abteilungen in Deutschland und anderen Ländern die gesamte Belegschaft auf Homeoffice-Betrieb umschalten – auch dort, wo bis dato das Thema Homeoffice keine Rolle gespielt hat. Nicht immer ließ sich der Übergang ohne Stolpersteine bewältigen. Eine Konsequenz aus dieser Tatsache: Notebooks und Webcams waren zeitweise nicht oder nur mit sehr langen Lieferzeiten erhältlich. Kaum ein Unternehmen hat für derartige Szenarien ausreichend Notebooks für die gesamte Belegschaft auf Lager. Auch bei G DATA CyberDefense ist das nicht anders. Natürlich sind Notebooks in gewisser Anzahl vorhanden – diese stehen für Präsentationen externer Referenten, Schulungen oder als kurzfristiger Desktopersatz bereit Als feststand, dass der reguläre Bürobetrieb vorerst nicht mehr in dieser Form stattfinden sollte, stand die IT-Abteilung vor einer großen Herausforderung. Zwar waren, wie in unserem kurzen Interview erwähnt, ausreichend Ressourcen bei der Infrastruktur des Netzwerkes vorhanden, aber es fehlte an mobilen Geräten für alle Mitarbeiter. Und Privatrechner uneingeschränkt mit dem Firmennetz zu verbinden, war alleine aus Sicherheitsgründen keine Alternative. Das ließ nur eine Option offen: Einige Mitarbeiter mussten ihre Büro-PCs mit nach Hause nehmen.
Eine pragmatische Lösung, die einiges an logistischem Aufwand erforderte – aber in dieser Situation die einzig mögliche. Gleichzeitig blieb allerdings eine wesentliche Fragestellung offen: Was passiert mit diesen Rechnern, wenn sie wieder in die Firma kommen? Sie einfach wieder ins Firmennetz zu hängen, als wäre nie etwas passiert, stand von Anfang nicht zur Debatte. Schon zu diesem Zeitpunkt entschieden die Verantwortlichen, dass die Rechner vorher ausnahmslos geprüft werden müssen. Noch sicherer wäre es, die Geräte vollständig neu aufzusetzen. Doch dazu später mehr.
Dreh- und Angelpunkt der Remote-Arbeit ist das VPN des Unternehmens. Hier ist es ganz entscheidend, Zugriffsrechte zu gewähren und wo nötig zu ändern. Entscheidend ist auch, wer mit welchem Gerät auf welche Teile des Netzwerkes zugreifen kann. Ein Rechner, der im Büro steht, hat hier die niedrigsten Hürden zu überwinden. Doch wie sieht es mit einem Privat-PC aus, der auf das Firmennetz zugreifen will? Dieser sollte natürlich nicht dieselben Zugriffsrechte bekommen wie ein Unternehmensrechner. Die Gründe liegen auf der Hand: Die IT-Abteilung hat diesen Rechner noch nie zu Gesicht bekommen, kann nicht einschätzen, wie sicher oder unsicher das Gerät ist und es handelt sich nicht um Firmenbesitz. Daher lassen sich rechtlich nicht dieselben Maßstäbe und Policies anwenden wie für ein firmeneigenes Gerät.
Die entscheidende Frage ist also: Wie lässt sich aus IT-Sicht ein Firmenrechner von einem Privatrechner unterscheiden?. Dafür muss jeder firmeneigene Rechner eindeutig identifizierbar sein. Geeignete Merkmale dafür gibt es genug – angefangen beim Rechnernamen über die MAC-Adresse bis hin zum Standardbenutzer. Ändert sich eines der Merkmale jedoch, wäre der Rechner nicht mehr eindeutig identifizierbar. So unüblich ist das nicht: Führt die IT beispielsweise ein neues Namensschema für Unternehmensrechner ein, wäre an vielen Stellen eine manuelle Anpassung erforderlich. Manche VPN-Lösungen bringen hier bereits ab Werk die Möglichkeit mit, einen Rechner mit einer eindeutigen, einmaligen und unveränderbaren ID zu versehen. Diese ID ist im Verbund mit Benutzernamen, Passwort sowie einem zweiten Anmeldefaktor die Eintrittskarte in das Firmennetz. Und anhand der ID des Rechners lässt sich auch eine Einsortierung der Rechner in unterschiedliche Berechtigungsgruppen vornehmen, etwa über das Active Directory des Unternehmensnetzwerkes.
Dort lassen sich dann die Rechner mit einer ID, die zweifelsfrei einem firmeneigenen PC zugeordnet ist, in eine Berechtigungsgruppe mit weitergehenden Zugriffsrechten verschieben. Rechner hingegen, die nicht zum Inventar des Unternehmens gehören, bekommen eine eigene Gruppe zugewiesen, die gewissen Zugriffsbeschränkungen unterliegt.
Dass unvorhersehbare Dinge passieren ist eine unbequeme Tatsache. Es liegt auch in der menschlichen Natur, dass sich niemand gerne seine Komfortzone verlässt, indem er sich mit unangenehmen Dingen befasst. Das weiß jeder, der schon einmal zwischen dem Abwasch und einem gemütlichen Fernsehabend entscheiden musste. So existierte in vielen Firmen kein Plan für den Fall, dass niemand mehr im Büro arbeiten kann oder darf. Für Überlegungen, wie es „danach“ weitergeht, blieb oft keine Zeit – es galt, dringendere Probleme zu lösen.
Wann die Corona-Krise so weit überstanden ist, dass Mitarbeiter wieder vom Büro aus arbeiten können, steht zwar zum Veröffentlichungszeitpunkt dieses Artikels noch nicht fest – dennoch tun Unternehmen und deren IT-Abteilungen gut daran, bereits jetzt Vorkehrungen für diese Zeit zu treffen. Durch die Tatsache, dass in dieser Zeit Privates und Berufliches näher zusammenrückt, ist bei vielen Nutzern die Hemmschwelle niedriger, auch Privatangelegenheiten eben schnell am Arbeits-PC zu erledigen. Vom Phishing bis zum Befall mit Schadsoftware steht das gesamte Risikospektrum offen. Und im ungünstigsten Fall bekommt die IT-Abteilung davon nichts mit. Eine Schadsoftware, die bereits jetzt unbemerkt auf dem Unternehmensrechner sitzt, kann hier fatale Folgen haben, sobald der Rechner wieder vollständig ins Unternehmensnetz zurückkehrt.
Für den Fall, dass in Zukunft ähnliche Szenarien zur Realität werden, können Unternehmen sich bereits jetzt vorbereiten. Und dazu sind in vielen Fällen keine kostspieligen Neuanschaffungen erforderlich. Viele der Maßnahmen, die jeder ergreifen kann, sind mit vorhandenen Mitteln umsetzbar.