- Jeder Zugriff auf Unternehmensressourcen von außerhalb des Firmennetzes muss über einen verschlüsselten Kanal erfolgen – VPN ist der Standard, ZTNA die modernere Alternative.
- Endpoint Security auf Remote-Geräten umfasst mindestens EDR, Festplattenverschlüsselung, automatische Updates und eine Host-Firewall. Ohne diese Basismaßnahmen darf kein Gerät auf Unternehmensdaten zugreifen.
- Eine Remote-Arbeitsrichtlinie regelt verbindlich, unter welchen technischen und organisatorischen Bedingungen Mitarbeiter außerhalb des Büros arbeiten dürfen.
- Private Geräte (BYOD) erfordern separate Regeln: Mindestens MDM-Enrollment, Container-Lösung und die Möglichkeit zum Remote Wipe der Unternehmensdaten.
- Clean Desk, sichere Entsorgung und Bildschirmsperre gelten im Homeoffice genauso wie im Büro – sie müssen explizit in der Richtlinie verankert und geschult werden.
Remote-Arbeit ist kein Sonderfall mehr
Vor einigen Jahren war Homeoffice für die meisten mittelständischen Unternehmen die Ausnahme. Ein Privileg für bestimmte Positionen, eine Notlösung bei Krankheit oder Kinderbetreuung, manchmal auch ein Zugeständnis an besonders gefragte Fachkräfte. Die Pandemie hat das radikal verändert. Was 2020 als Improvisation begann, mit privaten Laptops am Küchentisch, hat sich zu einem dauerhaften Arbeitsmodell entwickelt, das Mitarbeiter erwarten und Unternehmen akzeptiert haben.
Aber während sich die Arbeitsmodelle verändert haben, sind die Sicherheitskonzepte in vielen Unternehmen stehen geblieben. Die Firewall schützt das Büronetz, der Proxy filtert den Webtraffic, die Gruppenrichtlinien greifen auf den Domänen-Rechnern. Im Büro funktioniert das alles. Sobald ein Mitarbeiter aber mit seinem Laptop zuhause sitzt, über sein privates WLAN arbeitet und vielleicht noch sein Kind das gleiche Netzwerk für Gaming nutzt, greifen viele dieser Schutzmaßnahmen nicht mehr.
ISO 27001 adressiert Remote-Arbeit in Annex A.6.7 (Fernarbeit) und fordert, dass Sicherheitsmaßnahmen implementiert werden, die den besonderen Risiken von Tätigkeiten außerhalb der Unternehmensräume Rechnung tragen. NIS2 geht noch weiter und fordert in den Mindestmaßnahmen explizit Sicherheit bei der Beschaffung, Entwicklung und Wartung von Netz- und Informationssystemen, einschließlich der Handhabung und Offenlegung von Schwachstellen. Das umfasst selbstverständlich auch die Endgeräte, die außerhalb des Unternehmens betrieben werden.
Dieser Artikel behandelt die technischen und organisatorischen Maßnahmen, die du brauchst, um Remote-Arbeit sicher zu gestalten. Nicht theoretisch, sondern so, wie du es mit einem realistischen Budget und einer kleinen IT-Abteilung umsetzen kannst.
VPN: Der verschlüsselte Tunnel ins Firmennetz
Ein Virtual Private Network ist nach wie vor der Standard, wenn Mitarbeiter von außerhalb auf interne Ressourcen zugreifen müssen. Der VPN-Client auf dem Endgerät baut einen verschlüsselten Tunnel zum VPN-Gateway im Firmennetz auf. Der gesamte Datenverkehr, der durch diesen Tunnel fließt, ist vor Mitlesen und Manipulation geschützt, auch wenn der Mitarbeiter in einem unsicheren WLAN sitzt.
VPN-Protokolle: Was du einsetzen solltest
Nicht jedes VPN-Protokoll bietet den gleichen Schutz. PPTP ist veraltet und unsicher, L2TP/IPsec hat bekannte Schwächen in bestimmten Konfigurationen. Die empfohlenen Protokolle für den Unternehmenseinsatz sind:
WireGuard ist das modernste Protokoll: schnell, schlank, gut auditiert, mit einem minimalen Codeumfang, der die Angriffsfläche klein hält. Viele aktuelle Firewalls und VPN-Appliances unterstützen WireGuard inzwischen nativ.
OpenVPN ist der bewährte Standard mit einer langen Track-Record im Unternehmenseinsatz. Es ist flexibel konfigurierbar, unterstützt sowohl TCP als auch UDP und läuft auf praktisch jedem Betriebssystem. Die Konfiguration ist etwas aufwändiger als bei WireGuard, dafür sind die Enterprise-Features wie Zertifikats-basierte Authentifizierung und Integration in RADIUS-Server ausgereifter.
IKEv2/IPsec ist die native VPN-Lösung in Windows und macOS und bietet gute Performance bei stabiler Verbindung. Besonders auf mobilen Geräten hat IKEv2 Vorteile, weil es Netzwerkwechsel (zum Beispiel von WLAN zu Mobilfunk) nahtlos handhabt.
MFA auf dem VPN ist Pflicht
Ein VPN-Zugang, der nur mit Benutzername und Passwort gesichert ist, ist ein offenes Scheunentor. Kompromittierte Zugangsdaten sind der häufigste Angriffsvektor, und ein VPN ohne zweiten Faktor gibt einem Angreifer mit gestohlenen Credentials direkten Zugriff auf das interne Netzwerk.
Jeder VPN-Zugang muss mit Multi-Faktor-Authentifizierung gesichert sein. Die meisten VPN-Lösungen unterstützen TOTP (Authenticator-Apps), RADIUS-Integration oder SAML-basierte Authentifizierung über einen Identity Provider. Wenn dein VPN-Gateway das nicht unterstützt, ist es Zeit für ein Upgrade.
Split Tunneling: Ja oder nein?
Split Tunneling bedeutet, dass nur der Datenverkehr zu Unternehmensressourcen durch den VPN-Tunnel geleitet wird, während privater Internetverkehr (YouTube, Streaming, private E-Mails) direkt ins Internet geht. Full Tunneling leitet dagegen den gesamten Verkehr durch den Tunnel.
Die Entscheidung ist ein Abwägen zwischen Sicherheit und Nutzbarkeit. Full Tunneling bietet mehr Kontrolle, weil der gesamte Traffic über die Unternehmens-Firewall und den Proxy läuft. Aber es belastet die VPN-Infrastruktur erheblich, verlangsamt das Internet für den Mitarbeiter und kann bei Videokonferenzen zu Qualitätsproblemen führen.
Split Tunneling entlastet die Infrastruktur und verbessert die Nutzererfahrung, hat aber den Nachteil, dass der Mitarbeiter gleichzeitig im Firmennetz und im offenen Internet hängt. Ein kompromittiertes Gerät kann über die direkte Internetverbindung Daten exfiltrieren, ohne dass die Unternehmens-Firewall etwas davon mitbekommt.
Der pragmatische Mittelweg für den Mittelstand: Split Tunneling erlauben, aber mit klaren Regeln. Nur Unternehmensgeräte mit aktuellem EDR und Festplattenverschlüsselung dürfen Split Tunneling nutzen. Auf dem Endgerät muss eine DNS-Filterung aktiv sein, die bekannte Malware-Domains blockiert. Die Konfiguration des Split Tunneling wird zentral verwaltet, sodass der Mitarbeiter keine eigenen Ausnahmen definieren kann.
ZTNA: Die moderne Alternative zum klassischen VPN
Zero Trust Network Access ist das Gegenstück zum klassischen VPN in einer Zero-Trust-Architektur. Während ein VPN dem Nutzer nach der Authentifizierung Zugriff auf das gesamte Netzwerk (oder ein Segment) gibt, gewährt ZTNA Zugriff auf einzelne Anwendungen, und zwar nur auf die, die der Nutzer tatsächlich braucht.
Der Unterschied ist fundamental: Bei einem VPN bist du nach dem Verbindungsaufbau im Netzwerk und kannst dort alles erreichen, was die Firewall-Regeln erlauben. Bei ZTNA bist du nie im Netzwerk. Du greifst über einen Broker auf eine spezifische Anwendung zu, und der Broker prüft bei jedem Zugriff Identität, Gerätezustand und Kontext.
Für den Mittelstand ist ZTNA eine interessante Option, die allerdings nicht für jedes Szenario passt. Wenn du hauptsächlich Cloud-Anwendungen nutzt (Microsoft 365, Google Workspace, SaaS-Tools), brauchst du ohnehin kein VPN für den Zugriff auf diese Anwendungen. Conditional Access über den Identity Provider leistet hier das Gleiche wie ZTNA. Wenn du dagegen noch viele On-Premises-Anwendungen hast (ERP-System, Fileserver, Fachanwendungen), ist ein VPN pragmatischer, weil ZTNA für jede Anwendung einzeln konfiguriert werden muss.
Ein hybrider Ansatz funktioniert oft am besten: Cloud-Anwendungen über Conditional Access absichern, On-Premises-Anwendungen über VPN mit MFA. Perspektivisch einzelne On-Premises-Anwendungen über ZTNA-Lösungen wie Microsoft Entra Private Access oder Cloudflare Access veröffentlichen und das VPN schrittweise zurückbauen.
Endpoint Security: Das Gerät ist die neue Perimetergrenze
Wenn der Mitarbeiter im Homeoffice arbeitet, ist sein Endgerät die letzte und wichtigste Verteidigungslinie. Die Firewall im Büro schützt ihn nicht mehr. Der Proxy filtert seinen Webtraffic nicht mehr. Die Netzwerksegmentierung greift nicht. Alles, was zwischen dem Angreifer und den Unternehmensdaten steht, ist das Gerät selbst und die Software, die darauf läuft.
EDR statt klassischem Antivirus
Klassischer signaturbasierter Virenschutz reicht für Remote-Geräte nicht mehr aus. Was du brauchst, ist eine Endpoint Detection and Response (EDR) Lösung, die nicht nur bekannte Malware erkennt, sondern auch verdächtiges Verhalten, das auf einen Angriff hindeutet. EDR beobachtet Prozesse, Netzwerkverbindungen und Dateioperationen auf dem Endgerät und schlägt Alarm, wenn etwas Ungewöhnliches passiert.
Microsoft Defender for Business ist in den Microsoft 365 Business Premium Lizenzen enthalten und bietet EDR-Funktionalität, die für den Mittelstand völlig ausreicht. Alternativen wie CrowdStrike Falcon Go oder SentinelOne Singularity bieten vergleichbare Funktionen als eigenständige Lösungen. Wichtig ist, dass die EDR-Lösung zentral verwaltet wird und die IT Alerts auch dann sieht, wenn das Gerät nicht im Firmennetz ist.
Festplattenverschlüsselung ist nicht verhandelbar
Ein Laptop, der im Zug vergessen oder aus dem Auto gestohlen wird, ist ein Datenschutzvorfall, wenn die Festplatte nicht verschlüsselt ist. Mit aktivierter Festplattenverschlüsselung ist es ein ärgerlicher Verlust von Hardware, aber kein Datenschutzproblem, weil die Daten auf der Festplatte ohne den Schlüssel nicht lesbar sind.
BitLocker (Windows) und FileVault (macOS) sind in den Betriebssystemen enthalten und lassen sich über Gruppenrichtlinien oder MDM zentral aktivieren und verwalten. Eine detaillierte Übersicht der Algorithmen und Schlüsselverwaltung findest du im Artikel zur Verschlüsselung im Unternehmen. Die Recovery-Keys müssen zentral gespeichert werden, entweder im Active Directory, in Entra ID oder in der MDM-Lösung. Wenn ein Mitarbeiter sein Passwort vergisst oder das Gerät nicht mehr startet, muss die IT den Recovery-Key bereitstellen können.
Festplattenverschlüsselung muss auf jedem Gerät aktiv sein, das Unternehmensdaten verarbeitet. Keine Ausnahmen, auch nicht für den Geschäftsführer, der meint, er passe schon auf seinen Laptop auf.
Automatische Updates und Patch Management
Ein ungepatchtes Gerät ist ein offenes Tor. Bekannte Schwachstellen in Betriebssystemen und Anwendungen werden von Angreifern aktiv ausgenutzt, oft innerhalb weniger Tage nach Veröffentlichung eines Patches. Ein strukturiertes Patch-Management ist daher auch für Remote-Geräte unverzichtbar. Bei Remote-Geräten ist das Risiko besonders hoch, weil sie nicht im Firmennetz hängen und deshalb möglicherweise den internen Patch-Management-Prozess umgehen.
Stelle sicher, dass automatische Updates auf allen Remote-Geräten aktiviert sind. Windows Update for Business ermöglicht die zentrale Steuerung von Update-Ringen, auch für Geräte außerhalb des Firmennetzes. Für Drittanbieter-Software (Browser, PDF-Reader, Office-Anwendungen) braucht es zusätzlich ein Patch-Management-Tool oder eine MDM-Lösung, die Software-Updates verteilen kann.
Definiere eine maximale Toleranzzeit: Kritische Sicherheitsupdates müssen innerhalb von 72 Stunden installiert werden. Geräte, die länger als zwei Wochen kein Update erhalten haben, werden beim nächsten VPN-Verbindungsaufbau gewarnt, und nach vier Wochen wird der Zugriff gesperrt, bis das Gerät aktualisiert ist.
Host-Firewall und DNS-Filterung
Die Windows-Firewall oder die macOS-Firewall sollten auf Remote-Geräten aktiviert und konfiguriert sein. Sie bieten einen grundlegenden Schutz gegen eingehende Verbindungsversuche, die im Heimnetzwerk des Mitarbeiters von anderen Geräten ausgehen können.
Zusätzlich empfehle ich eine DNS-Filterung auf dem Endgerät. Dienste wie Cisco Umbrella, NextDNS oder Cloudflare Gateway leiten DNS-Anfragen über einen gefilterten DNS-Server, der bekannte Malware-Domains, Phishing-Seiten und Command-and-Control-Server blockiert. Das funktioniert unabhängig vom VPN und schützt auch den privaten Internetverkehr bei Split Tunneling.
WLAN-Sicherheit im Homeoffice
Das Heim-WLAN des Mitarbeiters ist keine kontrollierte Unternehmensumgebung. Der Router wurde vermutlich vom Internetanbieter geliefert, das Standardpasswort wurde hoffentlich geändert (aber nicht immer), die Firmware ist möglicherweise veraltet, und im gleichen Netzwerk hängen Smart-TVs, Spielekonsolen und die IoT-Geräte der Kinder.
Du kannst das Heim-WLAN deiner Mitarbeiter nicht verwalten. Was du aber tun kannst, ist Mindestanforderungen zu definieren und in der Remote-Arbeitsrichtlinie zu verankern:
WPA3 oder WPA2-PSK mit starkem Passwort. WEP und offene Netzwerke sind nicht akzeptabel. Das WLAN-Passwort muss mindestens 16 Zeichen lang sein und darf nicht das Standardpasswort des Routers sein.
Router-Firmware aktuell halten. Viele Consumer-Router haben automatische Updates, aber nicht alle. Mitarbeiter sollten angewiesen werden, regelmäßig auf Firmware-Updates zu prüfen, mindestens quartalsweise.
Router-Verwaltungsoberfläche absichern. Das Admin-Passwort des Routers ändern, Remote-Management deaktivieren, UPnP deaktivieren.
Gastnetzwerk für IoT-Geräte nutzen. Viele moderne Router bieten ein Gastnetzwerk an, das vom Hauptnetzwerk isoliert ist. Smart-Home-Geräte, Spielekonsolen und andere IoT-Geräte sollten in dieses Gastnetzwerk verschoben werden, damit ein kompromittiertes IoT-Gerät nicht auf den Firmen-Laptop zugreifen kann.
Diese Anforderungen kannst du nicht technisch durchsetzen. Was du aber kannst: Sie in die Richtlinie schreiben, in der Awareness-Schulung thematisieren und bei Bedarf eine kurze Anleitung bereitstellen, die erklärt, wie man das Router-Passwort ändert und ein Gastnetzwerk einrichtet. Mitarbeiter, die unsicher sind, sollten sich an die IT wenden können, ohne dass sie sich dafür schämen müssen.
Drucken und sichere Entsorgung im Homeoffice
Ein Thema, das in vielen Remote-Arbeitskonzepten vergessen wird: Was passiert mit gedruckten Dokumenten im Homeoffice?
Im Büro gibt es idealerweise verschlossene Altpapiercontainer für vertrauliche Unterlagen und einen Aktenvernichter für besonders schützenswerte Dokumente. Im Homeoffice landet das ausgedruckte Dokument nach der Besprechung auf dem Schreibtisch, wird vom Kind als Malpapier verwendet oder wandert ungeshreddert ins Altpapier.
Die Richtlinie muss klare Regeln definieren: Drucken von vertraulichen Dokumenten im Homeoffice ist nur erlaubt, wenn ein Aktenvernichter mit mindestens Sicherheitsstufe P-4 (Partikelschnitt) vorhanden ist. Wenn das Unternehmen die Kosten für einen Aktenvernichter nicht übernehmen will, muss die Alternative lauten: Vertrauliche Dokumente werden nicht gedruckt. Punkt.
Vertrauliche Unterlagen, die nicht mehr benötigt werden, müssen vernichtet werden, nicht in den Hausmüll geworfen. Das gilt auch für Post-its mit Notizen aus Besprechungen, handschriftliche Skizzen von Systemarchitekturen und ähnliche Überbleibsel des Arbeitsalltags.
Wenn Mitarbeiter aus dem Homeoffice zurück ins Büro kommen, sollten sie aufgefordert werden, alle noch vorhandenen gedruckten Unterlagen mitzubringen und im Büro ordnungsgemäß zu entsorgen. Das klingt nach einer Kleinigkeit, aber ein Auditor wird genau danach fragen.
Clean Desk im Homeoffice
Clean Desk ist kein Konzept, das auf das Büro beschränkt ist. ISO 27001 Annex A.7.7 (Aufgeräumter Schreibtisch und aufgeräumter Bildschirm) gilt überall dort, wo mit Unternehmensinformationen gearbeitet wird, also auch im Homeoffice.
In der Praxis bedeutet das: Wenn der Mitarbeiter den Arbeitsplatz verlässt, auch wenn es nur für eine Kaffeepause ist, müssen vertrauliche Unterlagen verdeckt oder weggeräumt werden. Der Laptop muss gesperrt sein (Windows-Taste + L, bei macOS Ctrl + Command + Q). Bei längerer Abwesenheit sollten Unterlagen in einem abschließbaren Schrank oder Fach aufbewahrt werden.
Das klingt selbstverständlich, wird aber im Homeoffice häufiger vernachlässigt als im Büro. Zuhause fühlt sich alles sicher an, es sind ja nur die Familie und die Katze in der Wohnung. Aber der Handwerker, der den Wasserrohrbruch repariert, der Besuch, der über Nacht bleibt, oder das Kind, das dem Freund den Laptop der Mama zeigt, all das sind Szenarien, in denen vertrauliche Informationen unbeabsichtigt offengelegt werden können.
Die automatische Bildschirmsperre muss auf allen Geräten erzwungen werden: nach maximal 5 Minuten Inaktivität auf dem Laptop, nach maximal 2 Minuten auf mobilen Geräten. Das lässt sich über Gruppenrichtlinien oder MDM zentral konfigurieren und ist nicht verhandelbar.
Private Geräte (BYOD): Regeln oder verbieten
Bring Your Own Device ist ein Thema, an dem sich die Geister scheiden. Manche Unternehmen erlauben es großzügig, andere verbieten es kategorisch. Beide Extreme haben Nachteile.
Ein vollständiges BYOD-Verbot ist oft nicht durchsetzbar. Mitarbeiter werden trotzdem ihre geschäftlichen E-Mails auf dem privaten Smartphone checken, auch wenn es verboten ist. Und wenn du Freelancer oder Externe beschäftigst, lässt sich die Nutzung privater Geräte ohnehin nicht vermeiden.
Umgekehrt ist ein unkontrolliertes BYOD ein Sicherheitsalbtraum. Du hast keine Kontrolle über den Patch-Stand des Geräts, weißt nicht, ob ein Virenscanner installiert ist, kannst im Verlustfall die Unternehmensdaten nicht remote löschen und hast bei einem Datenschutzvorfall keine Möglichkeit, das Gerät forensisch zu untersuchen.
Der Mittelweg: Kontrolliertes BYOD
Wenn du BYOD erlaubst, dann nur unter klar definierten Bedingungen. Die folgenden Anforderungen sollten als Minimum gelten:
MDM-Enrollment. Das private Gerät muss in der Mobile-Device-Management-Lösung des Unternehmens registriert werden. Bei Microsoft-Umgebungen ist das Intune, es gibt aber auch Alternativen wie JAMF (für Apple-Geräte) oder Workspace ONE. Das MDM-Enrollment bedeutet nicht, dass das Unternehmen das gesamte Gerät kontrolliert, sondern dass grundlegende Sicherheitsanforderungen durchgesetzt und überprüft werden können.
Container-Lösung. Unternehmensdaten und private Daten müssen auf dem Gerät getrennt sein. Bei Smartphones lösen das die Container von Intune (MAM) oder Samsung Knox. Unternehmens-Apps (Outlook, Teams, OneDrive) laufen in einem verschlüsselten Container, der von den privaten Apps isoliert ist. Daten können nicht per Copy-Paste oder Screenshots aus dem Container heraus in private Apps übertragen werden.
Mindest-Sicherheitsstandards. Das Gerät muss ein aktuelles Betriebssystem haben (mindestens die letzte oder vorletzte Major-Version). Ein Sperrbildschirm mit PIN, Passwort oder Biometrie muss aktiviert sein. Das Gerät darf nicht gerootet oder gejailbreakt sein.
Remote Wipe der Unternehmensdaten. Im Verlustfall muss das Unternehmen die Möglichkeit haben, die Unternehmensdaten auf dem Gerät zu löschen, ohne die privaten Daten zu beeinträchtigen. Das unterscheidet den selektiven Wipe vom vollständigen Wipe, der das gesamte Gerät zurücksetzt und den du auf einem privaten Gerät nicht durchführen darfst, ohne massive Datenschutzprobleme zu erzeugen.
Einwilligungserklärung. Der Mitarbeiter muss schriftlich einwilligen, dass sein privates Gerät im MDM registriert wird, dass bei Verlust ein selektiver Wipe durchgeführt werden kann und dass das Unternehmen grundlegende Sicherheitsanforderungen überprüfen darf. Ohne diese Einwilligung kein BYOD.
Wann BYOD verboten werden sollte
Es gibt Szenarien, in denen BYOD nicht erlaubt werden sollte, unabhängig von den technischen Schutzmaßnahmen. Für Arbeitsplätze, an denen regelmäßig mit besonders schützenswerten Daten gearbeitet wird (Personaldaten, Gesundheitsdaten, Finanzdaten), sollte das Unternehmen dedizierte Geräte stellen. Das gleiche gilt für Administratoren und IT-Mitarbeiter, deren Geräte ein höheres Angriffspotenzial haben.
Die Remote-Arbeitsrichtlinie: Was hineingehört
Alle technischen Maßnahmen nutzen wenig, wenn sie nicht in einer verbindlichen Richtlinie dokumentiert sind. In ISMS Lite kannst du die Remote-Arbeitsrichtlinie versioniert ablegen und die technischen Maßnahmen als Controls mit Umsetzungsstatus verknüpfen. Die Remote-Arbeitsrichtlinie ist das zentrale Dokument, das regelt, unter welchen Bedingungen Mitarbeiter außerhalb des Büros arbeiten dürfen, welche technischen Voraussetzungen erfüllt sein müssen und welche Verhaltensregeln gelten.
Geltungsbereich und Definitionen
Definiere, für wen die Richtlinie gilt: alle Mitarbeiter, die gelegentlich oder regelmäßig von einem Ort außerhalb der Unternehmensräume arbeiten. Das umfasst Homeoffice, mobiles Arbeiten (zum Beispiel im Zug oder beim Kunden) und Co-Working Spaces. Definiere auch, was als Unternehmensgerät und was als privates Gerät gilt.
Technische Voraussetzungen
Dieser Abschnitt listet die Mindestanforderungen an die technische Ausstattung: VPN-Client installiert und konfiguriert, MFA aktiviert, Festplattenverschlüsselung aktiv, EDR-Lösung installiert, automatische Updates aktiviert, Host-Firewall aktiv, Bildschirmsperre konfiguriert. Für BYOD-Geräte: MDM-Enrollment, Container-Lösung, Mindest-Betriebssystemversion.
Verhaltensregeln
Hier werden die organisatorischen Maßnahmen geregelt: Clean-Desk-Pflicht, Sperren des Bildschirms bei Verlassen des Arbeitsplatzes, keine Nutzung öffentlicher WLANs ohne VPN, kein Drucken vertraulicher Dokumente ohne Aktenvernichter, keine Nutzung privater Cloud-Speicher für Unternehmensdaten, keine Weitergabe von VPN-Zugangsdaten.
Physische Sicherheit
Der Arbeitsplatz im Homeoffice muss so gestaltet sein, dass Unbefugte keinen Einsichtnahme auf den Bildschirm oder Zugriff auf Unterlagen haben. In geteilten Wohnungen oder WGs kann das bedeuten, dass der Arbeitsplatz in einem abschließbaren Raum sein muss. Geräte dürfen nicht unbeaufsichtigt in öffentlich zugänglichen Bereichen liegen gelassen werden.
Meldepflichten
Wenn ein Gerät verloren geht, gestohlen wird oder ein Sicherheitsvorfall vermutet wird, muss der Mitarbeiter das unverzüglich melden. Definiere den Meldeweg (an wen, über welchen Kanal) und die erwartete Reaktionszeit. Klarstelle, dass keine Sanktionen drohen, wenn ein Verlust ehrlich und zeitnah gemeldet wird, aber dass verspätete Meldungen als Verstoß gegen die Richtlinie gewertet werden.
Genehmigungsprozess
Definiere, ob Remote-Arbeit generell erlaubt ist oder ob eine individuelle Genehmigung erforderlich ist. Wer genehmigt? Was sind die Voraussetzungen? Gibt es einen Unterschied zwischen gelegentlichem Homeoffice und dauerhafter Remote-Arbeit? Für besonders schützenswerte Positionen kann eine zusätzliche Sicherheitsüberprüfung des Arbeitsplatzes erforderlich sein.
Videokonferenzen und Screen Sharing
Ein Aspekt der Remote-Arbeit, der in Sicherheitskonzepten häufig übersehen wird: Videokonferenzen. Wenn ein Mitarbeiter seinen Bildschirm teilt, sehen alle Teilnehmer, was auf dem Bildschirm ist. Das können versehentlich E-Mail-Benachrichtigungen mit vertraulichen Inhalten sein, geöffnete Tabs mit sensiblen Anwendungen oder Desktop-Benachrichtigungen von Messaging-Apps.
Die Richtlinie sollte folgende Punkte abdecken: Vor dem Screen Sharing alle unnötigen Anwendungen und Tabs schließen. Den Benachrichtigungsmodus des Betriebssystems aktivieren (Windows: Nicht stören, macOS: Fokus). Nur einzelne Fenster oder Anwendungen teilen, nicht den gesamten Bildschirm, wenn möglich. In vertraulichen Meetings die Aufnahmefunktion deaktivieren oder nur mit Zustimmung aller Teilnehmer aktivieren.
Bei Videokonferenzen in geteilten Räumen (zum Beispiel in einem Co-Working Space) gilt zusätzlich: Kopfhörer verwenden, damit der Ton des Meetings nicht von Umstehenden mitgehört werden kann. Bei besonders vertraulichen Gesprächen in einen privaten Raum wechseln.
Sonderfall: Arbeiten in öffentlichen Räumen
Cafés, Flughafenlounges, Züge, Hotels. Mobiles Arbeiten in öffentlichen Räumen gehört für viele zum Alltag. Aus Sicherheitsperspektive ist das die riskanteste Form der Remote-Arbeit, weil sowohl der visuelle als auch der netzwerkseitige Schutz minimal ist.
Blickschutzfolie verwenden. Eine Privacy-Screen-Folie auf dem Laptop sorgt dafür, dass der Bildschirminhalt nur aus einem engen Blickwinkel lesbar ist. Für Mitarbeiter, die regelmäßig unterwegs arbeiten, sollte das Unternehmen Blickschutzfolien bereitstellen.
Kein offenes WLAN ohne VPN. In öffentlichen WLANs ist der Datenverkehr unverschlüsselt und potenziell für andere Nutzer im gleichen Netzwerk einsehbar. VPN-Pflicht gilt in öffentlichen Netzwerken ausnahmslos. Wenn die VPN-Verbindung nicht hergestellt werden kann, darf nicht gearbeitet werden.
Hotspot statt öffentliches WLAN. Wenn möglich, sollten Mitarbeiter den Mobilfunk-Hotspot ihres Smartphones nutzen, statt sich in öffentliche WLANs einzuloggen. Die Mobilfunkverbindung ist zwar nicht hundertprozentig sicher, aber deutlich schwieriger abzufangen als ein offenes WLAN.
Geräte nie unbeaufsichtigt lassen. Auch nicht kurz, auch nicht wenn der Nachbar am Tisch freundlich aussieht. Ein Laptop ist in Sekunden gestohlen. Wenn du aufstehst, nimmst du das Gerät mit. Immer.
Technische Umsetzung: Eine realistische Checkliste
Fassen wir die technischen Maßnahmen in einer Checkliste zusammen, die du als Grundlage für deine Umsetzung nutzen kannst:
| Maßnahme | Priorität | Umsetzung mit Bordmitteln möglich? |
|---|---|---|
| VPN mit MFA für alle Remote-Zugänge | Hoch | Ja (WireGuard/OpenVPN + TOTP) |
| Festplattenverschlüsselung auf allen Geräten | Hoch | Ja (BitLocker/FileVault) |
| EDR auf allen Endgeräten | Hoch | Ja (Defender for Business) |
| Automatische Updates erzwungen | Hoch | Ja (Windows Update for Business/MDM) |
| Bildschirmsperre nach 5 Min. Inaktivität | Hoch | Ja (GPO/MDM) |
| Conditional Access auf Cloud-Diensten | Mittel | Ja (Entra ID/Google Workspace) |
| DNS-Filterung auf Endgeräten | Mittel | Ja (NextDNS/Cloudflare Gateway Free) |
| MDM-Enrollment für BYOD | Mittel | Ja (Intune/JAMF) |
| Container-Lösung für BYOD-Smartphones | Mittel | Ja (Intune MAM) |
| Blickschutzfolien für mobile Mitarbeiter | Niedrig | Ja (Hardware-Beschaffung) |
Remote-Arbeit im Audit
Wenn ein Auditor die Umsetzung von Annex A.6.7 (Fernarbeit) prüft, wird er typischerweise folgende Nachweise sehen wollen:
Die Remote-Arbeitsrichtlinie als Dokument, das genehmigt, kommuniziert und den Mitarbeitern nachweislich bekannt ist. Technische Nachweise, dass VPN mit MFA konfiguriert ist, Festplattenverschlüsselung auf allen Geräten aktiv ist und EDR zentral verwaltet wird. Schulungsnachweise, dass Mitarbeiter die Regeln für sicheres Arbeiten im Homeoffice kennen. Protokolle, die zeigen, dass Sicherheitsvorfälle im Zusammenhang mit Remote-Arbeit gemeldet und behandelt wurden.
Besonders aufmerksam prüfen Auditoren die Lücke zwischen Richtlinie und Umsetzung. Eine perfekte Richtlinie, die in der Praxis nicht durchgesetzt wird, ist im Audit schlimmer als gar keine Richtlinie, weil sie zeigt, dass das Unternehmen die Risiken kennt, aber wissentlich nichts dagegen tut.
Remote-Arbeit sicher zu gestalten ist machbar
Die sichere Gestaltung von Remote-Arbeit ist kein Hexenwerk. Die technischen Bausteine, VPN mit MFA, Festplattenverschlüsselung, EDR, automatische Updates, sind bewährt und mit den Bordmitteln moderner Betriebssysteme und Cloud-Dienste umsetzbar. Was den Unterschied macht, ist die Kombination dieser technischen Maßnahmen mit einer klaren Richtlinie, die den Mitarbeitern verständlich sagt, was erlaubt ist und was nicht, und mit regelmäßiger Schulung, die das Bewusstsein für die besonderen Risiken der Remote-Arbeit wachhält.
Fang mit den Basics an: VPN-Pflicht, MFA, Festplattenverschlüsselung, EDR. Das sind vier Maßnahmen, die du in wenigen Wochen ausrollen kannst und die den Großteil der Risiken adressieren. Die Richtlinie schreibst du parallel dazu und schulst die Mitarbeiter, bevor die technischen Maßnahmen greifen. Den Rest, ZTNA, DNS-Filterung, BYOD-Container, baust du schrittweise auf.
Remote-Arbeit ist gekommen, um zu bleiben. Dein Sicherheitskonzept muss das widerspiegeln.
Weiterführende Artikel
- Mobile-Device-Richtlinie und BYOD: So regelst du den Umgang mit mobilen Geräten
- Zero Trust im Mittelstand: Prinzipien ohne Enterprise-Budget umsetzen
- Passwort-Richtlinie erstellen: Anforderungen, Länge, Komplexität und Alternativen
- MFA einführen: So sicherst du den Zugang zu deinen Unternehmenssystemen
- Netzwerksegmentierung im KMU: Wie du dein Netzwerk sinnvoll aufteilst