Zum Inhalt springen

Services, Wiki-Artikel, Blog-Beiträge und Glossar-Einträge durchsuchen

↑↓NavigierenEnterÖffnenESCSchließen
Remote Work Sicherheit: Homeoffice sicher gestalten (Technisch & - Cybersicherheit und digitaler Schutz
Netzwerk- & Endpoint Security

Remote Work Sicherheit: Homeoffice sicher gestalten (Technisch & Organisatorisch)

Remote Work hat die Angriffsfläche jedes Unternehmens massiv vergrößert. Dieser Guide erklärt die technischen und organisatorischen Sicherheitsmaßnahmen für Homeoffice: VPN vs. ZTNA, Endpoint-Management für remote Geräte, sichere Cloud-Anwendungen, BYOD-Richtlinien, Heimnetzwerk-Sicherheit und Video-Konferenz-Sicherheit.

Oskar Braun Oskar Braun Abteilungsleiter Information Security Consulting
9 Min. Lesezeit
ISO 27001 Lead Auditor (IRCA) ISB (TÜV)

TL;DR

Die massive Ausweitung der Angriffsfläche durch Remote Work erfordert von Unternehmen eine umfassende Neuausrichtung ihrer Sicherheitsstrategien, da Heimnetzwerke und private Endgeräte ohne Enterprise-Sicherheit erhebliche Risiken bergen. Statt auf das anfällige "Alles oder Nichts"-Prinzip klassischer VPNs zu setzen, sollten Sie Zero Trust Network Access (ZTNA) implementieren, das nur applikationsspezifischen Zugang basierend auf kontinuierlicher Verifizierung von Identität, Gerätezustand und Kontext gewährt. Für KMU bis 50 Nutzer bietet Cloudflare Zero Trust eine kostenlose und einfach zu implementierende Lösung, während Microsoft Entra Private Access für M365-Umgebungen im Mittelstand ideal ist. Ergänzend dazu ist ein robustes Endpoint-Management wie Microsoft Intune unerlässlich, um Compliance-Richtlinien wie BitLocker-Verschlüsselung und aktuelle OS-Versionen auf allen

Diese Zusammenfassung wurde KI-gestützt erstellt (EU AI Act Art. 52).

Inhaltsverzeichnis (6 Abschnitte)

Seit 2020 arbeitet ein Großteil der Wissensarbeiter teils oder vollständig remote. Die Sicherheitsprobleme sind real: Heimnetzwerke ohne Enterprise-Sicherheit, private Geräte mit Unternehmensdaten, Meetings über unsichere Konferenzsysteme. Dieser Guide gibt einen vollständigen Überblick über technische und organisatorische Gegenmaßnahmen.

Die neue Angriffsfläche

Remote Work hat die Angriffsfläche von Unternehmen dramatisch ausgeweitet. Die häufigsten Angriffsvektoren im Homeoffice-Kontext sind:

1. Kompromittiertes Heimnetzwerk

  • Router mit Standard-Passwörtern (admin/admin)
  • Ungepatchte Router-Firmware (oft jahrelang nicht aktualisiert)
  • Geteiltes Netzwerk mit Familienmitgliedern, Smart-TV und IoT-Geräten
  • Einbruch des Nachbarn ins WLAN durch WPS-Angriff

2. Unsicheres WLAN

  • Veraltete Verschlüsselung (WEP/WPA)
  • Kein separates Gäste-WLAN für nicht-berufliche Geräte
  • Evil-Twin-Angriffe: Angreifer erstellt einen Hotspot mit identischem Namen

3. Private Endgeräte ohne Management (BYOD)

  • Kein EDR oder Antivirus installiert
  • Fehlende Festplattenverschlüsselung
  • Familienmitglieder nutzen dasselbe Gerät
  • Unklare Update-Situation

4. Erhöhtes Phishing-Risiko

  • Remote: Kein Kollege in der Nähe, der bei einer verdächtigen E-Mail nachfragt
  • Gefälschte VPN-Login-Seiten
  • “IT-Support”-Phishing: “Ihr VPN-Zertifikat ist abgelaufen”

5. Shadow IT

  • Mitarbeiter nutzen Dropbox oder WhatsApp für Unternehmensdaten
  • Workarounds entstehen, wenn offizielle Tools unzureichend sind

VPN vs. Zero Trust Network Access (ZTNA)

Klassisches VPN: Wie es funktioniert

  1. Der VPN-Client baut einen verschlüsselten Tunnel zum VPN-Gateway auf
  2. Das Gerät erscheint im Unternehmensnetzwerk, als wäre es lokal
  3. Zugriff auf alle Ressourcen im Netz - oft ohne weitere Einschränkung

Das grundlegende Problem ist das “Alles oder Nichts”-Prinzip: Wer im VPN eingewählt ist, genießt volles Netzwerkvertrauen. Ein kompromittiertes Gerät im VPN bedeutet, dass der Angreifer direkt im LAN ist. Beim SolarWinds-Angriff war legitimer VPN-Zugang ein wesentlicher Faktor. Skalierung ist ebenfalls problematisch: 10.000 Mitarbeiter im VPN erzeugen massive Performance-Engpässe.

Split-Tunneling ist ein Kompromiss: Nur Unternehmens-Traffic läuft durch das VPN, Internet-Traffic geht direkt. Das Risiko bleibt jedoch bestehen - eine Endpoint-Kompromittierung kann das Unternehmensnetz trotzdem erreichen.

Zero Trust Network Access (ZTNA): Die bessere Alternative

Das ZTNA-Prinzip lautet “Never trust, always verify”. Statt Netzwerkzugang gibt es nur Applikationszugang. Jeder Zugriff wird mit Identität, Gerätezustand und Kontext verifiziert. Mikrosegmentierung stellt sicher, dass Benutzer nur sehen, was sie brauchen.

ZTNA-Flow:

  1. Nutzer öffnet eine Anwendung (z. B. “Zugriff auf ERP-System”)
  2. Der Identity Provider prüft: MFA bestanden?
  3. Device Trust prüft: Ist das Gerät gemanagt? Ist Antivirus aktuell? OS-Version in Ordnung?
  4. Kontext wird geprüft: Normale Arbeitszeit? Bekannter Standort?
  5. Ergebnis: Zugang erlaubt ODER Step-Up-Authentifizierung erforderlich
  6. Der Nutzer greift direkt auf die App zu - nie auf das vollständige Netzwerk

ZTNA-Produkte im Vergleich

ProduktEignungBesonderheit
Cloudflare Zero TrustKMU bis 50 User kostenlosEinfachste Implementierung
Microsoft Entra Private AccessMicrosoft-365-UmgebungenAb Business Premium inklusive
Zscaler Private Access (ZPA)EnterpriseMarktführer im Gartner MQ
Palo Alto Prisma AccessEnterpriseUmfangreiches Feature-Set
Cisco Duo + Network AccessKMU-freundlichGute Integration in bestehende Umgebungen

Empfehlung nach Unternehmensgröße:

  • KMU (< 100 MA): Cloudflare Zero Trust (kostenlos!) + MFA
  • Mittelstand: Microsoft Entra Private Access (M365-Integration)
  • Enterprise: Zscaler ZPA oder Palo Alto

VPN bleibt sinnvoll für: alte Anwendungen, die nur per IP erreichbar sind (kein Web-Interface), Site-to-Site-Verbindungen zwischen Büros und als Übergangslösung mit MFA.

Endpoint-Management für Remote-Geräte

Microsoft Intune: Remote-Endpoint-Management

Gerätekonfiguration und Compliance Policies:

  • BitLocker: Pflicht - Gerät gilt als non-compliant, wenn deaktiviert
  • Windows Defender: Pflicht, Real-Time Protection muss aktiv sein
  • OS-Aktualität: maximal 30 Tage hinter dem aktuellen Build
  • Screen Lock: maximal 5 Minuten Inaktivität

Wenn ein Gerät non-compliant ist, wird der Zugang gesperrt. Der Nutzer sieht dann eine klare Fehlermeldung: “Ihr Gerät erfüllt nicht die Sicherheitsrichtlinien. Bitte aktualisieren Sie Windows.”

Remote-Aktionen für Vorfälle:

  • Remote Wipe: Gerät verloren → vollständiges Löschen aus der Ferne
  • Selective Wipe: nur Unternehmensdaten löschen (wichtig bei BYOD)
  • Passwort-Reset: remote durchführbar
  • Remote Lock: Gerät sofort sperren

Windows Autopilot (Zero-Touch Deployment): Ein neues Gerät wird direkt zum Remote-Mitarbeiter geliefert. Einschalten → konfiguriert sich automatisch via Intune → einsatzbereit. Kein physischer IT-Eingriff am Gerät notwendig.

BYOD-Richtlinien und Mobile Application Management (MAM)

Privates Smartphone mit Firmen-E-Mail und Kundendaten wirft Fragen auf: Was passiert bei Geräteverlust? Wann darf die IT remote löschen?

Die Lösung ist Selective Wipe kombiniert mit MAM - App-Level-Schutz ohne vollständige Geräteverwaltung:

  • Outlook App: PIN-Schutz, kein Copy-Paste zu privaten Apps
  • Microsoft Teams: Screenshots nicht erlaubt
  • OneDrive: keine Synchronisierung zu privatem iCloud
  • Remote Wipe: löscht nur Unternehmensdaten, nicht private Inhalte

BYOD-Richtlinie - Mindestinhalt:

  • Welche Geräte sind erlaubt? (OS-Version, Mindest-Gerätealter)
  • Welche Apps sind für Unternehmensdaten erlaubt oder verboten?
  • Erlaubnis für Fernzugriff und Selective Wipe (muss schriftlich unterzeichnet werden!)
  • Verantwortlichkeiten bei Geräteverlust
  • Meldepflicht bei Verlust (sofort!)

Heimnetzwerk-Sicherheit

Eine sichere Heimnetzwerk-Konfiguration ist die erste Verteidigungslinie für Remote-Mitarbeiter.

Router-Sicherheit: Schritt für Schritt

1. Admin-Passwort ändern

Das Standard-Passwort “admin/admin” muss durch ein starkes Passwort ersetzt werden, das im Passwort-Manager gespeichert wird.

2. WLAN-Verschlüsselung

WPA3 (für Router ab 2018, empfohlen) oder WPA2-AES (akzeptabel) verwenden. WEP und WPS müssen deaktiviert sein. Das WLAN-Passwort sollte mindestens 20 Zeichen haben und keinen Gerätenamen enthalten.

3. Router-Firmware aktualisieren

Im Router-Admin-Interface nach Firmware-Updates suchen. Bei älteren AVM FritzBox-Geräten auf aktuelles FRITZ!OS aktualisieren. Automatische Updates einrichten, sofern verfügbar.

4. Gäste-WLAN trennen

Ein separates WLAN für Smart-TV, Alexa, Besucher und alle anderen privaten Geräte einrichten. Die ideale FritzBox-Konfiguration:

  • SSID “Arbeit”: WPA3, starkes Passwort, nur Laptop und Telefon
  • SSID “Gäste”: WPA2, anderes Passwort, Internet-only (kein Zugang zu anderen Geräten)

5. DNS-over-HTTPS (empfohlen)

Cloudflare 1.1.1.2 mit Malware-Blocking bietet Schutz vor DNS-Hijacking und bekannten Malware-Domains. In der FritzBox unter Heimnetz → Netzwerk → DNS-Rebind-Schutz konfigurierbar.

Für sensible Unternehmensumgebungen: Der Firmen-Laptop bekommt ein dediziertes VLAN mit Layer-2-Isolation. Firewall-Regeln erlauben ausschließlich VPN/ZTNA-Verbindungen. Für Hochrisiko-Nutzer gibt es kompakte Enterprise-Firewalls wie Palo Alto HomeWork für die häusliche Umgebung.

Videokonferenz-Sicherheit

Meeting-Sicherheit: Best Practices für Zoom, Teams und Meet

Grundlegende Sicherheitseinstellungen:

  • Meeting-ID + Passwort immer verwenden - keine offenen Meetings ohne Passwort
  • Warteraum aktivieren: der Host entscheidet, wer hereingelassen wird
  • Bildschirmfreigabe nur für Hosts oder Moderatoren erlauben
  • Aufnahme-Berechtigung: nur Host (nicht “Jeder kann aufnehmen”)
  • Nach Beginn: unbefugte Teilnehmer können nicht mehr beitreten

Für vertrauliche Meetings:

  • End-to-End-Verschlüsselung aktivieren (Zoom: E2EE-Checkbox)
  • Microsoft Teams: Vertrauliche Meetings mit Sensitivity Label konfigurieren
  • Kein automatisches Transkript für sensitive Gespräche
  • Teilnehmerliste vor und während des Meetings prüfen

Phishing über Meeting-Links verhindern:

Gefälschte Zoom-Einladungen mit Malware-Payload sind ein reales Angriffsszenario. Einladungen sollten immer auf internen Ursprung geprüft werden, der Zoom-Client wird ausschließlich von zoom.us bezogen.

Zoom-Bombing verhindern:

  • Meeting-Links niemals öffentlich posten (besonders in Social Media)
  • Für öffentliche Webinare: Registration mit E-Mail-Bestätigung einrichten
  • Der Warteraum erzwingt manuelle Freigabe durch den Host

Datenschutz bei Video-Konferenzen (DSGVO)

  • Aufzeichnungen: Einwilligung aller Teilnehmer ist erforderlich
  • Transkripte: Enthaltene personenbezogene Informationen? Aufbewahrungsfrist definieren
  • Cloud-Aufzeichnungen: US-Server? EU-Region konfigurieren oder on-premises speichern
  • Microsoft Teams: Datenspeicherung in der EU, wenn die EU-Region im Tenant konfiguriert ist

Organisatorische Maßnahmen

Remote-Work Security Policy: Mindestinhalt

Eine verbindliche Remote-Work-Policy muss folgende Bereiche abdecken:

Geräteanforderungen:

  • Firmeneigene Geräte bevorzugt; BYOD-Regeln wenn erlaubt
  • Mindest-OS-Version und Verschlüsselung als Pflicht
  • Kein Familienmitglied darf Firmengeräte nutzen

Netzwerkanforderungen:

  • Alle Verbindungen zu Unternehmensressourcen über VPN oder ZTNA
  • Öffentliche WLANs (Hotels, Cafés, Coworking) nur mit VPN
  • Empfohlene Router-Einstellungen dokumentieren und kommunizieren

Datenschutz im Homeoffice:

  • Bildschirm nicht sichtbar für Familienmitglieder oder Besucher
  • Keine sensitiven Gespräche in Hörweite anderer Personen
  • Ausgedruckte Dokumente sofort schreddern oder sicher einschließen
  • “Clear Desk” gilt auch zuhause: keine Unterlagen offen liegen lassen

Incident-Meldung:

  • Geräteverlust: sofort melden - die IT kann remote löschen
  • Phishing-Verdacht: melden, nicht klicken
  • Außergewöhnliche Aktivitäten auf dem Gerät oder im Konto: melden

Software-Installation:

  • Nur genehmigte Software aus dem Unternehmens-Software-Katalog
  • Keine Torrents, keine Cracked Software auf Firmengeräten
  • Keine privaten Tools auf Firmengeräten ohne ausdrückliche Genehmigung

Remote Work: Die Zahlen sprechen für sich

  • 90 % der IT-Entscheider bewerten Remote-Arbeit als erhöhtes Sicherheitsrisiko (Gartner 2024)
  • 63 % aller Datenpannen sind auf schwache Passwörter oder gestohlene Credentials zurückzuführen
  • 43 % mehr Phishing-Angriffe seit 2019 im Homeoffice-Kontext
  • Mitarbeiter im Homeoffice klicken doppelt so häufig auf Phishing-Links wie Mitarbeiter im Büro

Remote Work ist kein temporäres Phänomen - es ist die neue Realität. Unternehmen, die ihre Remote-Sicherheit nicht modernisiert haben, arbeiten auf einem strukturell geschwächten Sicherheitsniveau. AWARE7 unterstützt bei der Entwicklung von Remote-Work-Security-Strategien und der technischen Umsetzung.

Remote-Security-Beratung anfragen | Zero Trust Implementierung

Nächster Schritt

Unsere zertifizierten Sicherheitsexperten beraten Sie zu den Themen aus diesem Artikel — unverbindlich und kostenlos.

Kostenlose Erstberatung vereinbaren Leistungen ansehen

Kostenlos · 30 Minuten · Unverbindlich

Artikel teilen

LinkedIn X E-Mail
Zertifiziert ISO 27001ISO 9001AZAVBSI

Cookielose Analyse via Matomo (selbst gehostet, kein Tracking-Cookie). Datenschutzerklärung