Anleitung zur sicheren Fernarbeit

Fernarbeit gibt es schon lange und ist in letzter Zeit immer stärker in den Vordergrund gerückt. In den letzten Monaten hat sie allerdings ihren Höhepunkt erreicht, mit einem Anstieg des Interesses um 130% zwischen Ende Februar und Mitte März 2020. Einige haben sie bereits vor Jahren gelobt (z. B. schrieben Jason Fried und David Heinemeier Hansson – die Schöpfer von Ruby on Rails, Basecamp, Hey – 2013 einen Bestseller über dieses Thema); andere sind der Meinung, sie würde das Fundament der technologischen Innovation in die Luft jagen (siehe John Hagel’s How Remote Work Could Destroy Silicon Valley).

Bei Berg Software verfolgen wir in Bezug auf die Fernarbeit einen recht pragmatischen Ansatz. Als Qualitätsanbieter von ausgelagerter, maßgeschneiderter Software, haben wir seit Mitte der 1990er Jahre Erfahrungen auf diesem Gebiet gesammelt:

—      Unsere Mitarbeiter haben Prozesse für Fernarbeit erstellt, eingeführt und gemeistert. Dies bringt eine besondere Art von Belastbarkeit und eine enge Integration in die Projekte, Prozesse, Arbeitsweisen, Fristen (oh, und Geburtstage!) der Kunden usw. mit sich.
—      Wir können überzeugend belegen, dass Fernarbeit den Talentpool vergrößert, die Fluktuation verringert und unsere Fähigkeit verbessert, Geschäfte über mehrere Zeitzonen hinweg abzuwickeln. Für Entwickler bedeutet dies, unabhängig vom Standort Zugang zum besten Job zu haben, eine bessere Work-Life-Balance und eine höhere Produktivität.

Bei der Fernarbeit gibt es eine Vielzahl von Themen, die man besprechen sollte. Wir denken, dass wir bestens qualifiziert sind, Ihnen die Vorteile der Fernarbeit darzulegen und die sicherheitsbezogenen Herausforderungen aufzuzeigen, also lassen Sie uns diese konzentriert zusammenfassen:

Entwicklung des Interesses an "Remote Work", über Google Trends

Grundlagen der Fernarbeit

Ganz gleich, ob Sie Ihr eigenes Fernarbeitssystem über den Lockdown-Zeitraum hinaus erweitern oder langfristige Outsourcing-/Nearshoring-Lösungen in Betracht ziehen möchten, werden Sie unserer Meinung nach von folgenden Vorteilen profitieren:

Niedrigere Kosten
—      Erhöhte Effizienz durch Wegfall der Pendelzeit zwischen Wohnung und Arbeitsplatz.
—      Weniger Büroflächen und immobilienbezogene Kosten.
—      Verbesserte Beschäftigungsflexibilität.
—      Höhere Nachhaltigkeit / geringere Umweltbelastung.

Zugang zu Qualifikationen
—      Größerer Talentepool: Sie können praktisch von überall her rekrutieren.
—      Geringerer Wettbewerb um Talente.
—      Glücklichere und autonomere Mitarbeiter.

Sicherheitsrelevante Herausforderungen der Fernarbeit

Die erste Voraussetzung für Softwareentwicklung in Fernarbeit ist die Sicherheit der Arbeitsumgebung Ihres Partners (d.h. alles von Prozessen, Abläufen, Daten, Kommunikation usw.). Unabhängig vom Schwerpunkt Ihres Unternehmens sind wir der festen Überzeugung, dass Sie über den bloßen Antivirus-Schutz hinausgehen und in folgende Themen tief eintauchen sollten:

Schutz der übertragenen Daten und der Kommunikation

Sie werden sicherstellen wollen, dass Ihre „in Übertragung befindlichen Daten“* sicher sind. Ihre Lieferanten und/oder Mitarbeiter sollten die Daten während der Übertragung von einem Netzwerk in ein anderes gegen Manipulation und Lauschangriffen schützen, indem sie eine Mischung aus Netzwerkschutz und Verschlüsselung verwenden. Lassen Sie niemals die Verwendung von HTTP-Verbindungen zu. Bestehen Sie darauf, dass alle anderen verwendeten Protokolle gesichert und verschlüsselt werden.

* „Informationen, die über das öffentliche oder nicht vertrauenswürdige Netzwerk wie das Internet fließen, und Daten, die innerhalb der Grenzen eines privaten Netzwerks wie dem Local Area Network einer Firma oder eines Unternehmens fließen“. (s. Wikipedia)

Schutz von Vermögenswerten und Resilienz

Fordern Sie Ihre Lieferanten auf (und unterstützen Sie Ihre Mitarbeiter dabei), die Vermögenswerte/den physischen Träger Ihrer Daten zu schützen, um sicherzustellen, dass sie nicht manipuliert werden, verloren gehen oder beschädigt werden. Je nach den Besonderheiten Ihres Unternehmens können Sie sicherstellen, dass einige oder alle der folgenden Maßnahmen angewendet werden:

Schutz von Daten im Ruhezustand: Sicherheitsverfahren für Daten, die auf einem stabilen Medium gespeichert sind; stellen Sie sicher, dass gespeicherte Daten nicht für Hackerangriffe oder andere unbefugte Zugriffe anfällig sind.

—      Physischer Zugriff auf Daten: Unbefugten den Zugriff auf Datenausrüstung verweigern.
—      Datenbereinigung: Wann immer erforderlich/gefordert, die auf einem Speichergerät gespeicherten Daten zerstören, um sie unwiederbringlich zu löschen.
—      Entsorgung der Geräte: Wertvolle Geräte, auf die vertrauliche Daten gespeichert sind, sollten nicht an Unbefugte gelangen und dadurch zu einer Datenverletzung oder zum Identitätsdiebstahl führen. Die zu ergreifenden Maßnahmen können vom Tracken der Geräte bis hin zum neu Aufsetzen und zur vollständigen Zerstörung der Daten reichen.

Physische Belastbarkeit und Verfügbarkeit: Stellen Sie sicher, dass es im Falle eines Ausfalls Bewältigungs-/Sicherungs-/ Kompensationsmechanismen gibt.

Physischer Standort: Verhindern Sie, dass unbefugte Personen physischen Zugang zu den Datengeräten/dem Datenzentrum erhalten.

Sicherheit des Rechenzentrums: Vermeiden Sie unbefugten Zugriff und Manipulation der Ressourcen Ihres Rechenzentrums (z. B. Denial-of-Service (DoS), Diebstahl vertraulicher Informationen, Datenänderung, Datenverlust usw.).

Datentrennung

Fordern Sie Ihre Lieferanten (und/oder Mitarbeiter) auf, die verschiedenen Daten, die an einem Dienst beteiligt sind, zu trennen, um zu verhindern, dass böswillige oder kompromittierte Benutzer den Dienst oder die Daten eines anderen Dienstes beeinträchtigen.

Sichere Entwicklung

Bestehen Sie darauf, dass die Lebenszyklusprozesse Ihrer Lieferanten Softwareentwicklung bewährte Verfahren für Vertraulichkeit, Integrität und Verfügbarkeitsschutz beinhalten.

Vermeiden Sie alle Software-Sicherheitslücken (z. B. die OWASP Top Ten oder CWE-Listen).

Treffen Sie Vorkehrungen, dass eigene, fremde oder Open-Source-Software, die für die Erbringung der Dienstleistungen des Lieferanten verwendet wird, keine bekannten Hintertüren, Viren, Trojaner oder andere Arten bösartigen Codes enthält.

Operative Sicherheit

Einführung klarer und strenger Prozesse und Verfahren zur Gewährleistung der Betriebssicherheit der Dienste, einschließlich:

—      Patch-Management: der laufende Prozess der Durchführung von Updates zur Behebung von Code-Schwachstellen/-Fehlern von Anwendungen in Ihrem gesamten System.
—      Schutzüberwachung: Warnung bei einzelnen oder umfassenderen bösartigen Ereignissen, um das Risiko gering zu halten und die Behebung zu beschleunigen.
—      Konfigurations- und Änderungsmanagement: Alle Anfragen werden überprüft und auf sichere Weise verwaltet.
—      Sichere Außerbetriebnahme: Anwendungen und Systeme werden sicher außer Betrieb genommen.
—      Schwachstellenmanagement: Identifizierung, Klassifizierung, Priorisierung, Behebung und Minderung von Softwareschwachstellen.

Personelle Sicherheit

Die Sicherheitsüberprüfung und/oder die Sicherheitsschulung des Personals wird regelmäßig durchgeführt und ist für alle eingesetzten Ressourcen angemessen.

Wie Sie gerade herausgefunden haben, sind wir bei Berg Software ziemliche Sicherheitsgeeks. Ganz gleich, ob es sich um NDA, VPN oder GDPR handelt, wir nehmen es uns zu Herzen. Als Teil der Fernarbeitsteams aller unserer Partner verhalten wir uns wie deren eigene Mitarbeiter, sowohl was die Integration als *auch* die Sicherheitsprotokolle betrifft. Das Ergebnis: schnelle, effiziente Software, die einfach funktioniert!

Sie machen es anders? Lassen Sie es uns wissen!

29 Jahre im Geschäft | 2700 Software-Projekte | 760 Kunden | 24 Länder

Wir verwandeln Ideen in Software. Wie lautet Ihre Idee?

Kontakt aufnehmen

6 + 1 =