Homeoffice IT-Sicherheit: Remote-Arbeitsplätze richtig absichern

Q: Braucht jeder Homeoffice-Mitarbeiter ein VPN?

Ja, wenn auf interne Unternehmensressourcen wie Dateiserver, ERP oder interne Systeme zugegriffen wird. Bei reiner Cloud-Nutzung über Microsoft 365 oder Google Workspace kann auf ein klassisches VPN verzichtet werden – MFA und Conditional Access sind dann aber Pflicht.

Q: Darf ein Mitarbeiter im Homeoffice seinen privaten PC nutzen?

Aus Sicherheitssicht ist das problematisch. Private Geräte unterliegen nicht dem IT-Management des Unternehmens, haben oft veraltete Software und können nicht zentral überwacht werden. Wer private Geräte duldet, sollte zumindest eine Endpoint-Management-Lösung und MFA durchsetzen.

Q: Was ist der schnellste Schritt für mehr Homeoffice-Sicherheit?

Multi-Faktor-Authentifizierung (MFA) für alle genutzten Cloud-Dienste und E-Mail-Zugänge einschalten. Das stoppt den Großteil der Kontoübernahme-Angriffe und ist innerhalb weniger Minuten umsetzbar.

Q: Wie finde ich heraus, ob meine Homeoffice-Geräte auf dem aktuellen Stand sind?

Über Microsoft Intune oder ein anderes MDM-System (Mobile Device Management) lässt sich der Patch-Status aller verwalteten Geräte zentral einsehen. Ohne Verwaltungssystem ist ein manueller Check der Windows-Update-Historie auf jedem Gerät der erste Schritt.

Remote Work ist für viele kleine Unternehmen längst Alltag. Was im Büro durch Netzwerktrennung, zentrale Updates und physische Zugangskontrollen geschützt ist, wird im Homeoffice schnell zur offenen Flanke – oft ohne dass es jemand bemerkt.

Das unterschätzte Risiko: private Geräte im Firmennetz

In vielen kleinen Unternehmen läuft Homeoffice so: Mitarbeitende nutzen ihren privaten Laptop, verbinden sich per Browser mit Microsoft 365 oder dem Unternehmens-VPN – und fertig. Das Problem liegt nicht im Prinzip, sondern in den Details.

Private Geräte unterliegen nicht dem IT-Management des Unternehmens. Sie erhalten keine zentralen Updates, sind nicht in der Endgeräteüberwachung erfasst und haben oft Software installiert, die im Firmennetz nichts zu suchen hätte. Wenn ein solches Gerät kompromittiert wird, hat ein Angreifer direkte Verbindung zu Unternehmensressourcen – Dateiserver, Cloud-Ordner, E-Mail-Postfächer inklusive.

Mindestanforderung für private Geräte: aktuelles Betriebssystem, Antivirensoftware, Festplattenverschlüsselung und Multi-Faktor-Authentifizierung für alle genutzten Dienste.

VPN – wann es notwendig ist und wann nicht

Ein VPN (Virtual Private Network) verschlüsselt die Verbindung zwischen dem Homeoffice-Gerät und dem Unternehmensnetz. Es ist Pflicht, wenn auf interne Ressourcen zugegriffen wird, die nicht über das Internet erreichbar sein sollen: lokale Dateiserver, interne Datenbanken, ERP-Systeme.

Bei reiner Nutzung von Cloud-Diensten wie Microsoft 365, SharePoint oder Google Workspace ist ein klassisches VPN hingegen nicht zwingend erforderlich – weil diese Dienste bereits über verschlüsselte HTTPS-Verbindungen laufen und eigene Sicherheitsmechanismen mitbringen.

Zugriff auf interne Server oder lokale Dateien: VPN notwendig
Nur Cloud-Dienste (M365, SharePoint, Google Workspace): MFA + Conditional Access ausreichend
Mix aus beidem: Split-Tunnel-VPN als sinnvolle Mitte

Wichtig: Ein VPN allein ersetzt keine anderen Sicherheitsmaßnahmen. Es sichert den Übertragungsweg – nicht das Endgerät selbst.

Multi-Faktor-Authentifizierung (MFA): der wichtigste Einzelschritt

Kompromittierte Zugangsdaten sind der häufigste Einstiegspunkt bei Angriffen auf Unternehmen. Phishing-Mails, Datenpannen bei Drittanbietern oder wiederverwendete Passwörter reichen aus, um einen Account zu übernehmen – wenn kein zweiter Faktor vorhanden ist.

MFA bedeutet: Zusätzlich zum Passwort wird ein zweiter Bestätigungsschritt benötigt – eine App-Benachrichtigung, ein Einmalcode oder ein Hardware-Token. Selbst wenn das Passwort bekannt ist, kommt ein Angreifer ohne diesen zweiten Faktor nicht weiter.

Wo MFA aktiviert werden sollte (Priorität hoch nach niedrig):

Microsoft 365 / Azure AD – für alle Nutzer, keine Ausnahmen
E-Mail-Konten (auch private, wenn geschäftlich genutzt)
VPN-Zugang
Cloud-Speicher (OneDrive, Google Drive, Dropbox)
Alle weiteren Dienste mit Zugang zu Unternehmensdaten

Microsoft Authenticator, Google Authenticator oder TOTP-Apps wie Aegis sind kostenlos und in wenigen Minuten eingerichtet.

Patch-Management für Remote-Geräte

Im Büro werden Geräte automatisch über Windows Server Update Services (WSUS) oder ein Mobile Device Management (MDM) wie Microsoft Intune mit Updates versorgt. Im Homeoffice fällt dieser automatische Prozess oft weg – das Gerät ist nicht im Firmennetz und fällt aus dem Update-Zyklus heraus.

Veraltete Betriebssysteme und Software sind der zweithäufigste Angriffspunkt nach kompromittierten Zugangsdaten. Ein Gerät, das seit drei Monaten keine Windows-Updates erhalten hat, hat mit hoher Wahrscheinlichkeit bekannte Schwachstellen, für die bereits Exploit-Code existiert.

Lösungsansätze:

Microsoft Intune: Cloud-basiertes MDM, verwaltet und patcht Geräte unabhängig vom Standort
Windows Update for Business: Automatische Updates ohne lokalen WSUS-Server
Manuelle Regelung: Klare Vorgabe, dass Mitarbeitende Windows Updates wöchentlich prüfen – mit Nachweis-Protokoll

Das Heimnetz als Schwachstelle

Der private Router zuhause ist meistens nicht für den geschäftlichen Einsatz ausgelegt. Standard-Kennwörter, selten aktualisierte Firmware und fehlende Netzwerksegmentierung machen das Heimnetz zum potenziellen Einfallstor.

Ein Angreifer im gleichen WLAN – sei es durch einen kompromittierten Router oder ein anderes Gerät im Netz – kann unter Umständen den Datenverkehr mitlesen oder sich seitwärts durch das Netz bewegen.

Minimalmaßnahmen für das Heimnetz:

Router-Firmware aktuell halten (viele Hersteller bieten automatische Updates)
Standard-Admin-Kennwort des Routers ändern
WLAN-Passwort: mindestens 16 Zeichen, WPA3 oder WPA2
Gäste-WLAN für andere Geräte nutzen, Arbeitsgerät im Hauptnetz isolieren
Remote-Management-Funktionen des Routers deaktivieren, wenn nicht benötigt

Endgeräte-Verschlüsselung: keine Option, sondern Grundlage

Laptops gehen verloren oder werden gestohlen – im Homeoffice wie unterwegs. Ohne Festplattenverschlüsselung (BitLocker unter Windows, FileVault unter macOS) sind alle darauf gespeicherten Daten für jeden lesbar, der physischen Zugang zum Gerät hat.

BitLocker ist in Windows 10/11 Pro enthalten und in wenigen Klicks aktiviert. Der Recovery-Schlüssel sollte zentral gespeichert werden – entweder im Azure AD oder in einem sicheren Passwortverwaltungssystem des Unternehmens.

Was Unternehmen jetzt konkret tun sollten

Sofort: MFA für alle Microsoft 365- und Cloud-Accounts aktivieren
Diese Woche: BitLocker-Status auf allen Homeoffice-Geräten prüfen
Kurzfristig: Update-Status aller Remote-Geräte erheben und Lücken schließen
Mittelfristig: Einführung von Microsoft Intune oder vergleichbarem MDM
Dauerhaft: Klare Richtlinie für private Geräte im Homeoffice definieren und kommunizieren

Jetzt IT-Sicherheitscheck anfragen

Häufige Fragen zur Homeoffice-Sicherheit

Braucht jeder Homeoffice-Mitarbeiter ein VPN?

Nur wenn auf interne Unternehmensressourcen wie Dateiserver oder ERP-Systeme zugegriffen wird. Bei reiner Cloud-Nutzung über Microsoft 365 oder Google Workspace kann auf ein klassisches VPN verzichtet werden – MFA und Conditional Access sind dann aber Pflicht.

Darf ein Mitarbeiter im Homeoffice seinen privaten PC nutzen?

Aus Sicherheitssicht ist das problematisch, weil private Geräte nicht im IT-Management des Unternehmens erfasst sind. Wer private Geräte duldet, sollte zumindest MFA durchsetzen und klare Anforderungen an das Betriebssystem und den Update-Stand stellen.

Was ist der schnellste Schritt für mehr Homeoffice-Sicherheit?

Multi-Faktor-Authentifizierung für alle genutzten Cloud-Dienste und E-Mail-Zugänge aktivieren. Das stoppt den Großteil der Kontoübernahme-Angriffe und ist innerhalb weniger Minuten umsetzbar.

Wie finde ich heraus, ob meine Homeoffice-Geräte auf dem aktuellen Stand sind?

Mit Microsoft Intune lässt sich der Patch-Status zentral einsehen. Ohne Verwaltungssystem ist eine manuelle Prüfung der Windows-Update-Historie auf jedem Gerät der erste Schritt – gefolgt von einer Intune-Einführung als dauerhafte Lösung.

Passende Seiten: IT-Sicherheit · Managed IT Service