Security-Checkliste 2026, Teil 2: Heimarbeit, Windows, Smartphone und Router

Inhaltsverzeichnis

Mobiles Arbeiten

Die Arbeit hat sich vom Platz im Büro entkoppelt. Viele arbeiten zu Hause oder im Zug – und manche gleich dort, wo andere Urlaub machen. Auch Angreifern gefällt das, denn die externen Arbeitsplätze sind eine potenzielle Schwachstelle im Unternehmensnetz.

Security-Checklisten 2026

• Die c’t-Security-Checkliste 2026, Teil 1: Mehr Sicherheit im Internet
• Security-Checkliste 2026, Teil 2: Heimarbeit, Windows, Smartphone und Router
• Security-Checkliste 2026, Teil 3: Finanz-IT und E-Mail
• Security-Checkliste 2026, Teil 4: Backups, Server, Hosting, Smart Home und KI

Arbeitsplatz abschirmen

Sichern Sie Ihren Homeoffice-Rechner und alle mobilen Arbeitsgeräte nach dem Stand der Technik. Dazu zählen regelmäßige Betriebssystemupdates und ein Virenscanner. Denn ein eingefangener Virus kann die gesamte Firma lahmlegen. Greifen Sie aus dem Homeoffice und unterwegs über eine verschlüsselte VPN-Verbindung auf das Firmennetz zu. Nutzen Sie statt öffentlichen WLAN-Hotspots eine mobile Datenverbindung. Falls es unbedingt ein Hotspot sein muss, dann ist ein verschlüsseltes VPN erst recht Pflicht.

Schützen Sie Ihre Geräte und Daten auch vor direkten, physischen Zugriffen. Ein Dieb, der Ihr Notebook geklaut hat, darf nicht auch noch Ihre Daten erbeuten. Bei mobilen Rechnern sollte der Massenspeicher daher verschlüsselt sein, zum Beispiel mit BitLocker oder VeraCrypt. Das gilt auch für alle externen Datenträger. Defekte Speichermedien entsorgen Sie nicht selbst, sondern über die Firma. Denn die muss sicherstellen, dass sensible Informationen verlässlich gelöscht werden.

Aktivieren Sie Ortungs- und Fernlöschfunktionen. Suchen Sie sich unterwegs zum Arbeiten einen Platz, der vor neugierigen Blicken schützt. Richten Sie eine passwortgeschützte Bildschirmsperre ein und nutzen Sie diese konsequent, auch wenn Sie den Rechner „nur ganz kurz“ aus den Augen lassen (unter Windows mit Windows+L, am Mac mit Control+Command+Q). Am besten ist ein passwortgeschützter Bildschirmschoner, der sich nach kurzer Inaktivität automatisch einschaltet.

Daten trennen

Wenn Sie Ihren privaten Rechner für die Arbeit im Homeoffice nutzen, dann richten Sie hierfür ein eigenes Nutzerkonto ein. So bleibt Privates privat. Umgekehrt gilt: Firmendaten haben im Privatkonto nichts verloren. Greifen Sie auch auf Ihre privat genutzten Cloudkonten wie Dropbox, OneDrive oder Google Drive nicht vom Arbeitskonto aus zu.

Um auf dem Smartphone berufliche von privaten Kontakten zu separieren, arbeiten Sie ebenfalls mit zusätzlichen Nutzerkonten, sofern das auf Ihrem Betriebssystem möglich ist.

Verlust vermeiden

Speichern Sie wichtige, beruflich genutzte Dokumente und Daten nicht lokal auf Ihrem Rechner, Notebook oder Tablet, sondern möglichst auf dem Firmenserver. Das ist nicht nur sicherer, sondern vor allem beim hybriden Arbeiten deutlich komfortabler. Denn dort werden automatisch Backups angelegt und Sie haben gleich alles parat, wenn Sie vom Home- ins Firmen-Office wechseln.

Falls Daten doch mal lokal gespeichert werden müssen, richten Sie zumindest automatisches Synchronisieren per Backupsoftware ein. Verzichten Sie möglichst darauf, Dokumente auf USB-Sticks und externen Platten hin und her zu tragen.

Konferenzen kontrollieren

Virenschutz hin, Firewall her: Die größte Schwachstelle in der Firmen-IT ist immer noch der Mensch. Im Homeoffice stehen Ihnen Gesprächspartner selten gegenüber. Videochat-Teilnehmer ohne Kamera können Kollegen sein, aber auch Angreifer, die mitlauschen wollen. Fordern Sie die Kollegen zunächst auf, die Kamera zu aktivieren und starten Sie das Meeting neu, wenn die Geisterbilder nicht verschwinden.

Übrigens: Die beliebten Screenshots von Videokonferenzen können wertvolle Informationen für Angreifer enthalten, um sich entweder direkt ins nächste Meeting einzuklinken oder Phishing-Attacken vorzubereiten. Wenn Sie beispielsweise unbedingt Fotos vom letzten Meeting veröffentlichen müssen, machen Sie vorher sensible Daten wie URLs, Meeting-IDs sowie die Gesichter der Teilnehmer unkenntlich.

Anrufe hinterfragen

Nicht alles läuft auf Anhieb perfekt. Bleiben Sie auch aus der Ferne in Kontakt mit den Admins Ihrer Firma und erstellen Sie beizeiten eine Liste mit wichtigen Ansprechpartnern für den Notfall.

Anrufen und Mails sollten Sie grundsätzlich skeptisch gegenüberstehen, denn Caller-IDs und Absendernamen können gefälscht sein. Meldet sich etwa vermeintlich Ihr Lieblings-Admin, ein Geschäftspartner oder der Chef telefonisch bei Ihnen, sollten Sie keine sensiblen Daten preisgeben und sich schon gar nicht auf eine Fernwartung einlassen.

Selbst den vertrauten Stimmen und Gesichtern müssen Sie zunehmend mit Skepsis begegnen, denn sie lassen sich immer besser synthetisch nachahmen. Rufen Sie die Person, die angeblich angerufen hat, beim leisesten Zweifel lieber unter der bekannten – nicht der angezeigten – Rufnummer zurück und klären Sie den Sachverhalt direkt. (atr@ct.de)