Home-Office-Sicherheit: Das hat sich getan

Seit Beginn der Corona-Krise mussten Unternehmen umdenken: Mitarbeitende wurden und werden ins Home-Office geschickt. Nach nun knapp zwei Jahren hat sich das Home-Office zwar etabliert, die Home-Office-Sicherheit jedoch lässt zuweilen nach wie vor zu wünschen übrig. Im heutigen Beitrag schauen wir anhand von Studien, was sich in den vergangenen zwei Jahren getan hat und welche Maßnahmen im Home-Office für Sicherheit sorgen. Zudem geben wir Ihnen Tipps zur Umsetzung und zeigen auf, welche Folgen eine schwache Home-Office-Sicherheit für Unternehmen haben kann.

Home-Office-Sicherheit: Zahlen und Fakten

Die Remote- bzw. Hybrid-Arbeit hat sich in den vergangenen zwei Jahren etabliert, jedoch ist nach wie vor nicht überall ein ausreichendes Maß an IT-Sicherheit gewährleistet. Schon 2020 berichteten wir darüber, dass sich Cyberkriminelle verstärkt auf Home-Office-Tätige fokussieren – diese Lage hat sich nicht verbessert. Der TÜV-Verband hat eine Umfrage bezüglich Cybergefahren im Home-Office gestartet und jüngst die Ergebnisse veröffentlicht. Demnach arbeiten 23 Prozent der Beschäftigten ausschließlich im Home-Office bzw. mobil. Hinzu kommen weitere 21 Prozent, bei denen sich die Arbeit im Home-Office mit der im Büro abwechselt – insgesamt arbeiten also 44 Prozent der Erwerbstätigen regelmäßig mobil.

Dr. Dirk Stenkamp erklärt als Präsident des TÜV-Verbands, dass „die massenhafte Arbeit im Home-Office […] die Gefahr von Cyberangriffen erhöht“ hat. Dabei fehle es häufig an Schulungen, an der notwendigen technischen Ausstattung und an klaren Verhaltensregeln für den Fall eines IT-Angriffs. 14 Prozent der Befragten gaben an, dass es in den letzten zwei Jahren einen oder mehrere IT-Sicherheitsvorfälle bei ihrem Arbeitgeber gegeben habe. Insbesondere Phishing- und Ransomware-Angriffe seien Mitarbeitenden aufgefallen.

Erschreckend: 41 Prozent der Befragten gaben an, dass ihre Arbeitgebenden keine Vorgaben zum Umgang mit IT-Sicherheitsvorfällen gemacht hätten. Lediglich 38 Prozent der Befragten gaben an, eine Schulung zum mobilen Arbeiten erhalten zu haben. Stenkamp erklärt, dass „jeder vierte Beschäftigte […] im Homeoffice ohne jegliche Vorgaben des Arbeitgebers zur IT-Sicherheit“ arbeitet. „Unternehmen und andere Arbeitgeber sind damit ein leichtes Ziel für Cyberkriminelle“, resümiert er.

Avast: Nachlässigkeit in der Home-Office-Sicherheit

Der Sicherheitsanbieter Avast veröffentlichte kürzlich den Mobile Workforce Report 2021 und fördert darin erschreckende Zahlen zutage: Drei von zehn Arbeitnehmenden in KMU erklärten, dass sie bei der Arbeit im Home-Office nachlässig mit dem Thema Sicherheit umgehen. Weitere 22 Prozent umgehen absichtlich die IT-Sicherheitsrichtlinien, damit sie ihrer Arbeit nachkommen können. So gaben sieben Prozent an, sie würden sensible Daten an Kollegen, Kunden oder Lieferanten über nicht genehmigte Kanäle senden. Elf Prozent führten sensible Geschäftsgespräche, obwohl sich Familienmitglieder im selben Raum befanden. Und weitere 19 Prozent gaben an, sensible Geschäftsdokumente offen auf dem Schreibtisch liegenzulassen – Familienmitglieder konnten diese einsehen.

Fünf Prozent der befragten KMU-Mitarbeitenden gaben zu, im Heimnetzwerk angegriffen worden zu sein. Knappe zwei Drittel der Arbeitnehmenden haben angegeben, vom Unternehmen IT-Sicherheitsrichtlinien für die Home-Office-Sicherheit erhalten zu haben. Lediglich 62 Prozent erhielten Richtlinien für Betriebsgeheimnisse. Nur 56 Prozent der KMU-Mitarbeitenden erhielten eine angemessene IT-Sicherheitsschulung für die Arbeit vom Home-Office.

DGB mahnt Überwachung im Home-Office an

Der Deutsche Gewerkschaftsbund (DGB) möchte Beschäftigte vor digitaler Überwachung durch Arbeitgebende besser schützen – auch im Home-Office. Wie einer Meldung des DGB zu entnehmen ist, habe die Überwachung von Mitarbeitenden in der Corona-Krise zugenommen – und das geschehe ohne Rechtsgrundlage und häufig auch heimlich.

DGB-Vorstandsmitglied Anja Piel erklärte: „Tatsächlich nutzen manche Arbeitgeber – und das ist sehr schändlich und sehr, sehr schlimm – die Krise und die digitale Arbeit schon jetzt, um ihre Beschäftigten mehr denn je zu überwachen – illegal, ohne deren Wissen und ohne Einwilligung, unter Missachtung der Mitbestimmungsrechte.“ Die teils lückenlose Überwachung von Mitarbeitenden sei „ein orwellscher Albtraum, und das muss ein Ende haben.“ Deshalb legte der DGB einen eigenen Entwurf für ein ergänzendes Beschäftigtendatenschutzgesetz vor.

Maßnahmen für die Home-Office-Sicherheit

Es gibt Mittel und Maßnahmen, die für Arbeitgebende und –nehmende leicht umzusetzen sind. Einige davon stellen wir Ihnen im Folgenden vor.

Verschlüsselung für die Home-Office-Sicherheit

Die Verschlüsselung von Daten ist ein immenser Sicherheitsfaktor. Durch Verschlüsselung gelingt es, Informationen vor neugierigen und unbefugten Blicken zu schützen. So sollte im Home-Office immer die Netzwerkverschlüsselung aktiviert sein. Auch E-Mails sollten ausschließlich per VPN, also über eine verschlüsselte Netzwerkverbindung, zugänglich sein. Doch auch eine Inhaltsverschlüsselung ist für die Übertragung von Informationen per E-Mail unumgänglich. Weitere Tipps zur E-Mail-Sicherheit finden Sie in unserem Beitrag „Home Office durch Corona: E-Mail-Sicherheit gewährleisten“.

Sind Mitarbeitende unterwegs, steigt die Wahrscheinlichkeit, dass Geräte gestohlen werden oder verloren gehen. Auch im Home-Office ist die Gefahr groß, dass Familienmitglieder Geräte mitbenutzen, wie die oben erwähnten Studienergebnisse darlegen. Deshalb sollten Geräte grundsätzlich im Standby-Modus verschlüsselt werden. Bei neueren Geräten sind Verschlüsselungslösungen meist schon mit an Bord, sie müssen jedoch aktiviert und konfiguriert werden. Auch Videokonferenzsysteme oder Passwort-Manager sollten eine durchgängige Verschlüsselung bieten, um die Sicherheit auch außerhalb des Unternehmensnetzwerks zu wahren.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) sieht die folgenden technischen Maßnahmen als essentiell an:

• VPN
• Verschlüsseln aller Datenträger
• Multi-Faktor-Authentifizierung
• Segmentieren und Absichern von Netzen
• Mobile Device Management (MDM)

Sicher kommunizieren im Home-Office

Bezüglich der Home-Office-Sicherheit kommt dem Thema Kommunikation eine besondere Bedeutung zu – das belegen die oben genannten Studienergebnisse. Seit Beginn der Home-Office-Ära wird zunehmend über digitale Kanäle kommuniziert – jedoch leider nur selten über sichere. Bei der Auswahl sicherer Kanäle ist auf den Datenschutz, aber auch die Sicherheit der Dienste zu achten. Insbesondere die Wahl eines geeigneten Videokonferenzdiensts ist gar nicht so einfach, jedoch haben wir Ihnen in unserem Beitrag „Videokonferenz-Software: Vergleich von Videokonferenztools“ einige Dienste vorgestellt und Tipps zur Auswahl gegeben.

Home-Office-Sicherheit durch Schulung & Sensibilisierung

Systeme können immer nur so sicher sein, wie der Mensch, der mit ihnen umgeht: Mitarbeitende selbst sind als Risikofaktoren zu betrachten. Dies lässt sich jedoch ändern, wenn Mitarbeitende Schulungen zur Informationssicherheit und zum Datenschutz erhalten. Keine oder unzureichende Schulungen können schwerwiegende Folgen haben: Angriffe werden nicht erkannt und dementsprechend kann nicht auf sie reagiert werden. Hacking, Phishing oder Social Engineering sind Begriffe, die Ihre Mitarbeitenden einordnen können sollten. Lesen Sie dazu auch unsere Serie „Identitätsdiebstahl im Internet“ sowie unseren Beitrag „IT-Sicherheit im Home-Office: Mehr Security für Remote-Arbeit“.

Erhöhen Sie die Home-Office-Sicherheit

Sicherheits- und Datenschutzvorfälle ziehen einen riesigen Rattenschwanz hinter sich her: Die Arbeit kann stillstehen, wenn Systeme ausfallen, Schadenersatz könnte sich aus Datenschutzverletzungen genauso ergeben wie horrende Geldbußen. Imageschäden sind schwer zu beziffern, sie folgen aber definitiv nach Sicherheitsvorfällen. Die Studienergebnisse zeigen, dass Mitarbeitende selten gut auf die Home-Office-Sicherheit vorbereitet werden, dabei ist es gar nicht so schwer, Risiken abzudämpfen: Verschlüsseln Sie Informationen, Datenträger und Kommunikationen, schulen und sensibilisieren Sie Mitarbeitende und Sie haben bereits ein deutlich höheres Maß an Home-Office-Sicherheit erreicht. Haben Sie Fragen zur Informationssicherheit im Allgemeinen oder zur Home-Office-Sicherheit im Besonderen, sind unsere geschulten Experten gerne für Sie da! Nehmen Sie einfach Kontakt zu uns auf.