IT-Sicherheit im Home-Office: Mehr Security für Remote-Arbeit

Das neue Jahr beginnt, wie das Alte aufgehört hat: Im Home-Office. Denn die Corona-Krise hat viele zum Umdenken gezwungen und das Home-Office ist vielfach fester Bestandteil in Unternehmen geworden. Auch nach der Corona-Krise möchten Firmen ihre Mitarbeiter weiter im heimischen Büro arbeiten lassen, wie Studien zeigen. In unserem heutigen Beitrag zeigen wir auf, welche Entwicklungen sich diesbezüglich im letzten Jahr ergaben, welche Risiken bestehen und wie Sie die IT-Sicherheit im Home-Office effizient steigern können.

Home-Office: Zuhause im Unternehmen

Im Jahre 2020 arbeiteten 32 % der Berufstätigen aus dem Home-Office: Zu diesem Ergebnis kommt eine Befragung der Initiative D21, die im Frühsommer 2020 durch das Beratungsunternehmen Kantar durchgeführt wurde. 1.154 Auszubildende und Berufstätige wurden befragt. Damit hat sich die Anzahl jener, die im Home-Office arbeiten, im Vergleich zu 2019 verdoppelt. Viele möchten, dass es so bleibt:

36 % der Befragten möchten auch in Zukunft mindestens die Hälfte ihrer Arbeitszeit im Home-Office verbringen. Für 51 % jener Befragten, die über Home-Office-Erfahrungen verfügen, wäre es vorstellbar, die Heimarbeit weiter auszuweiten. Führungskräfte scheinen dies jedoch laut dieser Befragung anders zu sehen: Unter ihnen möchten nur 25 %, dass Mitarbeiter auch nach der Corona-Krise aus dem Homeoffice arbeiten.

Home-Office-Steuer: Ein Vorschlag für die Tonne

Nicht jeder reagiert mit Begeisterung auf die Idee, mehr Home-Office-Zeiten anzubieten: Luke Templeman, seines Zeichens Deutsche Bank-Ökonom, findet, dass Menschen, die von Zuhause aus arbeiten, weniger Geld in Umlauf bringen. Dadurch werden sie zu einer Belastung der Gesellschaft – Home-Office-Mitarbeiter würden nicht mehr für die Infrastruktur zahlen, sie bei Bedarf jedoch nutzen. Laut Templeman erscheine es nur rechtens, wenn eine entsprechende Home-Office-Steuer einen Ausgleich schaffen würde.

Da man sich im Home-Office jedoch nicht von E-Mails ernährt, sondern gleichsam der Belegschaft im unternehmerischen Büro essen und trinken muss, außerdem Strom- sowie Wasserkosten steigen, darf dieser Vorschlag von Templeman gerne in die Tonne. Fast schon zähneknirschend darf auch bedacht werden, wer diesen Vorschlag unterbreitet: Ein Ökonom einer jener Geldinstitute, die in nahezu jeder Krise der vergangenen Jahre selbst gerettet werden musste.

Glücklicherweise hat der Bundestag hier in eine andere Richtung gedacht und den Weg für eine Steuererleichterung freigemacht. In 2020 sowie 2021 können Arbeitnehmer pro Home-Office-Tag bis zu fünf Euro steuerlich absetzen. Dies soll die Mehrbelastung des heimischen Arbeitens ausgleichen – und zeigt sich damit deutlich realitätsnaher als der Vorschlag Templemans. Eine Beschränkung gibt es jedoch auch bei der Steuererleichterung für Home-Office-Mitarbeiter: Sie gilt lediglich für 120 Tage, also bis zu 600 Euro. Wer mehr als 120 Tage im Home-Office arbeitet, hat schlicht Pech: Mehr wird nicht gezahlt. Aber immerhin.

Netzwerksicherheit und Überwachung

Juniper Networks nutzt ein internationales Marktforschungsprojekt, um die Perspektiven, Einstellungen sowie Bedenken leitender IT-Netzwerk- sowie Sicherheitsspezialisten aus unterschiedlichen Branchen zu untersuchen. 1.000 Experten wurden im Auftrag von Juniper Networks durch das Forschungsinstitut Vanson Bourne befragt. Dabei zeigt sich, dass die Netzwerksicherheit zweifelsohne eine allgegenwärtige sowie wachsende Herausforderung darstellt – gerade auf die aktuelle Situation mit vielen Remote-Mitarbeitern. Tatsächlich gaben sagenhafte 97 % der Befragten an, dass sie es als besondere Herausforderung verstehen, dass Unternehmensnetzwerk effektiv abzusichern. Weiter gaben 86 % an, dass sowohl Zuverlässigkeit als auch Leistung des Netzwerks optimiert gehören. Es besteht also größter Nachholbedarf!

Der besteht auch in einigen Microsoft-Produkten: Der österreichische Netzaktivist und Forscher Wolfie Christl zeigte bei Twitter, wie die Funktion „Productivity Score“ in Microsofts Office 365 das Tun von Mitarbeitern im Home-Office überwacht. Dieser Score zeigt mitunter, wie oft einzelne Mitarbeiter E-Mails versenden, wie oft über Teams Chats genutzt werden und weitere Informationen. Dadurch wird eine Vergleichbarkeit erreicht, die Verwirrung stiften kann: Kollege A versendet mehr E-Mails als Kollege B – ist er nun produktiver oder gesprächiger? Kollege C erwähnt andere Kollegen viel seltener in Chats – ist er kein Teamplayer? All diese Informationen können in Mitarbeitergesprächen oder Gehaltsverhandlungen Einzug finden. Zur Einsicht der Daten sind bestimmte Zugriffsrechte innerhalb des Unternehmens notwendig.

Aktivist Christl befürchtet, dass sich Unternehmen zu stark an einem Productivity Score aufhängen – ohne wirklich zu wissen, wie relevant derartige Zahlen zur Beurteilung der Arbeit wirklich sind. „Ich bezweifle, dass diese Produktivitätskennzahlen viel aussagen, befürchte aber, dass viele Unternehmen trotzdem versuchen werden, die willkürlichen Zielwerte zu erreichen, die Microsoft vorgibt“, erklärt Christl gegenüber dem BR. Mit dem deutschen Recht ist eine derartige Mitarbeiterüberwachung ohnehin kaum vereinbar. Bertold Brücher erklärte als Rechtsexperte des DGB gegenüber Heise, dass das rechtskonforme Nutzen solcher Überwachungstools nicht möglich sei.

Risiken für Netzwerk- und IT-Sicherheit

Wie Sie sehen, gibt es viele Überlegungen zu der Frage, ob Mitarbeiter ins Home-Office sollen oder vom firmeneigenen Schreibtisch aus tätig werden. Viele Mitarbeiter befürworten das Home-Office zweifelsohne, jedoch sorgen neue Angriffspunkte in der Netzwerk- und Datensicherheit bei der Geschäftsführung für Kopfzerbrechen. Werfen wir einen Blick auf einige Zahlen:

• Einer ESET-Studie zufolge haben Hackerangriffe auf Remote Desktop-Verbindungen (RDP) wesentlich zugenommen. Im Juni 2020 wurden binnen 24 Stunden 3,4 Millionen Attacken auf Unternehmensnetzwerke gefahren. Neben dem Abgreifen von Daten sei laut ESET das Verteilen von Ransomware Sinn dieser Angriffe. Der Sicherheitsexperte ESET hat gerade in Lockdown-Zeiten vermehrt Cyberangriffe bei der Remote-Arbeit feststellen können.
• Über 50 % aller remote arbeitenden Mitarbeiter verwenden für Zugriffe auf Unternehmenssysteme unsichere Privatgeräte. Zu diesem Ergebnis kommt die Untersuchung „Remote Work“, die durch CyberArk in Auftrag gegeben wurde. Diese Untersuchung zeigt leider auch die Doppelbelastung von arbeitenden Eltern, die ihre Kinder betreuen müssen: Im Alltag muss es schnell gehen, sodass für Sicherheit oft keine Zeit bleibt. Leider zeigt sich das in weiteren Studienergebnissen: 96 % nutzen identische Passwörter geräte- und anwendungsübergreifend, 26 % nutzen die Browser-eigene und eher unsichere Passwortspeicherung für Firmengeräte und 20 % gestatten anderen Haushaltsmitgliedern die Nutzung der Firmengeräte für andere Aktivitäten, etwa Schularbeiten oder Online-Shopping.

Vielfach mussten Unternehmen im Jahr 2020 feststellen, dass die hauseigene IT-Infrastruktur dem plötzlichen Remote-Ansturm nicht standhalten konnte. Es fehlte an Sicherheitsmaßnahmen. Doch man musste auch zügig reagieren – die Lösungen mussten schnell umgesetzt werden. Leider ging dies häufig zulasten der Sicherheit. Jetzt, nach einigen Monaten der Gewöhnung, ist es jedoch dringend Zeit, die IT-Sicherheit im Home-Office zu erhöhen!

IT-Sicherheit im Home-Office optimieren

Im Folgenden erfahren Sie, wie es Ihnen gelingt, mit relativ einfachen Mitteln die IT-Sicherheit im Home-Office erhöhen zu können. Dabei ist es wichtig, dass Sie IT-Sicherheit nicht als lästige Kostenstelle sehen. Begreifen Sie IT-Sicherheit im Home-Office, aber auch ganz grundsätzlich in Ihrer Organisation als Investition in Absicherung und Zukunftsfähigkeit.

Zugänge sichern

Schaffen Sie sichere Zugänge, indem Sie für den Zugriff aufs Firmennetzwerk VPN fest vorschreiben. Vorschriften dieser Art sammeln Sie idealerweise in einer Sicherheitsrichtlinie, die allen Mitarbeitern sowohl im Home-Office als auch direkt im Unternehmen vorliegt. Sie dient einerseits als verbindliche Leitlinie in Sachen Sicherheit, gibt Mitarbeitern andererseits aber Unterstützung an die Hand, wenn diese unsicher im Umgang werden.

Neben der Verbindung ausschließlich per VPN bietet sich Multifaktor-Authentifizierung an. Anstelle des üblichen Logins per Nutzername und Passwort kommt noch mindestens ein weiterer Sicherheitsfaktor hinzu, etwa das Eingeben einer PIN, die via Smartphone kommt.

Nutzen Sie Ihre Sicherheitsrichtlinie auch dafür, Vorgaben für Passwörter zu machen: Sie sollten komplex und damit sicher sein. Die Verwendung eines Passworts für mehrere Dienste untersagen Sie idealerweise. Andernfalls können kompromittierte Konten zum Öffnen weiterer Accounts dienen.

Schwachstelle Mitarbeiter: Awareness schaffen

Die größte Schwachstelle in Unternehmen ist und bleibt der Mensch – und er ist auch wesentlich für die IT-Sicherheit im Home-Office mitverantwortlich. Denn auf Gefahren wie Spear Phishing, Social Engineering, Phishing, Malware- und Ransomware-Attacken müssen Mitarbeiter vorbereitet werden, um entsprechend reagieren zu können. Weiter müssen sichere Kommunikationskanäle geschaffen und auch genutzt werden und mobile Endgeräte sind zu schützen. All dies gelingt nur, wenn die „Schwachstelle Mensch“ durch Awareness-Schulungen auf diese Gefahren und etwaige Gegenmaßnahmen vorbereitet wird.

IT-Sicherheit im Home-Office: Weitere Tipps

Weiter gilt es, sämtliche unsicheren und veralteten Endgeräte aufzuspüren und diese zu isolieren. Sie haben nichts im Unternehmensnetzwerk verloren und sollten nicht mehr eingesetzt werden. In Ihrer Sicherheitsrichtlinie können Sie vermerken, dass Sicherheitspatches umgehend eingespielt werden. Idealerweise entscheiden Sie sich für das automatische Einspielen von Updates, sodass kein sicherheitsrelevantes Patch verpasst werden kann.

Verschlüsseln Sie die Kommunikationswege. Verzichten Sie auf unsichere Messenger und Videokonferenzdienste, nutzen Sie Wege, die verschlüsselt werden. Achten Sie auch auf die Sicherheit beim Kommunikationsmittel Nr. 1: Der E-Mail. E-Mail-Zertifikate sind hier das Mittel der Wahl.

Es lohnt sich, systematisch vorzugehen. Nachdem Sie die Risiken für Ihre Organisation identifiziert, bewertet und priorisiert haben, lässt sich daraus die Sicherheitsrichtlinie ableiten. Bereits erprobte Lösungen können Sie für eine zügige Schadensminderung zeitnah umsetzen. Mittel- und langfristige Überlegungen sind jedoch ebenfalls anzustellen, damit die IT-Sicherheit im Home-Office und im gesamten Unternehmen auch in Zukunft gewährleistet ist.

Gender-Disclaimer:
Zur besseren Lesbarkeit und zur Vermeidung von Gender-Sternchen verwenden wir das generische Maskulinum für Substantive und meinen damit alle natürlichen Personen unabhängig ihres Geschlechts.