Das Unternehmermagazin aus der Handelsblatt Media Group

Creditreform
Illustration eines Schreibtischs unter einer gläsernen Glocke

© iStock

Inzwischen arbeiten mehr als 18 Millionen Berufstätige ganz oder teilweise im Homeoffice. Doch was während der Lockdowns unvermeidbar war, darf nicht zum Cyberrisiko werden. Warum auch zu Hause eine sichere IT-Ausstattung wichtig ist und der Datenschutz nicht vernachlässigt werden darf.

 

Beim ersten Lockdown im März 2020 schickten die Unternehmen ihre Mitarbeiter von heute auf morgen ins Homeoffice, um ihren Betrieb irgendwie am Laufen zu halten. Schnell musste es gehen, Sicherheit kam oft erst an zweiter Stelle. Seit Beginn der Corona-Pandemie arbeiten inzwischen nach Angaben des Digitalverbands Bitkom mehr als 18 Millionen Berufstätige ganz oder teilweise von zu Hause – und müssen nicht nur den Umgang mit neuen Tools lernen, sondern auch, wie Cyber- und Datensicherheit im Heimbüro funktioniert.

Während technisch gut aufgestellte Unternehmen ihre Mitarbeiter mit professionellem Equipment ausgerüstet haben, waren anderswo Improvisation und Pragmatismus gefragt. Oft blieb dabei die IT-Sicherheit auf der Strecke. „Gerade jetzt aber schwärmen digitale Raubritter aus, um die Gunst der Stunde zu nutzen und mit Spam, Phishing, Malware, Identitätsdiebstahl und Datenklau schnelle Beute zu machen“, sagt Holger Mühlbauer, Geschäftsführer des Bundesverbands IT-Sicherheit e.V. (Teletrust).

Der Verband hat in einer deutschlandweiten Umfrage ermittelt, welche IT-Sicherheitsvorkehrungen die Nutzer umsetzen. Demnach haben nur 65 Prozent der Befragten ihre Rechner und 63 Prozent ihr WLAN-Netz passwortgeschützt. Lediglich 61 Prozent haben ein Virenschutzprogramm installiert und jeder Zehnte hat im Homeoffice überhaupt keine Sicherheitsmaßnahmen etabliert.

 

Schatten-IT als Cyberrisiko

Es mangelt an vielem: Firmennotebooks für die Mitarbeiter, Server für das Unternehmen oder Lizenzen für benötigte Software zur sicheren Remote-Arbeit. „Besonders riskant handeln Unternehmen, die ihren Mitarbeitern den Zugang über ihre privaten Rechner ermöglichen.

Diese Schatten-IT macht die Infrastruktur für Cyberkriminelle offen wie ein Scheunentor“, erklärt Thorsten Urbanski, IT-Security-Experte beim Sicherheitslösungsanbieter ESET. Als Basis sollte eine professionelle Antivirenlösung auch auf privaten Rechnern installiert sein. „Oftmals ist aber gar nichts aufgespielt oder es sind bestenfalls kostenlose Produkte, die gegen aktuelle Hackerangriffe deutlich weniger Sicherheit bieten“, sagt er.

Dazu kommt der Faktor Mensch: Laut einer Studie des IT-Sicherheitsunternehmens Proofpoint haben erst 14 Prozent der Unternehmen ihre Mitarbeiter entsprechend geschult. Es kommt noch schlimmer: Mehr als die Hälfte der Angestellten in Deutschland räumten ein, dass sie im Homeoffice ihren Freunden und Familienangehörigen den Zugriff auf das Bürogerät erlauben, um beispielsweise online einzukaufen oder um zu spielen.

„Dieses Verhalten stellt ein erhebliches Risiko dar und verdeutlicht den Bedarf an intensivierten Schulungen zum Sicherheitsbewusstsein, die auf die Mitarbeiter im Homeoffice zugeschnitten sind“, sagt Michael Heuer, Vice President DACH bei Proofpoint.

Mehr Sicherheit im Homeoffice

Seit der Corona-Pandemie wird das Homeoffice zum Einfallstor für Cyberkriminelle. So sorgen Unternehmen und Mitarbeiter für mehr Sicherheit:

  • Arbeitsgeräte: Nur die vom Arbeitgeber bereitgestellten, sicheren Geräte nutzen und diese nicht für private Zwecke verwenden. Arbeitsgeräte werden zentral gemanagt mit regelmäßigem Aufspielen von (Sicherheits-)Updates.
  • Bildschirmsperre aktivieren: Wer seinen Arbeitsplatz verlässt, sollte seinen Bildschirm sperren, damit keine Unbefugten auf den Computer zugreifen können.
  • Sicht auf Bildschirm verhindern: Den Bildschirm so aufstellen, dass kein Besucher ungewollt die Inhalte lesen kann. Spezielle Sichtschutzfolien verhindern auch unterwegs ein ungewolltes Mitlesen.
  • WLAN sichern: Einfallstor für Cyberkriminelle sind WLAN-Netzwerke im Homeoffice. Für den Router und das Netzwerk sollten hochsichere Passwörter eingerichtet werden.
  • VPN nutzen: Der sicherste Zugriff auf das Firmennetzwerk und die Unternehmensdaten erfolgt über ein VPN (Virtual Private Network), das die Unternehmen ihrer Belegschaft zur Verfügung stellen.
  • Multi-Faktor-Authentifizierung: Es sollte sich nur jemand ins Netzwerk einloggen können, dessen Identität eindeutig geklärt ist. Unternehmen sollten statt nur auf Passwörter auf eine Multi-Faktor-Authentifizierung setzen.
  • Nur zugelassene Plattformen und Apps nutzen: Schädliche Dateien tarnen sich oft als Apps. Ausschließlich die vom Unternehmen geprüften und zugelassenen Plattformen und Apps nutzen.
  • Auf Vertraulichkeit achten: Telefonate und Videokonferenzen so führen, dass Dritte nicht mithören können. Also nicht auf dem Balkon oder vor offenem Fenster geschäftlich telefonieren.
  • Gedruckte Dokumente: Sie sollten nicht offen am Arbeitsplatz im Homeoffice abgelegt werden. Nicht mehr benötigte Dokumente am besten nur an dem dafür eingerichteten Schredder im Büro entsorgen.
  • Mitarbeiter schulen: Das größte Sicherheitsrisiko ist immer noch der Mensch. Security-Awareness-Schulungen helfen, Phishing-Mails und andere Attacken als solche zu erkennen und richtig zu reagieren.

Quelle: Bitkom; ESET; Keyed; Kaspersky

Unsichere Onlinekonferenzen: Schäden in Milliardenhöhe

Auch die im Homeoffice eingesetzten digitalen Tools etwa für Onlinekonferenzen bergen Gefahren: Das IT-Sicherheitssoftwareunternehmen Kaspersky entdeckte vergangenes Jahr weltweit 1,66 Millionen schädliche Dateien, die unter dem Deckmantel beliebter Messenger- und Online-Konferenzanwendungen aktiviert wurden.

Einmal installiert, laden die Dateien zum Beispiel Adware. Diese Programme überfluten die Geräte der Opfer mit unerwünschter Werbung und sammeln im Hintergrund persönliche Nutzerdaten.

Die Folgen für Unternehmen sind immens: In einer aktuellen Studie beziffert der Bitkom den Schaden für die deutsche Wirtschaft durch Cyberattacken und deren Folgen wie Datendiebstahl, Spionage, Erpressung, Systemausfälle oder Betriebsstörungen auf 223 Milliarden Euro – das ist doppelt so viel wie in der vorangegangenen Studie 2018/2019.

Befragt hat der Verband mehr als 1.000 Unternehmen jeder Größe quer durch alle Branchen. Denn im Fokus der Kriminellen stehen längst nicht mehr nur die Großen, sondern auch die kleinen Unternehmen mit ihrem Spezial-Know-how oder weil sie in die Lieferketten der Konzerne eingebunden sind – und somit ein mögliches Einfallstor in deren Systeme darstellen.

Zu den finanziellen Folgen kommen meist noch Verletzungen des Datenschutzes, über die sich viele Unternehmen gar nicht bewusst sind. „Für Arbeit im Homeoffice muss eine Datenschutzvereinbarung getroffen werden. Sie regelt, welche datenschutzrechtlichen Maßnahmen der Arbeitnehmer im Homeoffice ergreifen muss“, erklärt Nils Möllers, externer Datenschutzbeauftragter und CEO von Keyed.

Denn Unternehmen haben wenig Kontrolle darüber, wie ihre Arbeitnehmer mit ihren Daten umgehen. Hier kann es schnell zu Datenpannen kommen, die für den Betrieb ebenso fatale Folgen haben können wie Cyberangriffe. Auch das gemeinsame Erstellen und Bearbeiten von Dokumenten mit Kollaborationstools birgt Risiken für die Vertraulichkeit, Verfügbarkeit und Integrität der übertragenen Daten.

 

Wichtige Erfahrungen mit Kollaborationstools

Klar im Vorteil waren zu Beginn der Pandemie die Unternehmen, die bereits zuvor Erfahrungen mit Homeoffice und dem professionellen Umgang mit Kollaborationstools hatten. So etwa die Kölner Marketing- und Kommunikationsagentur Palmer Hargreaves.

Sie nutzt mit ihren rund 220 Mitarbeiterinnen und Mitarbeitern Microsoft Teams als zentrales Kollaborationstool. Darüber kommuniziert sie nicht nur mit der Belegschaft im Homeoffice, sondern auch mit ihren Partnern und Auftraggebern.

Neben den auf Microsoft-Teams bezogenen Sicherheitsstandards wie Verschlüsselung und zweistufige Authentifizierung gibt es auch definierte Bestimmungen, die bei der Arbeit im Homeoffice für maximalen Schutz berücksichtigt werden müssen.

„Dazu gehören einfache und sinnvolle Maßnahmen, wie keine Lautsprecher zu nutzen, wenn andere in der Nähe sind, einen Sichtschutz für den Bildschirm zu verwenden oder keine Videokonferenzen vor offenen Fenstern durchzuführen, die mitgehört werden könnten“, so Iris Heilmann, Geschäftsführerin und Mitinhaberin von Palmer Hargreaves.

Klar ist aber auch: Im Homeoffice kann es keinen hundertprozentigen Sicherheitsschutz geben. Doch mit entsprechenden Maßnahmen und Schulungen lassen sich die Gefahren deutlich verringern.

„Schnelle Entscheidungen führen zu Fehlern“

Warum der wegen Corona rasante Homeoffice-Anstieg in Unternehmen nicht nur zu IT-Sicherheitsproblemen führte, erklärt Nils Möllers, externer Datenschutzbeauftragter und CEO des auf Datenschutz spezialisierten Dienstleisters Keyed in Altenberge bei Münster.

 

Was sind die häufigsten Datenschutzfallen, in die Unternehmen tappen, wenn sie Mitarbeiter im Homeoffice beschäftigen?

Die Fehler entstehen immer dann, wenn zu schnelle Entscheidungen getroffen werden oder Prozesse in zeitlicher Bedrängnis umstrukturiert werden. So verhält es sich auch beim Datenschutz im Homeoffice. In den häufigsten Fällen wird ein Homeoffice vom Arbeitgeber angeboten, ohne überhaupt eine Vorstellung vom oder gar eine Regelung zum Verhalten der Mitarbeiter zu haben. Es treten regelmäßig Fragen mit weitreichendem Einfluss auf.

Zum Beispiel, wie die privaten von den geschäftlichen Daten getrennt werden. Wenn ein Mitarbeiter in den eigenen vier Wänden arbeitet, ist der Schritt zur privaten Nutzung von betrieblicher IT nicht weit. Meist erfolgt der Zugang zum Unternehmensnetz auch über das private Netzwerk des Mitarbeiters.

Die größten Risiken bei der Einführung des Homeoffice sind dabei die unberechtigte oder fehlerhafte Nutzung oder Administration von Geräten und Systemen, sodass schützenswerte Informationen von Unbefugten abgegriffen werden können – genauso wie vertrauliche Dokumente auf Papier, die eingesehen werden können.

 

Ohne Cloud-Dienste kommt kein Homeoffice aus. Wie wichtig ist bei der Nutzung solcher Dienste der Serverstandort Deutschland oder Europa?

Grundsätzlich gibt es erst einmal keinen datenschutzrechtlichen Unterschied in den Anforderungen zwischen einem deutschen und einem europäischen Serverstandort. Abweichend zur Datenschutz-Grundverordnung, gibt es nationale Bestimmungen in bestimmten Bereichen wie digitale Gesundheitsanwendungen, welche die nationale Speicherung von personenbezogenen Daten vorschreibt.

Ansonsten gelten dieselben Anforderungen an ein angemessenes Schutzniveau gemäß Artikel 32 DSGVO. Das heißt, Unternehmen sind dazu verpflichtet, den Cloud-Dienst daraufhin zu prüfen.

 

Und was müssen Unternehmen nach dem Schrems-II-Urteil ­beachten, wenn sie die Cloud-Dienste der US-Hyperscaler nutzen? Geht das überhaupt noch?

Möglich ist der Einsatz von US-amerikanischen Anbietern weiterhin. Allerdings sind die Anforderungen in erheblichem Maße gestiegen. Entscheidend dafür ist, dass die ehemaligen Privacy-Shield-Zertifizierungen nicht mehr als geeignete Garantie für die Gewährleistung des angemessenen Schutzniveaus bei der Datenübermittlung in die USA verwendet werden können.

Somit müssen Unternehmen nun mit US-amerikanischen Anbietern eine andere geeignete Garantie zur Absicherung finden. Diese gibt es auch: Es sind EU-Standarddatenschutzklauseln. Nun müssen diese Standarddatenschutzklauseln zwischen Anbietern wie Google, Amazon oder Microsoft und den Unternehmen vereinbart werden, einschließlich zusätzlicher Maßnahmen wie etwa Verschlüsselungsmechanismen.

Dabei sollte sich jedes Unternehmen allerdings einen ausgewiesenen Datenschutzexperten mit juristischer Kompetenz hinzunehmen.