Homeoffice – IT-Sicherheit und Risiken
4. Februar 202120. Juni 2022
2
In Compliance, Fakten

Homeoffice – IT-Sicherheit und Risiken

Den Startschuss für das Wachstum an Homeoffice-Plätzen setzte bereits die erste Infektionswelle im März 2020. Über den Sommer nahm die Zahl zwischenzeitlich wieder ab, um im Winter aufgrund der Verschärfungen zur Eindämmung des Virus einen neuen Höchststand zu erreichen. Seit dem 27. Januar dieses Jahres sollen gemäß der aktuellen SARS-CoV-2-Arbeitsschutzverordnung die Arbeitsgeber allen Mitarbeitern, deren Tätigkeit es zulässt, die Arbeit im Homeoffice ermöglichen. Verschiedene Untersuchungen und Befragungen zeigen in diesem Zusammenhang ein Potential von über 50% auf. Damit einher geht ein großes Interesse der Beschäftigten zumindest regelmäßig zuhause zu arbeiten.
Beschäftigte mit relevanter Hard- und Software auszustatten und entsprechend zu schulen bedeutet selbstverständlich einen regelmäßig hohen Aufwand an Zeit und finanziellen Mitteln. Die Kurzfristigkeit der Maßnahmen und der durch die Pandemie beschleunigte Digitalisierungsprozess erhöhen aber auch die Sicherheitsrisiken in Verbindung mit dem Homeoffice.
Die Auswirkungen der voranschreitenden Digitalisierung und des unternehmensfernen Arbeitens zeigen sich insbesondere in zunehmender Onlinekriminalität. In diesem Kontext werden die Unerfahrenheit und aktuelle Verunsicherung der Menschen sowie die unzureichend geschützten Computer und Netzwerke gezielt ausgenutzt. Vermehrt manipulieren die Cyberkriminellen die Menschen emotional und spielen in Phishing-Mails unter anderem auf aktuelle Themen, wie etwa vermeintliche neue Corona-Regelungen an oder geben sich als Vertreter offizieller Institutionen aus, um Klicks auf schadhafte Links zu provozieren.
Anhand der steigenden Angriffe durch Cyberkriminelle wird deutlich, dass gerade im Homeoffice Etliches beachtet werden muss, damit die Datensicherheit erhalten bleibt oder zumindest nicht verstärkt gefährdet wird. Die mit dem Homeoffice verbundenen Sicherheitsrisiken stehen vermehrt im Zusammenhang mit folgenden Aspekten:

• Netzwerke
• private Endgeräte
• Cloud-Anwendungen und Collaboration-Dienste
• Bewusstsein und Verhalten der Beschäftigten
• Schulungen
• Arbeitsorte

Der Arbeitsplatz im Homeoffice kann von der Küche über das Schlafzimmer oder in Zeiten des Homeschoolings bis zum Kinderzimmer variieren. Die Auswahl des Arbeitsortes hängt oftmals von Faktoren wie verfügbarem Platz oder der Stärke des WLAN-Signals ab. Diese Arbeitsplätze bergen etliche Risiken, die sich erhöhen, je mehr Familienmitglieder zu Hause sind. Unbefugte Einsicht in Daten, deren Beschädigung oder deren Verlust sind mögliche Gefahren. Den idealen Platz stellt ein verschließbarer Arbeitsraum dar. Zudem sollte darauf geachtet werden, den Computer nicht in der Nähe von Fenster zu nutzen. Ist ein separater Arbeitsraum nicht möglich, sollte zumindest darauf geachtet werden, dass der Bildschirm beim Verlassen des Platzes gesperrt, Rechner und ausgedruckte Dokumente nach der Nutzung in einem Schrank verschlossen werden.

Auch der Einsatz von privaten Endgeräten stellt ein erhöhtes Sicherheitsrisiko dar. Insbesondere Rechner mit veralteten Betriebssystemen, Update-Lücken oder mangelhaftem Schutz gegen Malware und Viren erleichtern Hackern den Zugriff auf die sensiblen Unternehmensdaten. Auf privaten Computern kann sich zudem Software befinden, die nicht im Sinne des Unternehmens und der Datensicherheit sind. Der Einsatz von privaten Endgeräten sollte somit, wo immer möglich, vermieden und untersagt werden.
Cloud-Anwendungen und Collaboration-Dienste sind für das dezentrale Arbeiten von Zuhause sehr nützlich. Allerdings entsprechen deren Schutzmechanismen oft nicht den Sicherheitsanforderungen des Unternehmens, was vielfach daran liegt, dass deren Anbieter ihren Unternehmenssitz im Ausland haben und viele dort geltende Regelungen nicht mit der EU-DSGVO vereinbar sind. Unabhängig davon ist generell das Herunterladen vertraulicher Daten aus der Cloud oder von einer Plattform auf die Geräte der Beschäftigten, das Gewähren von Zugriffsrechten an Unbefugte und jegliche Form von unsicherem Datenaustausch zu unterlassen bzw. zu unterbinden.

E-Mail-Anwendungen erleichtern uns vielfach die Kommunikation mit Kunden, Kollegen oder Lieferanten. Allerdings sind auch hier Sicherheitslücken gegeben, welche es Cyberkriminellen ermöglichen, die Anwendungen unbemerkt zu knacken, Mails einzusehen oder zu löschen. Vom Einsatz privater Mailadressen ist grundsätzlich Abstand zu nehmen. Es sind auch hier sichere und wechselnde Passwörter zu verwenden, welche vor der Einsicht durch jegliche Dritten zu schützen sind.
Unverschlüsselte Festplatten stellen ebenfalls ein vielfach nicht bedachtes Sicherheitsrisiko dar. Sind Festplatten nicht verschlüsselt und es kommt zu einem Verlust, ist es unbefugten Dritten möglich, die darauf vorhandenen Daten einzusehen und auf sie zuzugreifen.
Sicherheitskonzepte können noch so gut durchdacht und ausgestaltet worden sein, wo Menschen arbeiten, passieren auch Fehler. Sie laden gefährliche E-Mail-Anhänge herunter, klicken vermeintlich sichere Links an, geben ihre Zugangspasswörter preis oder vergessen wichtige Sicherheits-Updates durchzuführen. Insbesondere im Homeoffice steigt die Verantwortung eines jeden Einzelnen, die Sicherheit des Unternehmens zu gewährleisten.
Durch regelmäßige Schulungen sollte das Bewusstsein für die Gefahren im Homeoffice geschärft und der richtige Umgang mit personen- und unternehmensbezogenen Daten außerhalb der Geschäftsräume gelehrt werden. Zusätzlich sollte die Sicherheit der Verbindungen, über welche im Homeoffice gearbeitet wird, sichergestellt sein. Nach Möglichkeit sollten daher virtuelle private Netzwerke (VPNe) genutzt werden. Das Aufsetzen von IT-Sicherheits- und Homeoffice-Richtlinien und ein schlüssiges Rechte- und Zugriffsmanagement sind ebenso unerlässlich. Beim Aufsetzen der unternehmensspezifischen Regeln für das Homeoffice besteht selbstverständlich auch die Möglichkeit, sich an der Datenschutzgrundverordnung, Compliance-Vorgaben oder auch an Absprachen mit Kunden zu orientieren.
Die aufgezeigten Risiken im Homeoffice sind nicht zu unterschätzen, sodass entsprechende Sicherheitsmaßnahmen ergriffen werden sollten, um möglichen kostenintensiven Erpressungen, Bußgeldern oder Reputationsverlusten entgegenzuwirken.

Essenz
• voranschreitende Digitalisierung und ortsunabhängiges Arbeiten geht mit IT-Sicherheitsrisiken einher
• mit Zunahme der Homeoffice-Plätze steigen die Angriffe durch Cyberkriminelle
• Sicherheitsrisiken u.a. aufgrund von ungesicherten Arbeitsplätzen, Verwendung privater Endgeräte und Unkenntnis
• Schulungen, um das Bewusstsein für Gefahren zu schärfen und den richtigen Umgang mit sensiblen Daten lehren
• IT-Sicherheits- und Homeoffice-Richtlinien, Rechte- und Zugriffsmanagement etablieren
• Sicherheitsrisiken im Homeoffice führen u.U. zu Lösegeldforderungen, Bußgeldern oder Reputationsverlusten