Home Office: Chancen und Gefahren für Unternehmen

Der Trend zum Home Office scheint unumkehrbar und wird auch nach der Pandemie eine wichtige Rolle im Arbeitsalltag einnehmen. Daher ist jetzt der richtige Zeitpunkt die mangelhafte Betrachtung der IT-Sicherheit aufzuarbeiten. [...]

Die aktuellen Geschehnisse rund um COVID-19 haben eindringlich vor Augen geführt, wie wichtig flexible Home-Office Lösungen für Unternehmen und deren Mitarbeiter sind. Durch den akuten Lockdown konnten viele Unternehmen keine ausreichende Telearbeit-Infrastruktur bereitstellen, Sicherheitsaspekte wurden nur eingeschränkt berücksichtigt und Hackern die Tür geöffnet. Ulrich Kallausch, Managing Partner des Cyber Security Unternehmens Certitude, erklärt wie die Vorteile von Home-Office genutzt und Risiken vermieden werden.

In weiten Teilen der Dienstleistungsbranche hat man erkannt: Die Bereitstellung von Home-Office-Arbeitsplätzen bietet Unternehmen viele Vorteile und wird immer attraktiver. Angefangen von der Reduktion der benötigten Infrastruktur, dem Zugang zu innovativen Beschäftigungsverhältnissen, bis zur höheren Mitarbeiterzufriedenheit bzw. höherer Attraktivität am Arbeitsmarkt. Großkonzerne wie Twitter oder der Autohersteller PSA haben bereits Home-Office als neuen Standard festgelegt. Der Trend zum Home Office scheint unumkehrbar und wird auch nach der Pandemie eine wichtige Rolle im Arbeitsalltag einnehmen. Daher ist jetzt der richtige Zeitpunkt die mangelhafte Betrachtung der IT-Sicherheit aufzuarbeiten.

„Was vielen Unternehmen nicht bewusst ist, sind die Risiken, die mit einer unzureichend durchdachten Umsetzung von Home-Office Infrastrukturen einhergehen“, weiß IT-Sicherheitsexperte Ulrich Kallausch, Managing Partner bei Certitude. „Schwachstellen, wie nicht ausreichend geschützte IT-Infrastrukturen und -Komponenten oder fehlende Vorgaben zum Umgang mit dem Home Office für Mitarbeiter, können von Dritten genutzt werden, um an vertrauliche Informationen zu gelangen und kritische Prozesse auszuhebeln.“

Damit riskieren Unternehmen Geschäftsausfall, Datenverlust und hohe Geldstrafen bei Übertreten des Datenschutzgesetzes (DSGVO). Denn gegenwärtig nutzen Mitarbeiter entweder vom Arbeitgeber gestellte Rechner, Tablets und Smartphones in Heimnetzwerken oder sogar die privaten Geräte. Damit entstehen unkontrollierte Sicherheitslücken in der IT, die es Angreifern einfach machen in Unternehmens-Netzwerke einzudringen.

Wichtige Maßnahmen

Um den Risiken angemessen zu begegnen und Maßnahmen sinnvoll umzusetzen, gilt es eine Vielzahl an Aspekten zu bedenken, um die IT-Infrastruktur des Unternehmens zu schützen und materiellen sowie immateriellen Schaden abzuwenden.

• Klare Regeln mit Unterstützung technischer Maßnahmen: Es müssen klare Regeln für die Nutzung von Hard- und Software, Internetverbindungen, das Verhalten im BCM-Notfall oder der Umgang mit sensiblen Daten vorab festgelegt und an die Mitarbeiter kommuniziert werden. Wenn Privatgeräte für die Nutzung des Heim-Arbeitsplatzes genutzt werden dürfen, ergeben sich weitere Risiken. Wenn nötig, müssen Mitarbeiter im sicheren Umgang mit IT und Informationen geschult werden.
• Schutz der im Home-Office verwendeten Geräte: Diebstahl eines Gerätes oder Schadsoftware kann dem Angreifer vollen Zugang zu Unternehmensdaten ermöglichen. Insbesondere bei Privatgeräten ist das Risiko hoch.
• Adaption kritischer Prozesse des Unternehmens auf Home-Office.
• Implementierung einer Mehrfaktorauthentifizierung zum Schutz der internen Infrastruktur und Unternehmensdaten.
• Schulung der Mitarbeiter im sicheren Umgang mit IT und Schaffung von Awareness über Sicherheitsrisiken.
• Einrichtung technischer Lösungen zur Vermeidung von Angriffen auf die Firmeninfrastruktur sowie die Unterbindung von unautorisierten Zugriffen auf firmeninterne Netzwerke.

Bis heute verlassen sich Unternehmen mit Perimeter-Based Security auf eine jahrzehntealte Sicherheitsstrategie, bei der interne Netzwerke grundsätzlich als vertrauenswürdig eingestuft werden. Bereits vor Jahren haben sich hier jedoch Sicherheitsmängel gezeigt, die durch technische Trends wie beispielsweise Cloud Computing verschärft werden.

„Neuerlich hat sich das Konzept Zero Trust etabliert, das die Anschauung beschreibt, niemandem mehr per Default zu vertrauen und stattdessen Kontrollen zu implementieren, die gegen Angriffe innerhalb des Netzwerkes effektiv sind. Zero Trust berührt verschiedene Aspekte, wie Netzwerk- und Gerätesicherheit, Anwendungs- und Servicesicherheit, Authentifizierung und Security Monitoring. Damit die Arbeit von daheim zuverlässig und reibungslos funktioniert, müssen Firmen digitale Arbeitsplätze aufrüsten. Daher erstellen wir für Unternehmen eine zugeschnittene IT- und Sicherheitsstrategie, um Zero-Trust Aspekte sinnvoll umsetzen zu können“ erklärt Kallausch.