Arbeiten im Home Office: Die Hacker warten schon

In Zeiten der Corona-Pandemie haben auch digitale Viren Hochkonjunktur, denn immer mehr Menschen arbeiten zuhause mit wenig abgesicherten Home-Office-Lösungen. Vor allem private Endgeräte fallen oft durchs Raster, weil IT-Abteilungen nicht in der Lage sind, sie ausreichend zu schützen. [...]

Sascha Wellershoff ist Vorstand der Virtual Solution AG in München. (c) Virtual Solution

Aktuell arbeiten so viele Menschen wie nie zuvor von zuhause aus. Weil Unternehmen ihnen oft keine dienstlichen Geräte zur Verfügung stellen, greifen die Beschäftigten aus Not schnell zu unsicheren Mitteln: Sie nutzen WhatsApp für die geschäftliche Kommunikation, verschicken Betriebsinterna über den privaten E-Mail-Account oder speichern wichtige Dateien auf unzureichend geschützten Heim-PCs ab.

Home Office als Sicherheitsrisiko

Doch auch die Daten von Mitarbeitern, die zuhause auf unternehmenseigenem Equipment arbeiten dürfen, sind einem hohen Angriffsrisiko ausgesetzt. Sicherheitskomponenten wie Firewall, Proxy-Server oder Patch-Management, die das interne Firmennetzwerk vor Angriffen und Datenverlust schützen, sind beim mobilen Arbeiten nämlich grundsätzlich nicht vorhanden. Dadurch sind gerade Smartphones und Tablets außerhalb des Netzwerks schlechter geschützt als innerhalb des Firmenperimeters.

Mitarbeiter müssen deshalb über ein gewisses Maß an IT-Sicherheitswissen verfügen: Sie sollen starke Passwörter verwenden, nicht wahllos auf Links klicken und unsichere Apps herunterladen, sie dürfen sich nicht bei zweifelhaften WLAN-Hotspots anmelden und sollten das Endgerät mit betrieblichen Daten nicht unbeaufsichtigt liegen lassen. Wer sich nicht an diese Regeln hält, wird für das Unternehmen schnell zu einem Sicherheitsrisiko. Während viele Beschäftigte mit dieser neuen Verantwortung heillos überfordert sind, verfügen Cyber-Kriminelle bereits über jahrelange Erfahrung und rüsten immer stärker auf.

Unternehmen sind verantwortlich

Für dienstlich genutzte private Mobilgeräte bestehen darüberhinaus weitere Risiken bei Datensicherheit und DSGVO. Nutzt ein Mitarbeiter beispielsweise eine für persönliche Zwecke erworbene App auch für berufliche Aufgaben oder greifen Apps auf die Kontaktdaten des Unternehmens zu, kann das schwerwiegende Folgen haben: Bestimmungen zum Datenschutz, Urheberrecht oder Aufbewahrungspflichten sind nicht sichergestellt – und der Arbeitgeber haftet im Zweifel dafür. Im schlimmsten Fall drohen hohe Strafzahlungen – so wurden gegen die Deutsche Wohnen und 1&1 Telecom 2019 rund 14,5 beziehungsweise 9,55 Millionen Euro als Bußgeld verhängt.

Strikte Trennung von dienstlichen und privaten Daten

Unternehmen müssen deshalb darauf achten, dass die gesamte IT-Technologie auf dem neuesten Stand ist. Sie müssen sicherstellen, dass auch die Mitarbeiter an ihren mobilen Endgeräten zuhause nur mit aktuellen Systemversionen arbeiten und dass alle Anwendungen über Sicherheitsupdates verfügen. Alle Beschäftigten sollten außerdem verbindliche und einheitliche Regelungen für den Schutz der IT und der Daten im Unternehmen erhalten. Ganz sicher sein können sich Unternehmen aber nur, wenn geschäftliche sowie private Daten und Anwendungen auf den jeweiligen Smartphones und Tablets strikt voneinander getrennt sind.

Mit Softwarelösungen wie SecurePIM von Virtual Solution können Mitarbeiter auch über ihre eigenen mobilen Endgeräte sicher und DSGVO-konform auf Firmendaten zugreifen. SecurePIM stellt dabei eine Container-Lösung für alle Unternehmensdaten zur Verfügung, die als App auf das Gerät geladen wird. Er bietet dem Mitarbeiter eine abgetrennte und sichere Umgebung, aus der heraus er sein Tagesgeschäft wie E-Mails, Kontakte, Aufgaben sowie Dokumente und Notizen verwalten kann. Unternehmensdaten liegen innerhalb des Containers, sodass sie von persönlichen Daten und Anwendungen auf dem mobilen Endgerät streng getrennt sind.

Ende-zu-Ende-Verschlüsselung

Im Gegensatz zu nativen oder Stand-Alone-Apps sind die Unternehmensdaten in SecurePIM automatisch verschlüsselt. Der Zugang ist auf dem Endgerät durch PIN, Passwort oder Touch- und Face-ID geschützt und auch die Datenübertragung ist Ende-zu-Ende verschlüsselt. So bleiben die Daten auch bei Diebstahl oder Verlust des Geräts vor Missbrauch geschützt. Umgekehrt verhindert die Containerisierung auch, dass Mitarbeiter aus dem sichereren Unternehmensbereich auf eine nicht autorisierte App zugreifen und Daten per Copy-and-Paste in den privaten Bereich überspielen. Andere Anwendungen erhalten grundsätzlich keinen Zugriff auf die Inhalte des gesicherten Bereichs.

Eine Container-Lösung schützt nicht nur die Daten und Anwendungen des Unternehmens, sondern im Fall von BYOD (Bring your own Device) zugleich auch die Privatsphäre des Mitarbeiters. IT-Administratoren haben keinen Zugriff auf das Gerät und private Daten wie E-Mails, Fotos oder den Browserverlauf, sondern kontrollieren ausschließlich geschäftliche oder dienstliche Daten im Container. Die strikte Trennung von geschäftlichen und persönlichen Daten gibt Unternehmen auch die Sicherheit, dass die rechtlichen Vorgaben für den Schutz der Unternehmensdaten eingehalten werden, etwa bezüglich personenbezogener Daten von Kunden, Lieferanten, Geschäftspartnern oder Mitarbeitern, die ja regelmäßig in E-Mails und anderen Dokumenten enthalten sind.

Eine gute Lösung für sicheres mobiles Arbeiten darf nicht zu einer zusätzlichen Belastung für die IT-Abteilung werden. Unternehmen sollten ihren Mitarbeitern daher Systeme zur Verfügung stellen, mit denen sie komfortabel arbeiten können und die trotzdem sicher und datenschutzkonform sind. Denn auch die beste Sicherheitslösung macht keinen Sinn, wenn Beschäftigten sie umgehen und deswegen nicht nutzen.

Sascha Wellershoff ist Vorstand der Virtual Solution AG in München.


Mehr Artikel

Gregor Schmid, Projektcenterleiter bei Kumavision, über die Digitalisierung im Mittelstand und die Chancen durch Künstliche Intelligenz. (c) timeline/Rudi Handl
Interview

„Die Zukunft ist modular, flexibel und KI-gestützt“

Im Gespräch mit der ITWELT.at verdeutlicht Gregor Schmid, Projektcenterleiter bei Kumavision, wie sehr sich die Anforderungen an ERP-Systeme und die digitale Transformation in den letzten Jahren verändert haben und verweist dabei auf den Trend zu modularen Lösungen, die Bedeutung der Cloud und die Rolle von Künstlicher Intelligenz (KI) in der Unternehmenspraxis. […]

News

Richtlinien für sichere KI-Entwicklung

Die „Guidelines for Secure Development and Deployment of AI Systems“ von Kaspersky behandeln zentrale Aspekte der Entwicklung, Bereitstellung und des Betriebs von KI-Systemen, einschließlich Design, bewährter Sicherheitspraktiken und Integration, ohne sich auf die Entwicklung grundlegender Modelle zu fokussieren. […]

News

Datensilos blockieren Abwehrkräfte von generativer KI

Damit KI eine Rolle in der Cyberabwehr spielen kann, ist sie auf leicht zugängliche Echtzeitdaten angewiesen. Das heißt, die zunehmende Leistungsfähigkeit von GenAI kann nur dann wirksam werden, wenn die KI Zugriff auf einwandfreie, validierte, standardisierte und vor allem hochverfügbare Daten in allen Anwendungen und Systemen sowie für alle Nutzer hat. Dies setzt allerdings voraus, dass Unternehmen in der Lage sind, ihre Datensilos aufzulösen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*