https://www.faz.net/-j0w-ac3ts
Verlagsspezial

: Homeoffice ist Einfallstor für Hacker

Einfallstor Homeoffice: Cyberkriminelle setzen darauf, dass Mitarbeiter beim Arbeiten von zu Hause aus weniger gut geschützt sind. Bild: damircudic/iStock

Das Arbeiten von zu Hause aus ist in der Corona-Krise das Gebot der Stunde, denn dadurch lassen sich Ansteckungen in der Belegschaft vermeiden. Doch die virtuelle Zusammenarbeit mit den Kollegen bietet Einfallstore für Cyberkriminelle. Worauf Unternehmen achten müssen, damit IT-Sicherheit auch im Homeoffice gelingt.

          3 Min.

          Das heimische Arbeitszimmer dient als Büro, die Videokonferenz ersetzt das Meeting: Homeoffice ist in der Corona-Krise in vielen Unternehmen zum gelebten Alltag geworden. Laut Daten des Digitalverbands Bitkom arbeiten 10,5 Millionen Arbeitnehmer hierzulande ausschließlich von zu Hause aus. Dabei werden sie zunehmend zum Ziel von Cyberkriminellen, die darauf setzen, dass Mitarbeiter im Homeoffice weniger gut geschützt sind. So würden am heimischen Rechner oftmals weniger sichere Passwörter benutzt – und in Zeiten der ausschließlich virtuellen Zusammenarbeit mit den Kollegen seien die Menschen auch anfälliger für sogenannte Phishing-Attacken, warnt Claudia von Pawel vom Spezialversicherer Hiscox.

          „Viele, die von zu Hause aus arbeiten, meinen, allein durch den Zugang zum Firmennetzwerk per VPN sei ein rundum sicheres digitales Arbeiten möglich“, so von Pawel. Aber eine sichere technische Infrastruktur allein genüge nicht. Vielmehr müsse jeder Einzelne auch bestimmte Verhaltensweisen beachten. Indem man konsequent starke Passwörter einsetzt oder sich das Wissen aneignet, um selbst sehr professionell gemachte Phishing-Attacken oder telefonisch durchgeführte Hacking-Versuche zu vereiteln, kann jeder dazu beitragen, Cyberangriffen vorzubeugen. Denn sonst legt statt dem Coronavirus ein Computervirus das Unternehmen lahm.

          Erhöhte Sorgfaltspflichten für Mitarbeiter

          Unternehmen sind in der Pflicht, ihre Mitarbeiter bestmöglich vor den Gefahren in der digitalen Sphäre zu schützen – und das sollten sie schon aus Eigeninteresse tun: „Damit Unternehmen Schutz für ihre vertraulichen Informationen – wie Kundenlisten, Innovationsideen und Vertriebsstrategien – als Geschäftsgeheimnisse genießen, müssen sie sogenannte angemessene Geheimhaltungsmaßnahmen ergreifen“, sagt Alexander Leister, Rechtsanwalt bei der Wirtschaftskanzlei CMS. „Ansonsten gelten die vertraulichen Informationen nicht als Geschäftsgeheimnisse. Dann bestünde kein Schutz gegenüber Datendieben und Betriebsspionen.“ Da bei der Arbeit im Homeoffice das Risiko für die vertraulichen Informationen eines Unternehmens erhöht ist, „müssen Unternehmen ihren Mitarbeitern erhöhte Sorgfaltspflichten als angemessene Geheimhaltungsmaßnahmen auferlegen“, so Leister. „Dazu gehören zum Beispiel die Benutzung eines aktuellen Virenscanners, die sichere Verwahrung von Dokumenten und das Ausloggen beim Verlassen des Computers.“ Die erhöhten Sorgfaltspflichten sollten in einer eigenständigen Homeoffice-Vereinbarung konkret geregelt werden.

          „Neben der Erfüllung der rechtlichen Anforderungen ist es für Unternehmen wichtig, bei ihren Mitarbeitern ein Bewusstsein für das erhöhte Risiko für vertrauliche Informationen bei der Homeoffice-Arbeit zu schaffen“, bestätigt CMS-Anwalt Leister. „Dazu dienen beispielsweise praktische Leitfäden.“ Auf diese Weise könnten Risikolagen faktisch reduziert oder gar ausgeschlossen werden.

          DSGVO-Richtlinien gelten auch im Homeoffice

          Gerade in Sachen Datenschutz müssen Unternehmen und ihre Mitarbeiter bei der Arbeit im Homeoffice gut aufpassen, denn die Datenschutz-Grundverordnung (DSGVO) gilt natürlich auch in Corona-Zeiten. „Auch in der aktuellen Situation sollten Unternehmer ihre Mitarbeiter weiterhin für den Datenschutz sensibilisieren“, betont Haye Hösel, Geschäftsführer und Gründer des Datenschutz- und IT-Sicherheitsspezialisten HUBIT Datenschutz. „Was sich für viele Unternehmen bereits im Alltag als schwierig herausstellt, bedeutet in der aktuellen Situation eine noch größere Hürde.“

          Für Unternehmen ist in Bezug auf den Datenschutz zunächst einmal relevant, ob ihre Mitarbeiter mit personenbezogenen Daten umgehen oder nicht. „Dies trifft jedoch auf nahezu jeden Arbeitsplatz zu, denn zu den personenbezogenen oder personenbeziehbaren Daten zählen nicht nur Namen, sondern beispielswiese auch Telefonnummern, E-Mail-Adressen, Kontodaten, Personalnummern oder IP-Adressen“, sagt Hösel. Dementsprechend sollten Unternehmen auch in der aktuellen Ausnahmesituation ihre Mitarbeiter dazu anhalten, gewisse Maßnahmen zu befolgen. So gilt zunächst, dass das Arbeitszimmer abschließbar sein muss und Unterlagen in einem abschließbaren Schrank aufbewahrt werden müssen. „Auch Laptops, PCs sowie externe Datenträger wie zum Beispiel USB-Sticks gilt es zu verschlüsseln oder einzuschließen“, so Hösel.

          Private Geräte nur im Ausnahmefall nutzen

          Normalerweise sollen Arbeitnehmer im Homeoffice nicht ihre privaten Geräte nutzen. „Für den Fall, dass dennoch ein privates Gerät zum Einsatz kommt, muss festgelegt werden, in welchem Umfang dies geschieht“, so Hösel. Zudem muss sichergestellt sein, dass etwa das Betriebssystem und der Virenschutz auf dem aktuellsten Stand sind.

          In jedem Fall sollte das elektronische Firmennetzwerk für Arbeitnehmer nur über ein sicheres Passwort zugänglich sein, ebenso wie die Kommunikation per E-Mail nur über den Server der Firma und damit verschlüsselt ablaufen darf. Um die Sicherheit des Netzwerkes auch außerhalb des Büros zu gewährleisten, empfiehlt es sich, grundsätzlich virtuelle private Netzwerke, sogenannte VPNs, zu nutzen. „Bei der Nutzung des Diensthandys sollten Mitarbeiter Messengerdienste wie Whatsapp, die laut DSGVO als nicht datenschutzkonform gelten, meiden“, rät Hösel. „Vielmehr sollten Unternehmen auf alternative Apps oder SMS setzen.“ Und wenn Videokonferenzen die herkömmlichen Meetings ersetzen, gilt es natürlich auch hier, für eine professionelle Verschlüsselung zu sorgen, damit keine vertraulichen Informationen nach außen dringen können.

          Topmeldungen

          : Cyberangriffe: Deutsche Firmen im Visier

          Angriffe aus dem Cyberspace nehmen zu, der Schaden für die deutsche Wirtschaft ist immens. Unternehmen müssen nicht nur in die technische IT-Sicherheit investieren – sondern auch die Mitarbeiter für die Gefahren der digitalen Sphäre sensibilisieren.
          Dr. Haya Shulman leitet die Abteilung Cybersecurity Analytics und Defences am Fraunhofer-Institut für Sichere Informationstechnologie SIT in Darmstadt.

          Interview : „Das Vertrauensverhältnis zum Kunden ist ein hohes Gut“

          Dr. Haya Shulman leitet die Abteilung Cybersecurity Analytics und Defences am Fraunhofer-Institut für Sichere Informationstechnologie SIT in Darmstadt. In diesem Jahr wurde die gebürtige Israelin mit dem ersten Platz beim hochdotierten Deutschen IT-Sicherheitspreis ausgezeichnet. Im Interview spricht sie über die Vorgehensweise von Cyberkriminellen und zeigt auf, wie wichtig es für Unternehmen ist, einen Notfallplan in der Schublade zu haben.
          Täuschend echte Nachrichten: Phishing-E-Mails sind heutzutage zum Teil so gut gemacht, dass man nur beim genaueren Hingucken etwas bemerkt.

          : Mit einem Klick in der Falle

          Phishing-E-Mails sind ein Dauerbrenner der Cyberkriminalität. Aktuell erleben die oftmals täuschend echten Nachrichten aus vermeintlich seriöser Quelle sogar so etwas wie eine kleine Renaissance.
          Gravierende Auswirkungen: Am Haupteingang zum Universitätsklinikum Düsseldorf fährt ein Krankenwagen vorbei. Nach dem umfangreichen IT-Ausfall an der Uniklinik im September 2020 dauert die schwierige Suche nach den Hackern weiter an.

          : Schutzmechanismen gegen Verschlüsselungstrojaner

          Ferngesteuerte, digitale Erpressung mittels spezieller Erpressersoftware ist inzwischen eine der größten Bedrohungen für die Cybersicherheit weltweit. Betroffen sein kann jedes Unternehmen, wichtig sind eine schnelle Reaktion und eine gute Vorbereitung für den Ernstfall.