Das Thema IT-Sicherheit hat durch die vermehrte Arbeit im Home-Office eine neue Dimension erreicht. Während Firmen hausintern viele Maßnahmen zum Schutz von Servern, Computern und Datenbanken einleiten, fällt die Sicherheit am privaten Rechner überschaubar aus. Hier gilt es, die Schwachstelle Home-Office auszugleichen. Der Weg hierzu führt über die Durchführung geeigneter, technischer Maßnahmen und eine Sensibilisierung der einzelnen Mitarbeiter für drohende Probleme.
Risiken durch Hackerangriffe ernst nehmen
Auch wenn durch Diskussionen der Politik und Hinweise von Experten Cyberattacken immer wieder thematisiert werden – viele Firmen unterschätzen das individuelle Risiko. Gerade kleine und mittelständische Betriebe und Einrichtungen glauben, dass sie einem geringeren Risiko als die Großen der Branche unterliegen. Wie Auswertungen zeigen, ist dies leider ein Irrglaube.
Da Attacken dieser Art zu melden sind, lassen sich die meisten Hackerangriffe in Deutschland eindeutig nachvollziehen. Schnell zeigt sich, dass auch kleinere Firmen, öffentliche Einrichtungen oder Bildungsträger zum Ziel der Angreifer werden. Diese verfolgen diverse Ziele, von der wirtschaftlichen Schädigung bis zum Eingriff in die öffentliche Ordnung.
Höhe drohender Schäden nicht unterschätzen
Wird ein Wirtschaftsunternehmen zum Ziel eines Angriffs, können je nach Art und Umfang des Angriffs Schäden in Millionenhöhe drohen. Bei kleineren Firmen geht dieses Risikopotenzial bis an die Grenzen der Existenz. Die Denkweise, dass es „nur die anderen“ trifft, ist in Anbetracht solcher Summen unangemessen.
Über die letzten Monate ist das Risiko sogar noch gestiegen. Bei Cyberattacken in Kriegszeiten rücken nicht einfach PCs oder Server in den Vordergrund. So meldeten die Medien in den letzten Monaten gezielte Angriffe auf Energieversorger. Da nahezu jeder Lebensbereich digitalisiert wurden und von funktionierender Computertechnik abhängt, können Manipulationen und Angriffe dieser Art binnen Sekunden Hunderttausende Menschen von der Stromversorgung abschalten.
Das Home-Office als Schwachstelle
Selbst wenn Firmen das individuelle Risiko ernstnehmen und betrieblich ein umfassendes Sicherheitspaket umsetzen, bleibt ein Risikofeld bestehen. Gemeint ist die Sicherheit im Home-Office, in dem immer mehr Mitarbeiter im Laufe der letzten beiden Jahre arbeiten dürfen. Dies passiert oft mit einem privaten PC oder Laptop, wodurch das Unternehmen keinen direkten Einfluss auf die physische Infrastruktur des Mitarbeiters hat.
Jeder Mitarbeiter sollte die Verantwortung ernst nehmen, für IT-Sicherheit im eigenen Home-Office. Natürlich sollte er hierbei vom Arbeitgeber nicht alleine gelassen werden. Zusammen mit einem IT-Experten ist das Unternehmen dazu angehalten, aktiv zur Sicherheit für Mitarbeiter im Home-Office beizutragen. Hierbei leisten schon wenige grundlegende Maßnahmen einen wertvollen Beitrag.
Als Firma Maßnahmen verstehen und umsetzen
Nach Art. 32 DSGVO haben Unternehmen technische und organisatorische Maßnahmen (TOM) fachgerecht und sicher umzusetzen, sofern personenbezogene Daten verarbeitet werden. Der Gesetzgeber macht hierbei explizit keinen Unterschied, ob diese Verarbeitung hausintern oder in einem Home-Office stattfindet. Die Formulierungen des Gesetzgebers sind Richtlinien, wobei individuell zu prüfen ist, wie eine adäquate Umsetzung gelingt.
Zu den wichtigsten Maßnahmen, die im Sinne der TOM umzusetzen sind, gehören:
• Beschränkte Zugriffskontrolle auf Daten und Anwendungen mit einer zentralen Vergabe von Berechtigungen.
• Zugriffsstatistiken, durch die eine Verarbeitung von Daten nachvollziehbar und protokollierbar wird.
• Bereitstellung von schützenden Anwendungen, die sich einfach im Home-Office aufspielen und nutzen lassen.
• Realisation einer verlässlichen Backup-Strategie, um einen sicheren Status nach einem Angriff wieder herzustellen.
• Umfassende Absicherung sämtlicher Datentransfers, beispielsweise über ein VPN-Netzwerk oder bestmögliche Verschlüsselung.
Ähnlich wie allgemeine Schritte zur Digitalisierung, die in den letzten Jahren zusätzlichen Schwung gewonnen hat, sind diese Maßnahmen kaum alleine durchführbar. Firmen aller Branchen ist anzuraten, einen Experten aus der IT hinzuzuziehen. Viele Systemhäuser sind Spezialisten in der IT-Sicherheit und helfen, ein individuell sinnvolles und funktionierendes Konzept auszuarbeiten.
Grundlegende Maßnahmen einfach meistern
Speziell für Firmen, die nur über wenige Einblicke in die moderne IT verfügen, sind viele der genannten Maßnahmen abstrakt. Hier besteht der Wunsch nach wenigen, konkret umsetzbaren Maßnahmen, die binnen kürzester Zeit für eine grundlegende Sicherheit sorgen. Tatsächlich gibt es einige Basisschritte, die sogar im Feierabend zu einer erhöhten Sicherheit im Netz beitragen.
Für die Anmeldung auf Webseiten oder in Apps mit sensiblen, persönlichen Daten hat sich die Mehr-Faktor-Authentifizierung durchgesetzt. Die Sicherung des WLAN-Netzes für den drahtlosen Datentransfer gehört zu den absoluten Sicherheitsstandards, die Anwender zu Hause und im Büro befolgen sollten. Ähnlich gilt für die Nutzung eines virtuellen Netzwerks (VPN) für einen anonymen Datenverkehr.
Wer als Unternehmen maximale Sicherheit im Home-Office schaffen will, sollte seinen Mitarbeitern Laptop oder PC zur Verfügung stellen. Bei diesen lassen sich im Vorfeld alle Einstellungen selbst vornehmen und Anwendungen aufspielen, die den gewünschten Standard in puncto Sicherheit gewährleisten. Wird der Zugriff auf firmenrelevante Daten über eine Cloud abgewickelt, sollten regelmäßige, automatische Backups erfolgen.
Der Mensch als Risikofaktor
Die praktische Erfahrung zeigt, dass die technische Absicherung nur einen Aspekt maximaler IT-Sicherheit darstellt. So der Mensch als Risikofaktor in vielen Lebensbereichen dafür verantwortlich, dass es zu Datenlecks oder Cyberattacken kommt. Die Probleme können so grundlegend wie das unbedachte Anklicken eines Links oder Öffnen eines Anhangs einer E-Mail sein.
Für Firmen ist deshalb wichtig, jeden Mitarbeiter im Home-Office mit richtigen Verhaltensweisen für einen sicheren Umgang mit dem Thema IT vertraut zu machen. Auch hier reichen oft wenige Grundregeln aus, damit weitreichende Schäden verhindert werden. Ergänzend zum menschlichen Verhalten lassen sich technische Hürden einbauen, damit nicht ein Klick zu einem großen Schaden führt.
Durch Schulungen ein Bewusstsein schaffen
Fehlt die Einsicht oder Erfahrung im Umgang mit Computer & Co., können Schulungen das entsprechende Bewusstsein bei Mitarbeitern schaffen. Dies kann als individuelles Lernen am Bildschirm oder als hausinterne Veranstaltungen erfolgen. Wird Mitarbeitern erlaubt, ihrer Arbeit konsequent im Home-Office nachzugehen, sollte auch die Schulung auf ähnliche Weise abgewickelt werden.
Inhalte einer solchen Schulung können in Zusammenarbeit mit einem IT-Systemhaus entwickelt werden. Dieses stellt auch gerne den passenden Ansprechpartner bereit, der die Schulung durchführt. Hierbei sind IT-Experten bestens mit dem unterschiedlichen Wissensstand von Mitarbeitern vertraut. Die Inhalte der Schulungen werden so angepasst, dass sie für den jeweiligen Mitarbeiter verständlich sind.
IT-Sicherheit ganzheitlich verstehen
Bei aller Sicherheit im Home-Office gilt es, dem eigenen Personal weitere Einblicke in die Sicherheit der digitalen Welt zu verleihen. Es bringt Firmen wenig, in ein Maximum an IT-Sicherheit zu investieren, wenn der Mitarbeiter beim privaten Surfen einen Virus einfängt. Da immer mehr digitale Medien im Alltag zu finden sind und diese unser Verhalten bestimmen, ist ein Umdenken nicht nur während der Arbeitsstunden ratsam. Der Schutz des Rechners im Home-Office kommt schließlich auch Online-Banking, Online-Shopping und ähnlichen Handlungen zugute.
