Welche Folgen die Etablierung von Remote Work für die IT-Sicherheit hat
Ende Juni ist sie ausgelaufen, die Home-Office-Pflicht. Damit endet die seit Januar bestehende Vorgabe, dass Arbeitgeber überall dort, wo es möglich ist, Home-Office anbieten müssen. Doch viele Arbeitnehmerinnen und Arbeitnehmer möchten auch weiterhin zumindest teilweise von zu Hause arbeiten. Zahlreiche Unternehmen haben bereits erklärt, dass Remote Work auch zukünftig einen hohen Stellenwert haben soll. Doch das Home-Office bringt Risiken für die IT-Sicherheit mit sich. Welche Gefahren existieren und wie Unternehmen damit umgehen sollten, diesen Fragen widmen wir uns im aktuellen Blogbeitrag.
Im März 2020 war es soweit: Die Weltgesundheitsorganisation (WHO) stufte die Verbreitung des Coronavirus als Pandemie ein. „Ab ins Home-Office“ hieß es dann in vielen Unternehmen. Der Schritt kam plötzlich und unerwartet – für alle Beteiligten. Viele Unternehmen mussten innerhalb kürzester Zeit die technischen Voraussetzungen für die Umstellung auf Remote-Work schaffen. Dies führte zu fehlenden Regelungen und mangelnder IT-Sicherheit – was auch Cyberkriminellen nicht entgangen ist. So haben Hacker ihre Aufmerksamkeit seit Ausbruch der Pandemie noch stärker auf Unternehmen gerichtet, um Sicherheitslücken, die u.a. durch die Einführung von Home-Office entstanden sind, auszunutzen.
Risikofaktoren im Home-Office:
- Fehlende unternehmensweite Regelungen zur Arbeit im Home-Office
- Geringe Ressourcen in IT-Abteilungen führen zu langen Service-Wartezeiten und eigenmächtigem Handeln von Mitarbeitenden
- Mangelnde Erfahrung der Mitarbeitenden im Umgang mit möglichen Cyberbedrohungen
- Bring Your Own Device (BYOD): Mitarbeitende arbeiten im Home-Office mit privaten Endgeräten, auf denen IT-Abteilungen keine Kontrollmechanismen etabliert haben
- Unzulänglich geschützte private Netzwerke, mit denen sich Mitarbeitende ins Unternehmensnetzwerk einwählen
Verschiedene Untersuchungen zeigen, wie Cyberkriminelle sich den Umstieg ins Home-Office und die damit einhergehenden Risiken zu Nutze machen. So hätten laut Untersuchung der internationalen kriminalpolizeilichen Organisation Interpol 60 Prozent der befragten Unternehmen einen massiven Anstieg an Hacker-Attacken wahrgenommen. Und das Bundesamt für Informationssicherheit in der Informationstechnik (BSI) sowie das französische Pendant ANNSI erklärten im Rahmen der dritten Ausgabe des französisch-deutschen IT-Sicherheitslagebilds, dass „Cyber-Kriminelle flexibel auf die Pandemie reagiert haben und die allgemeine Verunsicherung der Unternehmen und der Bevölkerung gezielt ausnutzen.“ Und auch jetzt, in einer Zeit, in der Normalität einzukehren scheint, bleibt das Home-Office für die IT-Sicherheit ein Risikofaktor. Studien zufolge werden viele Unternehmen zukünftig auf einen Mix von Bürotätigkeit und Remote Work setzen, was Risiken mit sich bringen wird.
Wie können Unternehmen die Gefahren von Cyberattacken auf Remote-Arbeitsplätze eindämmen?
- Schriftliche Kommunikation sämtlicher verbindlicher Regelungen zur IT-Sicherheit
- Sicherstellung eines Sicherheitsniveaus am heimischen Arbeitsplatz, das mit dem des Büroraumes vergleichbar ist
- Ausstattung der Mitarbeitenden mit leistungsfähigen Endgeräten samt automatischer Installation aktueller Sicherheits-Updates
- Zugriff auf interne Ressourcen nur mittels eines sicheren Kommunikationskanals bzw. VPN
- Multi-Faktor-Authentifizierung für Fernzugriffsysteme und -ressourcen (inkl. Cloud-Services)
10 TIPPS FÜR SICHERES ARBEITEN IM HOME-OFFICE
Laden Sie jetzt unsere Tippliste kostenfrei herunter.
Der Mensch als „größte Schwachstelle“ im System
Viele Cyberattacken scheitern an den eingerichteten Schutzmaßnahmen der Unternehmens-IT. Wesentlich leichter können sich Hacker hingegen über die Belegschaft Zugang zu den Infrastrukturen von Unternehmen verschaffen. Durch Fahrlässigkeit oder auch Unwissenheit, insbesondere im Umgang mit Phishing-Mails oder persönlichen Zugangsdaten, wird Cyberkriminellen das Eindringen oft leicht gemacht. Aus diesem Grund ist eine Sensibilisierung der Führungskräfte und Mitarbeitenden gegen solche Gefahren unabdingbar. Denn: Die besten IT-Sicherheitslösungen schützen das Unternehmen nicht ausreichend, solange der „Faktor Mensch“ das Sicherheitsbewusstsein nicht mitträgt.
Ein wichtiger Faktor hierbei: Das Vorgehen von Cyberkriminellen wird immer professioneller – z. B durch Phishing-Mails oder Deepfakes. Während Phishing-Mails vor einigen Jahren zumeist unausgereift und ungezielt an Massenverteiler versendet wurden, machen sich Angreifer heutzutage gerne persönliche Daten, die durch soziale Medien zugänglich sind, zunutze: Damit adressieren und gestalten sie Phishing-Mails so professionell, dass diese von echten E-Mails kaum mehr zu unterscheiden sind.
Schulungen für Sensibilisierung vor Cyberbedrohungen
Da die Belegschaft trotz einer stetig steigenden Zahl an Sicherheitshinweisen immer noch als Haupteinfallstor für Hackerangriffe gelten, sollten Unternehmen dieser Gefahr mit Trainingsmaßnahmen wie Online-Schulungen entgegenwirken. Neben allgemeinen Informationen zum Thema IT-Sicherheit geht es insbesondere darum, die Beschäftigten für die Gefahren von schadhaften Mails zu sensibilisieren. Seminare und Workshops stellen adäquate Formate hierfür dar. Mithilfe von Phishing-Simulationen durch IT-Experten werden Bedrohungen verdeutlicht und das Bewusstsein geschärft. Durch regelmäßige Simulationen lassen sich zudem Fortschritte beim Thema IT-Sicherheit messen.
Als Spezialist auf dem Gebiet der IT-Sicherheit bietet die Allgeier CyRis umfangreiche Awareness-Trainings und Sensibilisierungsmaßnahmen für Führungskräfte und Mitarbeitende an: von interaktiven Online-Schulungen über Live-Workshops bis hin zu standort-übergreifenden Sicherheitskampagnen.
Fazit
Die Möglichkeit im Home-Office zu arbeiten bringt Unternehmen und ihren Beschäftigten zahlreiche Vorteile. Es ist davon auszugehen, dass Remote Work auch nach der Corona-Krise in vielen Unternehmen umgesetzt wird. Allerdings bedeutet Home-Office eine Bedrohung für die IT-Sicherheit. Um sich gegen die Risiken von Cyberattacken zu schützen, sollten Unternehmen sowohl die IT-Umgebung sichern wie auch Mitarbeitende für die Gefahren sensibilisieren.