Illustration: Geralt Absmeier

Fernarbeit, Home Office, Smart Working: Aufgrund der jüngsten Ereignisse greifen immer mehr Unternehmen darauf zu. Doch schon davor hat sich diese Praxis auch bei Arbeitskräften immer größerer Beliebtheit erfreut, und je nach Branche befindet sich das Arbeiten von zu Hause aus in einer Phase großen Aufschwungs. Ein Trend, der allerdings Vorsichtsmaßnahmen seitens der Unternehmen erfordert, damit die Einhaltung von datenschutzrechtlichen Richtlinien nicht dadurch gefährdet wird, dass die Mitarbeiter im Home Office arbeiten.

Gemäß einer im Dezember 2019 von Deloitte veröffentlichten Untersuchung (2.800 erwerbstätige Befragte in Deutschland) nutzen 42 % der Arbeitnehmer das eigene Smartphone und 27 % den eigenen Laptop zur Verrichtung ihrer Arbeit. Im Vergleich zu denjenigen, die behaupten, häufig oder gar nur »mobil« zu arbeiten, fällt die Anzahl der Befragten, die Geräte von der Firma gestellt bekommen, zudem viel zu gering aus. Doch durch die in diesem Moment in einigen Ländern fast erzwungene Entwicklung des Smart-Working-Trends wird den Mitarbeitern der unzureichend abgesicherte Zugriff auf sensible Unternehmensdaten regelmäßig gewährt, was den IT-Leitern unter den genannten Umständen ernsthafte Sorgen bereiten sollte. Es gibt nämlich Risiken, die von vornherein berücksichtigt werden sollten:

Die Unmöglichkeit für den Arbeitnehmer, auf Ressourcen zuzugreifen, die er zum Arbeiten benötigt.
Virenverseuchung des Unternehmenssystems oder unerwünschter Zugriff auf Unternehmensressourcen über eine Sicherheitslücke des privaten Rechners des Mitarbeiters.
Datenverlust.

Zum Schutz gegen solche Unannehmlichkeiten ist es von entscheidender Bedeutung, die Aufmerksamkeit der Benutzer auf die mit dem Smart Working verbundenen IT-Sicherheitsprobleme zu lenken. Eine regelmäßige Aktualisierung des Virenschutzes, die Trennung des privaten und beruflichen Posteingangs, eine Nutzungseinschränkung externer Geräte (USB-Stick, Festplatten usw.) zur Datenübertragung von einem Computer auf einen anderen usw. Die bewährten Basispraktiken müssen den Smart Workern immer wieder in Erinnerung gebracht werden.

Diese Sensibilisierung ist unentbehrlich, doch sie reicht bei Weitem nicht aus, warnt Cybersecurity-Hersteller Stormshield. Es ist nämlich heutzutage unrealistisch, Benutzern zu starke Einschränkungen aufzuerlegen, und die IT-Sicherheit des Unternehmens darf sich auch nicht ausschließlich auf Präventivmaßnahmen stützen.

Identifizierungssysteme, Cloud-Lösungen und Abstimmung als Stützpfeiler des IT-Schutzes

Die Eingrenzung der mit der Fernarbeit verbundenen IT-Risiken erfolgt bei Unternehmen über konkrete Schutzmaßnahmen und technische Lösungen. Darunter:

Profilerstellung der Home-Office-/Smart-Worker.
Für ein Unternehmen ist es von entscheidender Bedeutung, im Voraus Profile der Fernarbeiter je nach ihrem Aufgabengebiet festzulegen und zu bestimmen, auf welche Informationen die Telearbeiter zugreifen dürfen. Die Sicherheitsmechanismen für gelegentliche Fernarbeiter und für ganztägige Home-Office-Arbeiter dürfen auch nicht dieselben sein.
Authentifizierung der Fernzugriffe.
Der erste Schritt zur Vermeidung fremden Eindringens in das Informationssystem des Unternehmens besteht darin, ein System zur Identifizierung des Home-Office-Arbeiters einzuführen, das greift, sobald sich dieser mit dem Unternehmenssystem verbindet. Idealerweise sollte man dabei auf die Mehrfachauthentifizierung setzen (Benutzername, Kennwort, einmalig nutzbarer Code o. Ä.).
Trennung und Schutz der Hardware.
Die einfachste Maßnahme zur Vermeidung der Gefahr einer Virenverseuchung zwischen der Hardware des Mitarbeiters und dem IT-System des Unternehmens besteht immer noch darin, dem Telearbeiter einen Computer zur ausschließlich beruflichen Nutzung zuzuweisen, der vom IT-Personal regelmäßig auf das erforderliche Sicherheitsniveau hin aktualisiert wird. Auf dem von der Firma gestellten Computer dürfen dem Anwender auch keine Administratorenrechte gewährt werden. Doch wie von der Studie erhoben, werden fast 30 % der Arbeitskräfte, die mobil arbeiten, weder ein Smartphone noch ein Laptop von der Firma zur Verfügung gestellt. Dies sollte den IT-Leitern besonders in Zeiten, in denen es sich empfiehlt, vom Home Office aus zu arbeiten, ein Dorn im Auge sein.
Sicherung des Datenzugriffs.
Den Datenfluss zwischen dem Arbeitsplatz des Arbeitnehmers und dem Unternehmensnetz kann auch über ein VPN (»Virtual Private Network«) absichern. Auf vielen privaten Rechnern ist jedoch diese Sicherheitsvorrichtung gar nicht erst installiert. An sich kann man dieses Modell vorläufig durch die Nutzung einer mehrfach abgesicherten virtuellen Büroplattform via Cloud ersetzen. Diese Cloud-Plattformen ermöglichen es, von jedem beliebigen Ort und von jedem beliebigen Computer auf sensible Unternehmensdaten zuzugreifen. Was letzten Endes zählt, ist allerdings die Unversehrtheit der Firmendaten, die auf dem lokalen privaten Rechner gespeichert beziehungsweise verarbeitet werden, um anschließend ins Unternehmensnetz eingespeist zu werden. Deren Absicherung setzt eine ganze Reihe an Maßnahmen voraus, die Zeit für die Implementierung erfordern und die man bei privaten Geräten nur bedingt forcieren kann, weshalb sich die genaue Abstimmung mit dem Home-Office- oder »mobilen« Arbeitnehmer als empfehlenswert erweist.

251 Artikel zu „Home Office Sicherheit“

NEWS | IT-SECURITY | SERVICES | SICHERHEIT MADE IN GERMANY | TIPPS

5 Tipps: Plötzlich Home Office – Cybersicherheit stellt kleine und mittelständische Unternehmen vor große Herausforderungen

14. März 2020

Um die Ausbreitung des Corona-Virus zu bremsen gehen viele Unternehmen dazu über, ihre Belegschaft via Home Office arbeiten zu lassen. Bei Großunternehmen wie Siemens, SAP und Google stehen in der Regel sichere Systeme für Home-Office-Lösungen bereit und werden – wenn auch im kleineren Umfang – schon seit Jahren genutzt. Ein völlig anderes Bild ergibt nach…