Während die Digitalisierung vieler Geschäftsprozesse in vollem Gange ist, bleiben Wissenslücken, wie der Umgang mit Hackerangriffen, weiter erhalten. Besonders was den sicheren Umgang mit Daten angeht – ein Problem, welches durch den Einzug ins Homeoffice deutlich zutage getreten ist.
Cybersecurity-Awareness
Dabei fehlt den Mitarbeitern häufig das Verständnis für die verschiedenen Möglichkeiten der Hackerangriffe und der damit einhergehenden Risiken. Während der jährliche Phishing and Fraud Report von F5 angibt, dass im vergangenen Jahr die Anzahl der Phishing-Vorfälle um ganze 220 Prozent angestiegen ist, ist längst nicht jedem bekannt, was es damit überhaupt auf sich hat.
Gleiches gilt zum Beispiel für Ransomware, Trojaner, Malware oder Business E-Mail Compromise (BEC). Doch auch hier gilt: Unwissenheit schützt vor Strafe nicht. Schliesslich können Fehler beim Umgang mit der Unternehmens-IT ernste Folgen nach sich ziehen.
Zu Beginn muss also ein Sicherheitsbewusstsein geschaffen werden. Dazu sollten Unternehmen auf Trainings und Schulungen zurückgreifen. Jede E-Mail kann ein potenzielles Risiko darstellen, selbst wenn vermeintlich die eigenen Vorgesetzten in der Absenderzeile stehen. Das Anklicken von Links oder der Download eines Anhangs kann bereits eine Gefahr darstellen. Häufig ist allerdings nicht eindeutig ersichtlich, wann dies der Fall ist – ein Wissen, das in ebensolchen Schulungen vermittelt werden sollte.
Gleichzeitig ist eine unternehmensübergreifende Regelung zum Umgang ganz entscheidend, die Bewertung der Situation sollte nicht allein im Ermessen der Angestellten liegen. So kann nach und nach eine sogenannte Human Firewall gebaut werden, bei der die Angestellten selbst Angriffe so gut es geht vermeiden.
Bring-your-own-device
Nicht jedes Unternehmen stellt Geräte für die Nutzung im Homeoffice zur Verfügung. Die Konsequenz ist die Nutzung von privaten Geräten im beruflichen Kontext. Besteht keine Möglichkeit, den Mitarbeitern firmeneigene Geräte zur Verfügung zu stellen, sind Schulungen hier von ganz essenzieller Bedeutung. Wie häufig klickt man die Erinnerung über den abgelaufenen Virenschutz weg, in dem Glauben, dass keine Gefahr bestehe. Wird nun dieses ungeschützte Gerät mit vertraulichen Unternehmensdaten genutzt, haftet letztlich das Unternehmen. Hier sind trotz aller Aufklärung von der Firma gestellte Geräte noch immer die beste Lösung.
Sichere Zusammenarbeit
Wie bereits angedeutet, geht mit der Arbeit im Homeoffice zumeist die Nutzung privater Netzwerke einher. Diese sind allerdings für den Einsatz im Unternehmenskontext nicht optimal abgesichert. VPN-Zugänge und das Monitoring des Fernzugriffs sind sinnvolle Methoden, um die Sicherheitslevel der Netzwerke auch bei der mobilen Arbeit zu erhöhen. Darüber hinaus muss auch der Datenaustausch bei der Zusammenarbeit geschützt werden. Um auf unsichere Lösungen oder Mail-Anhänge verzichten zu können, ist der Einsatz von Content-Collaboration-Tools besonders beliebt.
Ende-zu-Ende-Verschlüsselung dient beim Datenaustausch dazu, dass auf dem Weg vom Sender zum Empfänger kein Zugriff auf die Daten erfolgen kann. Lediglich die beiden Parteien, die über die jeweiligen Schlüssel verfügen, sind zum Zugriff befähigt. In Kombination mit dem Zero-Knowledge-Prinzip, bei dem nicht einmal die Anbieter der Lösung Zugang zu den Daten erhalten können, ist so bereits ein grosser Schritt für die IT-Sicherheit getan.
Unternehmen, die Daten mit ihren Kunden oder Dritte, wie externe Partner, austauschen müssen, können sich somit auch rechtlich absichern. Schliesslich können Hackerangriffe im Ernstfall auch zu grossen finanziellen Schäden und damit verbundenen Haftungsansprüchen führen.
Hier steht eindeutig Nutzerfreundlichkeit im Vordergrund. Während es einfach umsetzbar ist, verdächtige Links in einer fremden E-Mail nicht zu nutzen, ist die tägliche Arbeit mit einer komplizierten Softwarelösung für den permanenten Datenaustausch mit allen Mitarbeitern weitaus umständlicher, was die Nutzungsbereitschaft deutlich senkt. Aus Bequemlichkeit tendieren viele Personen dazu, Anhänge dann doch per E-Mail oder über einen einfachen Messenger zu verschicken.
Verantwortlichkeiten
Viele Unternehmen verfügen über IT-Sicherheitsbeauftragte, also Mitarbeiter, die nur dafür da sind, die Sicherheit des Unternehmens zu gewährleisten, und dafür die richtigen Lösungen und Methoden empfehlen. Haben mittelständische Unternehmen eine IT-Abteilung und speziell geschulte Fachkräfte, ist ihnen bereits geholfen. Allerdings hat sich der Druck auf die Sicherheitsverantwortlichen durch das Homeoffice stark er-höht, schliesslich können sie der übrigen Belegschaft nicht mehr vor Ort bei Problemen helfen und eventuell bei kritischen Fragen zur Seite stehen. Dennoch werden sie bei erfolgreichen Angriffen verantwortlich gemacht.
Indem alle Mitarbeiter auf Verdachtsfälle und den Ernstfall geschult werden, verringert man nicht nur das Risiko für das gesamte Unternehmen, sondern auch den Stressfaktor für die IT-Verantwortlichen. Ist jeder Mitarbeiter bis zu einem bestimmten Level selbst in der Lage, für die Sicherheit auf seinem eigenen Gerät zu sorgen, ist die gefühlte Verantwortung gleichermassen verteilt und bleibt nicht vollständig bei einzelnen Personen liegen.
Fazit
Eine grosse Anzahl an Unternehmen setzt mittlerweile auf einen Remote-Ansatz, einige wollen in Zukunft sogar gänzlich auf Büroräume verzichten. Die Coronakrise hat gezeigt, dass dies im Hinblick auf die Zusammenarbeit möglich sein kann. Wichtig ist dabei, dass die Cybersicherheit bei Remote Work gleichzeitig in den Vordergrund rückt. Für Hacker bieten sich durch das Homeoffice neue Einfallstore, schliesslich entwickeln sich auch ihre Methoden weiter.
Neues Bewusstsein und Verständnis für IT-Sicherheit müssen her, damit zukünftig Schutz geschaffen werden kann. Ausgereifte und abgesicherte Tools sind ein Muss, die «Human Firewall», also professionell geschulte Mitarbeiter, sollte ein weiterer Schritt sein, um sowohl Unternehmen und Kunden als auch Mitarbeiter vor möglichen Schäden zu schützen.
