Weniger positiv dagegen sind die Zahlen zur Lage der Informationssicherheit. Einer aktuellen Studie der Bitkom zufolge hat die deutsche Wirtschaft im Zeitraum 2020/2021 durch Cyberattacken einen Schaden in Höhe von 223 Mrd. Euro erlitten. Das ist doppelt so viel als noch im Vorjahreszeitraum. Experten schreiben dies unter anderem der schlecht ausgestatteten Informations- und Datensicherheit im Heimbüro zu.
Gefahrenzone Heimbüro: Sicherheitslücken und Unwissenheit
Goekhan Kurtbay, Informationssicherheitsexperte und Berater bei der Sulzer GmbH, sagt: „Leider sind viele mittelständische Unternehmen damit überfordert, neben der Umsetzung der vielen sich ständig ändernden Coronamaßnahmen auch das Homeoffice ihrer Beschäftigten mit den notwendigen Sicherheitsmaßnahmen auszustatten.“ Dies führt zu offenen Einfallstoren für Cyberkriminelle.
Gemeinsam mit seinen Kolleg*innen des Cyber Security Teams hat Kurtbay die folgenden Gefahrenquellen für das Heimbüro identifiziert:
- IT-Geräte sind nicht ausreichend geschützt
- Technisch organisatorische Maßnahmen sind nicht klar definiert
- Aufmerksamkeit im häuslichen Umfeld ist nachlässiger
- Mitarbeiter sind sich der Gefahren nicht bewusst
Wie also können Unternehmen sicherstellen, dass die Geräte und Systeme ihrer Mitarbeiter*innen im Heimbüro gesichert sind? Kurtbay schlägt vor, die Best Practice der ISO 27001 vom Büro auf das Homeoffice zu übertragen: „Wir raten unseren Kunden dazu, ein Information Security Management System (ISMS) nach ISO 27001 einzurichten. Wer dies bereits erfolgreich getan hat, kann dessen technische und organisatorische Maßnahmen relativ schnell auf die Telearbeit übertragen“.
Ein ISMS stellt sicher, dass Datenschutz und Informationssicherheit im gesamten Unternehmen nachhaltig eingehalten, gelebt und ständig verbessert werden. Es bietet auch eine Leitlinie zum mobilen Arbeiten, „denn für das Arbeiten im Homeoffice müssen ganz klar dieselben Sicherheitsmaßnahmen ergriffen werden, wie für das Arbeiten im Büro“, sagt Kurtbay.
Datensicherheit erhöhen – auch im Homeoffice
Aber auch ohne bestehendes ISMS können Unternehmen Maßnahmen ergreifen und Prozesse einführen, um die Informations- und Datensicherheit zu erhöhen. U. a.:
- Rollen und Tätigkeiten, die im Homeoffice ausgeführt werden dürfen, genau definieren
- Verbot der Nutzung von privaten Geräten zu dienstlichen Zwecken und umgekehrt
- Verbindung zum Firmennetzwerk ausschließlich über VPN
- Verbot der lokalen Speicherung von Daten
- Verbot der Nutzung externer Speichermedien oder Drucker
- Mitarbeiter*innen über Angriffspunkte und Vorkommnisse gezielt informieren
- Passwörter einrichten und managen, Daten verschlüsseln
Bei der Auswahl der richtigen Methoden und Werkzeuge ist es wichtig, nicht vorschnell zu handeln, sondern auch das Kleingedruckte gründlich zu lesen. Kurtbay erklärt: “Vor allem bei Software muss man ganz genau hinschauen, wo die Daten gespeichert werden. Dies gilt vor allem bei Anbietern aus den USA, denn diese sind per Gesetz verpflichtet, alle Kundendaten zu speichern und notfalls preiszugeben; Stichwort USA Freedom Act.“ Als deutsches Unternehmen verstößt man in solch einem Fall gegen die Datenschutzgrundverordnung und wird notfalls schadenersatzpflichtig.
Da die meisten Cyberattacken mit Ransomware durchgeführt werden, stellt der Faktor Mensch die größte Schwachstelle dar. „Es hilft die beste Antivirensoftware nichts, wenn Sie Mitarbeiter*innen haben, die E-Mails mit infiziertem Schadcode öffnen und Social Engineering-Versuche nicht erkennen“, weiß Kurtbay aus Erfahrung. Darum ist auch im Homeoffice eine der wichtigsten Maßnahmen die regelmäßige Schulung der Mitarbeiter*innen.
Das Cyber Security Team der Sulzer GmbH berät Unternehmen in der Automobilbranche in Sachen Informationssicherheit, Datenschutz und Compliance, unterstützt bei der Implementierung und Zertifizierung des ISMS nach ISO 27001 und bereitet auf das TISAX®-Assessment vor.
Weitere Informationen zu diesem Thema finden Sie in der Aufzeichnung eines Webinars von Goekhan Kurtbay in einer Kooperation mit dem BVMW:
https://www.youtube.com/...
Zum Thema TISAX® finden Sie Informatives zu Grundvoraussetzung, Herausforderung & Konsequenzen im Webinar von Michael Kirsch, Leiter der Unternehmensentwicklung Cyber Security bei der Sulzer GmbH im folgenden Video, einer Aufzeichnung eines Webinars in Zusammenarbeit mit dem BVMW:
https://youtu.be/sORWyvuaEpA?t=203