IT-Security am Arbeitsplatz Im Fokus von Hackern: das Homeoffice

Kein Stau auf dem Arbeitsweg und eine Stunde länger schlafen: das Arbeiten von Zuhause hat Vorteile. Doch auch im Homeoffice lauern Cyberrisiken. Worauf Unternehmen achten müssen und wie sicher Remote-Arbeit ist, erklären Experten aus der Branche.

Firmen zum Thema

Der Arbeitsplatz in den eigenen vier Wänden benötigt zusätzliche Absicherung.
Der Arbeitsplatz in den eigenen vier Wänden benötigt zusätzliche Absicherung.
(Bild: © adam121-stock.adobe.com)

Tablets, Smartphones, Notebooks, Desktop-Systeme, Cloud Services und mehr: Mitarbeiter arbeiten heute mit jedwedem Gerät und von überall aus. Das ist das Ziel des modernen Arbeitsplatzes, der vor allem durch die Coronakrise einen Aufschwung erfahren hat, wie Karsten Agten, Geschäftsführer bei IT-ON.Net berichtet: „Der erste Lockdown wurde Mitte März 2020 von der Bundesregierung beschlossen und binnen weniger Tage mussten nahezu alle Unternehmen ihre Büros in die Wohnungen ihrer Mitarbeiter auslagern.“ Ferner waren die wenigsten Unternehmen IT-technisch darauf vorbereitet und Agten zufolge waren die Mitarbeiter, die im Büro in sicherer Umgebung gearbeitet hatten, zum großen Teil auf sich allein gestellt. Das hatte vor allem Auswirkungen auf die IT-Security.

Bildergalerie
Bildergalerie mit 6 Bildern

„Zu Beginn der Pandemie, beziehungsweise des Arbeitens von Zuhause, war das Sicherheitsbewusstsein nicht sehr präsent, weder auf der Mitarbeiter- noch auf der Unternehmensseite,“ erklärt Waldemar Bergstreiser, Head of Channel Deutschland bei Kaspersky. „Unternehmen stellten den Mitarbeitern keine Schulungen oder Richtlinien in Bezug auf sicheres Homeoffice zur Verfügung. Infolgedessen nutzten Mitarbeiter auch private und nicht genehmigte Geräte und Software zum Arbeiten.“

Dazu ergänzt Dr. Matthias Bender, Competence Center Leader Architecture & Consulting, Productivity & Applications bei IT-Haus: „Während einige Branchen bereits vor der Pandemie Homeoffice-Strategien entwickelt hatten, trafen die neuen Anforderungen andere Branchen unvorbereitet.“ Neben dem öffentlichen Dienst betraf dies seiner Erfahrung nach auch überdurchschnittlich viele Unternehmen aus dem Finanzsektor sowie aus der produzierenden Industrie. Und gerade im deutschen Mittelstand war die Anwesenheitspflicht bisher ein stark verteidigtes Thema, wie der Kollege bei IT-Haus Marc Zimmermann, Competence Center Leader & Hybrid Infrastructure nochmals betont. In der Summe seiner Erfahrungen zeigt sich aber auch, das viele IT-Abteilungen schon besser aufgestellt waren als es ihnen bewusst war.

Status Quo im Homeoffice

Doch wie sieht es jetzt im heimischen Büro aus? Agten zufolge haben viele der heute aktuellen Cyberattacken ihren Ursprung in der ersten Pandemiezeit. Erst jetzt investieren nach und nach Unternehmen in IT-Equipment und Sicherheitslösungen, wenn sie über die notwendige Liquidität verfügen, an der es so mancher Branche mangelt. Zudem fehle oft nicht nur das Geld, sondern auch die Einsicht und das Verständnis für die Ernsthaftigkeit der Situation. Bergstreisers Ansicht nach kann prinzipiell jede Hard- und Software zur Gefahr werden, wenn diese nicht richtig implementiert und konfiguriert wurde. Daher lautet sein oberstes Gebot: „Sicherheit direkt bei der Einrichtung mitbedenken. Am besten noch vor dem Kauf der jeweiligen Tools.“

Um die Sicherheit im Homeoffice nachhaltig zu verbessern, muss IT-Security in allen Komponenten und Prozessschritten mitgedacht werden. Das fängt Zimmermann zufolge bei der Auswahl der richtigen Hardware an, geht über Richtlinien und Prozesse weiter und endet bei Dokumentation und Mitarbeiterschulung. Darüber hinaus darf ein aktuelles Patch-Management im Datacenter und auf den Endgeräten nicht vernachlässigt werden. Neben Fehlern von ungeschulten Mitarbeitern entstehen hier die größten Bedrohungen.

Für Jelle Wieringa, Security Awareness Advocate bei KnowBe4, ist es nicht sehr nachhaltig oder skalierbar, die IT- oder Sicherheitsabteilung die ganze Arbeit machen zu lassen. Es sei besser, die Benutzer in die IT-Sicherheitslage des Unternehmens einzubeziehen. Und obwohl prinzipiell dieselben Sicherheitsregeln wie im Büro auch im Homeoffice gelten, ist gemäß Bergstreiser immer noch der Mensch die größte Schwachstelle für die IT-Security.

Mitarbeiter Awareness fördern

Deswegen sollten Firmen in die Security Awareness investieren. Im Vordergrund steht dabei für Tim Berghoff, Security Evangelist bei G Data Cyber Defense, die IT und alle damit verbunden Regeln und Aspekte nach den Anforderungen der Mitarbeitenden zu gestalten, damit kein Teammitglied versucht, diese zu umgehen und „Abkürzungen“ nutzt. Sie könnten zu einem großen Problem für die IT-Sicherheit werden.

Jeder Mitarbeiter im Unternehmen muss verstehen, wie wichtig Security Awareness ist. Denn wo das Verständnis fehlt, ist die Bereitschaft höher, Risiken einzugehen.

Tim Berghoff, Security Evangelist bei G Data Cyber Defense

Dabei ist die Faustregel einfach, wie Wieringa erklärt: „Alle Regeln und Richtlinien, die unter ,normalen' Umständen gelten, gelten auch dann, wenn Sie von einem Heimbüro aus arbeiten.“ Und weiter: „Es mag einfach klingen, aber denken Sie nach, bevor Sie auf etwas klicken. Wenn Sie eine E-Mail erhalten, in der Sie jemand um Informationen bittet, die er normalerweise nicht preisgeben würde, oder Ihnen eine E-Mail mit einem Link oder Anhang schickt, halten Sie inne und denken Sie nach, bevor sie antworten.“ Folglich sollte jeder Mitarbeiter in einem Unternehmen geschult werden, um Cyberbedrohungen zu verstehen, zu erkennen und auf sie zu reagieren.

Wenn etwas verdächtig aussieht, ist es das wahrscheinlich auch.

Jelle Wieringa, Security Awareness Advocate bei KnowBe4

Für Wieringa ist das Bewusstsein für das Thema IT-Security Awareness eine Voraussetzung für ein sicheres Homeoffice. „Die Benutzer haben verstanden, dass sie ihr Handeln im Internet hinterfragen müssen. Und sie haben begonnen, Bedrohungen besser und schneller zu erkennen und wie sie auf diese sicher reagieren sollten. Das hat ihre Bereitschaft und Motivation, sich schulen zu lassen, erhöht. Dieser Schritt ist für Organisationen und Unternehmen wichtig, aber nur schwer zu erreichen. Für einen nachhaltigen Effekt sollte die Motivation vom Nutzer selbst ausgehen.“

Dementsprechend empfiehlt Bergoff ein auf den Teilnehmer und seinen beruflichen Alltag zugeschnittenes Training. Das reduziere die Zeit für Schulungen auf das Wesentliche, da nur relevante Inhalte vermittelt werden. Und die Nutzer fühlen sich nicht über- oder unterfordert. Und die Kosten? „Die Risiken auch finanzieller Natur sind im Schadensfall so groß, dass die in eine Schulung investierte Zeit nur ein sehr kleines Opfer darstellt“, versichert Wieringa.

Die Relevanz des Fachhandels

Folglich steht eines fest: Es herrscht Nachholbedarf bei der IT-Sicherheit in den eigenen vier Wänden. Doch eine effektive Sicherheitsstrategie im Unternehmen zu erarbeiten, ist schwierig. Darüber hinaus reichen die Lösungen der Hersteller oft nicht aus. Unternehmen benötigen daher die Unterstützung des Fachhandels.

„Systemhäuser können Unternehmen bei der Umsetzung der Handlungsempfehlungen beraten und bedarfsgerecht unterstützen," postuliert Berghoff. „Gerade, wenn es um die Neuanschaffung von weiteren Komponenten geht, kann der Fachhändler entsprechende Angebote unterbreiten und sich um die Implementierung kümmern.“ Für Wieringa sind die Vertriebspartner die Experten im Umgang mit den Tools, die ihnen zur Verfügung gestellt werden. Sie seien die Augen und Ohren für die Kunden, hören zu und setzen die unterschiedlichen Bedürfnisse der Organisationen in maßgeschneiderte Awareness-Kampagnen um.

Demnach ist es nicht verwunderlich, dass die Nachfrage nach Security-Dienstleistungen im letzten Jahr gestiegen ist. Für Agten sind Managed Services für Security Garanten für einen proaktiven Schutz. Denn die Services beinhalten das Überwachen der IT, die automatisierte Umsetzung von Vorsorgemaßnahmen, wie zum Beispiel System- und Software-Aktualisierungen, und vieles mehr. Und laut Zimmermann sind Managed Security Service bei Kunden auch gefragter denn je, da sie einen Mix aus Unterstützungsdienstleistungen benötigen. Wichtig ist für ihn, gezielt auf die Kundenbedürfnisse einzugehen.

(ID:47418641)

Über den Autor

 Ann-Marie Struck

Ann-Marie Struck

Redakteurin, Vogel IT-Medien