Arbeiten im Home Office? Die Hacker warten schon

22.Mai 2020

In Zeiten der Coronavirus-Pandemie haben auch digitale Viren Hochkonjunktur, denn immer mehr Menschen arbeiten zuhause mit wenig abgesicherten Home Office-Lösungen. Vor allem private Endgeräte fallen oft durchs Raster, weil IT-Abteilungen nicht in der Lage sind, sie ausreichend zu schützen. Viele Cyberkriminelle nutzen dieses Manko aus.

Aktuell arbeiten so viele Menschen wie nie zuvor von zuhause aus im Home Office. Weil Unternehmen ihnen oft keine dienstlichen Geräte zur Verfügung stellen, greifen die Beschäftigten aus Not schnell zu unsicheren Mitteln: Sie nutzen WhatsApp für die geschäftliche Kommunikation, verschicken Betriebsinterna über den privaten E-Mail-Account oder speichern wichtige Dateien auf unzureichend geschützten Heim-PCs ab.

Doch auch die Daten von Mitarbeitern, die zuhause auf unternehmenseigenem Equipment arbeiten dürfen, sind einem hohen Angriffsrisiko ausgesetzt. Sicherheitskomponenten wie Firewall, Proxy-Server oder Patch-Management, die das interne Firmennetzwerk vor Angriffen und Datenverlust schützen, sind beim mobilen Arbeiten nämlich grundsätzlich nicht vorhanden. Dadurch sind gerade Smartphones und Tablets außerhalb des Netzwerks schlechter geschützt als innerhalb des Firmenperimeters.

Mitarbeiter müssen deshalb über ein gewisses Maß an IT-Sicherheitswissen verfügen: Sie sollen starke Passwörter verwenden, nicht wahllos auf Links klicken und unsichere Apps herunterladen, sie dürfen sich nicht bei zweifelhaften WLAN-Hotspots anmelden und sollten das Endgerät mit betrieblichen Daten nicht unbeaufsichtigt liegen lassen. Wer sich nicht an diese Regeln hält, wird für das Unternehmen schnell zu einem Sicherheitsrisiko. Während viele Beschäftigte mit dieser neuen Verantwortung heillos überfordert sind, verfügen Cyber-Kriminelle bereits über jahrelange Erfahrung und rüsten immer stärker auf.

Unternehmen sind verantwortlich

Für dienstlich genutzte private Mobilgeräte bestehen darüberhinaus weitere Risiken bei Datensicherheit und DSGVO. Nutzt ein Mitarbeiter beispielsweise eine für persönliche Zwecke erworbene App auch für berufliche Aufgaben oder greifen Apps auf die Kontaktdaten des Unternehmens zu, kann das schwerwiegende Folgen haben: Bestimmungen zum Datenschutz, Urheberrecht oder Aufbewahrungspflichten sind nicht sichergestellt – und der Arbeitgeber haftet im Zweifel dafür. Im schlimmsten Fall drohen hohe Strafzahlungen – so wurden gegen die Deutsche Wohnen und 1&1 Telecom in 2019 rund 14.5 beziehungsweise 9,55 Millionen Euro als Bußgeld verhängt.

Unternehmen müssen deshalb darauf achten, dass die gesamte IT-Technologie auf dem neuesten Stand ist. Sie müssen sicherstellen, dass auch die Mitarbeiter an ihren mobilen Endgeräten zuhause nur mit aktuellen Systemversionen arbeiten und dass alle Anwendungen über Sicherheitsupdates verfügen. Alle Beschäftigten sollten außerdem verbindliche und einheitliche Regelungen für den Schutz der IT und der Daten im Unternehmen erhalten. Ganz sicher sein können sich Unternehmen aber nur, wenn geschäftliche sowie private Daten und Anwendungen auf den jeweiligen Smartphones und Tablets strikt voneinander getrennt sind. Mittels ausgereifter Softwarelösungen wie SecurePIM von Virtual Solution können Mitarbeiter nun auch über ihre eigenen mobilen Endgeräte sicher und DSGVO-konform auf Firmendaten zugreifen.

Home Office: Container-Lösung ideal

SecurePIM stellt dabei eine Container-Lösung für alle Unternehmensdaten zur Verfügung, die als App auf das Gerät geladen wird. Er bietet dem Mitarbeiter eine abgetrennte und sichere Umgebung, aus der heraus er sein Tagesgeschäft wie E-Mails, Kontakte, Aufgaben sowie Dokumente und Notizen verwalten kann. Unternehmensdaten liegen innerhalb des Containers, sodass sie von persönlichen Daten und Anwendungen auf dem mobilen Endgerät streng getrennt sind. Im Gegensatz zu nativen oder Stand-Alone-Apps sind die Unternehmensdaten in SecurePIM automatisch verschlüsselt.

Der Zugang ist auf dem Endgerät durch PIN, Passwort oder Touch- und Face-ID geschützt und auch die Datenübertragung ist Ende-zu-Ende verschlüsselt. So bleiben die Daten auch bei Diebstahl oder Verlust des Geräts vor Missbrauch geschützt. Umgekehrt verhindert die Containerisierung auch, dass Mitarbeiter aus dem sichereren Unternehmensbereich auf eine nicht autorisierte App zugreifen und Daten per Copy-and-Paste in den privaten Bereich überspielen. Andere Anwendungen erhalten grundsätzlich keinen Zugriff auf die Inhalte des gesicherten Bereichs.

Eine Container-Lösung schützt nicht nur die Daten und Anwendungen des Unternehmens, sondern im Fall von BYOD (Bring your own Device) oder Home Office zugleich auch die Privatsphäre des Mitarbeiters. IT-Administratoren haben keinen Zugriff auf das Gerät und private Daten wie E-Mails, Fotos oder den Browserverlauf, sondern kontrollieren ausschließlich geschäftliche oder dienstliche Daten im Container. Die strikte Trennung von geschäftlichen und persönlichen Daten gibt Unternehmen auch die Sicherheit, dass die rechtlichen Vorgaben für den Schutz der Unternehmensdaten eingehalten werden, etwa bezüglich personenbezogener Daten von Kunden, Lieferanten, Geschäftspartnern oder Mitarbeitern, die ja regelmäßig in E-Mails und anderen Dokumenten enthalten sind.

Eine gute Lösung für sicheres mobiles Arbeiten darf nicht zu einer zusätzlichen Belastung für die IT-Abteilung werden. Unternehmen, sollten ihren Mitarbeitern daher Systeme zur Verfügung stellen, mit denen sie komfortabel arbeiten können und die trotzdem sicher und datenschutz-konform sind. Denn auch die beste Sicherheitslösung macht keinen Sinn, wenn Beschäftigten sie umgehen und deswegen nicht nutzen.

Der Autor Sascha Wellershoff ist im Vorstand der Virtual Solution AG in München. 

Die wichtigsten Links von Behörden und Institutionen für Unternehmen rund um das Coronavirus finden sich hier.