Mangelndes Bewusstsein für Sicherheitslecks im Home-Office

08.April 2021

Home-Office bringt sowohl für Unternehmen als auch Mitarbeiter Herausforderungen mit sich. Eine aktuelle Studie von Deloitte und SORA zeigt: Gerade bei der Cyber Security tun sich hier einige neue Sicherheitslücken auf. Arbeitnehmer gehen oft leichtfertig mit sensiblen beruflichen Informationen um. Seitens der Arbeitgeber mangelt es aber an Information und Aufklärung.

Deloitte Österreich und SORA erheben jährlich den Status quo österreichischer Unternehmen beim Thema Cyber Security. Nachdem im Laufe des letzten Jahres viele Unternehmen ihren Betrieb zumindest phasenweise ins Home-Office verlagern mussten, liegt der Fokus der aktuellen Studie vor allem auf der Arbeitssituation und Awareness der Mitarbeiter. 500 Arbeitnehmer aus ganz Österreich, die seit Beginn der Corona-Pandemie mindestens teilweise im Home-Office gearbeitet haben, nahmen dafür an einer repräsentativen Umfrage teil. Das Ergebnis: Obwohl das Thema Remote Working viele Befragte schon mehr als ein Jahr begleitet, wurden auf Unternehmensseite nicht selten nur unzureichende Sicherheitsmaßnahmen getroffen und damit Sicherheitslecks geschaffen.

„Die Arbeitsgeräte sind ein echtes Risiko: Zwar wurden die Laptops und PCs bei knapp der Hälfte der Befragten regelmäßig auf Software-Updates und Virenschutz überprüft, bei einem besorgniserregend hohen Anteil von 36 Prozent wurde eine solche Prüfung aber gar nicht durchgeführt. Das müsste aber gerade im Home-Office zum Standard zählen“, erklärt Alexander Ruzicka, Partner bei Deloitte Österreich.

Sicherheitslecks: Mangelnde Awareness für Cyber Security zu Hause

Auch bei der Mitarbeitersensibilisierung gibt es Defizite: 29 Prozent der Angestellten geben an, von ihrem Arbeitgeber nie über Informationssicherheit oder Datenschutz im Home-Office aufgeklärt worden zu sein. Wenn informiert wurde, so fand das in 63 Prozent der Fälle per E-Mail statt. Effektivere Maßnahmen wie Schulungen (36 Prozent) und E-Learnings (34 Prozent) wurden viel seltener angeboten.

„Aufgrund des Informationsmangels kommt es seitens der Mitarbeiter häufig zu Wissenslücken und Fehleinschätzungen. Über ein Fünftel der Befragten glaubt etwa, dass die Cyber-Risiken in den eigenen vier Wänden geringer sind als im Büro“, so Ruzicka. „Viele verfallen auch einfach aufgrund der schlechten Datenverbindungen daheim in alte Muster: Laut Umfrage speichern 36 Prozent sensible Daten zu Hause häufiger lokal auf der Festplatte ab – davon ist klar abzuraten.“

Leichtfertiger Umgang mit Arbeitsinformationen

Die mangelnde Vorsicht zieht sich durch den gesamten Home-Office-Alltag. Laut Umfrage leben 84 Prozent der Studienteilnehmer zumindest mit einer anderen Person im selben Haushalt. Dementsprechend müssen sich 29 Prozent ihren Arbeitsplatz immer oder oft mit anderen Mitbewohnern teilen. Dadurch entstehen Sicherheitslücken: So werden die für das Remote Working gebrauchten Geräte bei 37 Prozent auch von anderen Personen mitverwendet. Bei 54 Prozent der Befragten können die Haushaltsmitglieder außerdem häufig bis manchmal bei beruflichen Telefonaten sowie Videokonferenzen mithören oder -sehen.

Auch haushaltsfremden Personen werden heikle Einblicke gewährt. 30 Prozent der Studienteilnehmer räumen ihre Arbeitsunterlagen selten oder gar nie weg, bevor Besucher oder die Reinigungskraft den Wohnraum betreten, 18 Prozent tun dies nur manchmal. Bei 19 Prozent der Befragten sind auch jobbezogene Calls und virtuelle Meetings vor haushaltsfremden Personen häufig oder manchmal nicht geschützt.

„Unternehmen können im privaten Umfeld ihrer Mitarbeiter natürlich keine Kontrollen durchführen, wie das zum Beispiel mit einer Clean-Desk-Policy im Büro möglich wäre. Trotzdem sollten klare Regeln für den sicheren Umgang mit arbeitsbezogenen Daten im Home-Office festgelegt und kommuniziert werden“, betont Andreas Niederbacher, Senior Manager bei Deloitte Österreich.

Unsichere Praktiken im beruflichen Alltag

Obwohl von Messaging-Diensten wie WhatsApp oder Telegram im Arbeitskontext abgeraten wird, sind diese nach wie vor regelmäßig im Einsatz: Über zwei Drittel der Befragten (69 Prozent) verwenden diese Apps häufig oder zumindest manchmal für den beruflichen Austausch mit Kolleginnen und Kollegen. Dabei sind sensible Unternehmensinformationen jedoch nicht geschützt und es kann unter anderem zu Verstößen gegen die EU-DSGVO kommen. Ähnliches gilt für externe Cloud-Services wie Dropbox, GoogleDrive, OneDrive und iCloud, die immerhin von 40 Prozent genutzt werden.

Ein weiteres Sicherheitsleck offenbart sich bei den Netzwerkverbindungen: Während 71 Prozent in der Regel über ein privates, passwortgeschütztes W-LAN einsteigen, verwenden 19 Prozent bisweilen bei der Arbeit auch ein öffentliches W-LAN ohne Passwort. „In ungeschützten Netzen können sich Angreifer ganz leicht zwischen Gerät und Wireless-Access-Point schalten. Dadurch erhalten sie Zugriff auf sensible Informationen wie vertrauliche E-Mails, Zugangsdaten und Kreditkarteninformationen“, warnt Andreas Niederbacher. „Es kann nicht oft genug betont werden: Mitarbeiter-Awareness ist und bleibt das zentrale Instrument im Kampf gegen Malware und Cyber Crime.“

Die wichtigsten Links von Behörden und Institutionen für Unternehmen rund um das Coronavirus finden sich hier.