Ob zu 100 Prozent, fifty-fifty oder für ein, zwei Tage in der Woche: Die meisten Unternehmen ermöglichen es ihren Mitarbeitenden, von zu Hause zu arbeiten. Für die Organisation ergeben sich daraus IT-Herausforderungen, die nicht zu unterschätzen sind. Aber wieso sind Home-Office-Arbeitsplätze teilweise anfälliger für Cyber-Kriminelle? In den eigenen vier Wänden verschmilzt die Grenze zwischen beruflicher und privater Nutzung häufig. Das ruft Cyber-Angriffe auf den Plan, die heimlich, still und leise für große Schäden sorgen können. Deshalb ist es nur logisch, dass ein optimales Risikomanagement auch die Belegschaft zu Hause einbeziehen muss. Die Prävention sollte in jedem Fall auch die im gleichen Haushalt lebenden Angehörigen einbeziehen.
Mitarbeitende, die von zu Hause arbeiten, stellen erfahrungsgemäß ein Risiko für die Cyber Security dar. Der Grund: Zuhause in vertrauter Umgebung fühlt man sich sicherer. Vernachlässigen Angestellte Datenschutz, Arbeitssicherheit und IT-Sicherheit, kann das mitunter zu erheblichen Schäden für das Unternehmen führen. Firmen sollten deshalb auf Informationssicherheit und ein ganzheitliches Risikomanagement setzen. Geschieht dies nicht, hat das Folgen für die IT. Kommt es zum Beispiel zu einem Ransomware-Angriff, wird es schnell teuer. Sind die vertraulichen Informationen einmal gestohlen, verlangen die Cyber-Kriminellen Lösegeld. Als wäre das nicht genug, stellen sie die Daten auch Dritten zur Verfügung. Zudem ist die Gefahr groß, dass die Angreifer erneut zuschlagen.
Risikomanagement in die Home-Office-Routinen integrieren
Jeder Mensch trifft täglich dutzende von bewussten und unbewussten Entscheidungen im Sinne eines eigenen Risikomanagements. Zähneputzen? Ist eine gute Idee, wenn man gesunde Kauwerkzeuge behalten möchte. Rasieren? Unbedingt! Aber mit frischer Klinge, da sonst Entzündungen drohen. Nackt vor dem Fenster? Besser nicht, sonst gewährt man den Nachbarn ungewollt Einblicke in seine Privatsphäre. Genau auf diese Weise wird sich perspektivisch auch ein Selbstverständnis für ein Risikobewusstsein im Umgang mit dem Arbeitsnotebook oder dem Diensthandy entwickeln müssen. Doch der Weg dahin scheint noch weit. Für Unternehmen hat es nur leider heute schon fatale Folgen, wenn Mitarbeitende beispielsweise vor dem offenen Fenster den Akquiseplan für das aktuelle Quartal öffnen und ein Shoulder Surfer aus direkter Nachbarschaft interessiert mitliest. Dabei braucht es nur drei Schritte, um das Risikomanagement im Unternehmen und im Arbeitsalltag der Mitarbeitenden zu verankern.
Schritt 1: Risikobewertung überprüfen
Neue Arbeitsmodelle bringen neue Risiken mit sich. Es gilt unbedingt, diese zu erfassen, zu betrachten und schließlich neu zu bewerten. Im Fokus stehen Risiko-Toleranz und Risiko-Akzeptanz. Ist eine einzelne Handlung nicht bestandsgefährdend, kann das Unternehmen ein Auge zudrücken und diese tolerieren. Mit der Risikoakzeptanz entscheidet sich die Firma bewusst, dieses Risiko einzugehen. Ergeben sich neue Angriffsstrategien für das Home-Office, sind diese stetig in die Risikobewertung aufzunehmen und im nächsten Schritt zu kommunizieren.
Schritt 2: Schutzmaßnahmen auf organisatorischer Ebene festlegen
Nachdem das Risiko bewertet ist, geht es an die Umsetzung organisatorischer Schutzmaßnahmen. Clean Desk Policy, Datenklassifikationsrichtlinien oder Awareness Schulungen sind nicht technischen Lösungen mit einem klaren Ziel: Mitarbeitende müssen auch zu Hause sensible Daten schützen. Dabei ist es wichtig, bestehende Sicherheitskonzepte ständig zu überprüfen und falls nötig anzupassen.
Gerade bei Kindern haben Cyber-Kriminelle immer öfter leichtes Spiel. Durch das Erhaschen von Vertrauen versuchen Betrüger beim Social Engineering, die Kleinen durch Sicherheitsschranken zu lotsen. Das Ergebnis: Sie haben direkten Zugriff auf alle Daten. Ganz klar, dass Unternehmen auch diesen Aspekt in die Schutzmaßnahmen aufnehmen sollten.
Schritt 3: Schutzmaßnahmen auf technischer Ebene
Die Verantwortung liegt aber nicht allein in den Händen der Mitarbeitenden. Natürlich trägt die Unternehmens-IT einen erheblichen Beitrag zum Risikomanagement bei. Um die Cyber Security ganzheitlich anzugehen, sind verschiedene Sicherheitsanwendungen hilfreich. Wie das Unternehmen diese einsetzt, hängt nicht zuletzt mit den gängigen Aktivitäten des gesamten Teams zusammen. Zu beachten sind also vor allem auch die Systeme, die IT-Laien regelmäßig nutzen. Üblich ist eine bunte Mischung aus Werkzeugen zum Beispiel von Endpoint Detection and Response (EDR), WebProxy und Mailgateway und vielen weiteren bewährten Maßnahmen
- Mit EDR schaffen Unternehmen einen Schutz vor Malware auf unterschiedlichsten Endgeräten. Diese zeitgemäße Lösung für den Schutz vor Ransomware ermöglicht es auch, neue Bedrohungen zu erkennen.
- Ein Web-Proxy-Server stellt eine Barriere zwischen einem Browser und einem Server dar. Daten können die Barriere erst dann überschreiten, wenn diese festgelegte Anforderungen erfüllen.
- Ein E-Mail-Gateway überprüft sämtliche E-Mails, filtert SPAM und schützt gleichzeitig vor schädlichen Anhängen.
Unternehmen, Mitarbeitende und Familienangehörige: Risikomanagement hat viele Beteiligte
Um die Sicherheit des Unternehmens auch in Zeiten des Wandels gewährleisten zu können, braucht es ein ganzheitliches Risikomanagement. Auch Arbeitende im Home-Office und die im gleichen Haushalt lebenden Angehörigen müssen hinsichtlich der potenziellen Gefahren geschult und ausreichend informiert werden. Setzt die Unternehmens-IT dann noch auf technische Schutzmaßnahmen, wirkt das Störungen oder einem irreversiblen Schaden entgegen. Langfristig betrachtet zahlen sich Investitionen in das Risikomanagement aus. Einerseits ist die IT langlebiger. Andererseits haben Cyber-Kriminelle keine Chance, Daten zu stehlen. Somit sind auch hohe Lösegeldforderungen unmöglich.
Autor
Stefan Peter ist bereits sein ganzes Berufsleben lang Security-Experte – zunächst elf Jahre bei einem Produzenten, danach als Berater und als Global Security Operations Manager. Heute ist er Experte für Informationssicherheit und Head of Cyber Security bei dem mittelständischen IT-Dienstleister q.beyond.
Website: www.qbeyond.de