Datenklau im Homeoffice: Kundendaten in Gefahr

Die Gefahrenlage für Cyberangriffe hat sich in den letzten Monaten erheblich verschärft. Fast die Hälfte aller deutschen Unternehmen meldeten Hackerattacken auf ihre Daten und Systeme. Gerade im Homeoffice dient der Mensch als Angriffsziel und „Türöffner“, um weitere Angriffe auf Unternehmensdaten wie Kundendaten auszuführen. In diesem Artikel erklären wir, auf welche Daten es die Datendiebe abgesehen haben, wer im Homeoffice für die Datensicherheit verantwortlich ist, wer die Täter sind und wie Sie den Datenklau im Homeoffice vermeiden können.

Inhaltsverzeichnis

Für personenbezogene Daten gilt die Datenschutz-Grundverordnung (DSGVO) – nicht nur am gewohnten Arbeitsplatz im Unternehmen, sondern auch im Homeoffice. Sowohl Arbeitgeber als auch Arbeitnehmer müssen im Umgang mit diesen Daten eine besondere Sorgfalt anwenden. Umso besorgniserregender ist, dass fast die Hälfte aller Unternehmen in Deutschland (46 Prozent) laut „diDsiN-Praxisreport Mittelstand 2020“ in den vergangenen Monaten Cyberangriffe auf ihr Unternehmen verzeichneten. Gerade im Homeoffice dient der Mensch als Angriffsziel und „Türöffner“, um weitere Angriffe auszuführen.

Dabei sollten Mitarbeiter im Homeoffice dieselben Vorkehrungen und Sicherheitsmaßnahmen umsetzen, die auch im Unternehmen getroffen würden. Doch wie kann ein Unternehmen sicherstellen, dass dies auch geschieht? Die Datenschutz-Grundverordnung und das Bundesdatenschutzgesetz verlangen, dass Unternehmen geeignete technische und organisatorische Maßnahmen (TOM) umsetzen. Ob Mitarbeiter diese Maßnahmen auch umsetzen, ist jedoch schwer zu kontrollieren.

Durch Unachtsamkeit, Ignoranz, Unwissenheit oder auch mit Absicht können in falsche Hände kommen, offengelegt, verändert oder vernichtet werden. Dies ist in jedem Fall ein „Datensicherheitsvorfall“, der für das Unternehmen teuer werden kann. Laut Bitkom beläuft sich die jährliche Schadenssumme in Deutschland auf rund 103 Mrd. Euro (2019).

Der Datenklau bleibt meist unentdeckt

Während bei physischen Gegenständen wie beispielsweise einem Firmenrechner oder einem Mobiltelefon der Diebstahl „sichtbar“ ist, bleibt der Diebstahl von Kundendaten häufig „unsichtbar“. Solange die Daten nicht gelöscht, gesperrt oder verändert wurden, bleibt der Datenklau in der Regel unbemerkt.

Laut Bitkom-Studie  waren bisher zwar nur 15 Prozent der Unternehmen von Social Engineering betroffen, die Dunkelziffer lag jedoch bei weitem höher. Gerade die Kompromittierung von Daten über persönliche Kontakte ist schwer zu entdecken und oft auch schwer nachzuweisen. Wenn Hinweise auf einen Datendiebstahl auftauchen, dann ist es meist schon zu spät. Oft ist das auslösende Ereignis bereits Monate her. Entsprechend schwierig ist die Forensik und Nachverfolgung der Vorfälle. Meldungen gehen daher nur verspätet an die Behörde. Aus diesem Grund tauchen sie erst lange nach der akuten Bedrohung in Statistiken auf. Zudem redet aus verständlichen Gründen keine Firma gerne darüber, dass ihr Daten – womöglich Kundendaten – geklaut wurden.

Der Datendiebstahl steht in der Regel mit einem „Datenmissbrauch“ in Verbindung. Benutzt ein Unbefugter die Daten, beispielsweise um sie zu verkaufen oder um Zugang zu vertraulichen Anwendungen oder Datenbanken zu erlangen, dann ist dies „Missbrauch von Daten“. Besonders beim Phishing ist das Ziel meist der Datenmissbrauch, zum Beispiel, um Kontodaten für eigene Zwecke zu verwenden. Auch die Weitergabe von Geschäftsgeheimnissen oder internen Firmendaten dient in der Regel dem Missbrauch.

Allerdings muss derjenige, der die Daten stiehlt, kopiert und weitergibt, nicht identisch mit demjenigen sein, der den Missbrauch begangen hat. Im Darknet werden gestohlene Daten in großen Mengen gehandelt, um sie für die verschiedensten Zwecke zu benutzen. In der Regel ist es schwer möglich, in Erfahrung zu bringen, ob ein Unternehmen betroffen ist, bevor die gestohlenen Daten irgendwo sichtbar werden.

Hat der Arbeitgeber die Verantwortung für die Daten im Homeoffice?

Auch wenn die Mitarbeiter im Homeoffice arbeiten, bleibt der Arbeitgeber für die Datenverarbeitung verantwortlich. Da der Arbeitgeber die Zwecke und Mittel bestimmt, die für die Arbeit verwendet werden, ist er im Sinne der DSGVO der verantwortliche Entscheider und haftet damit grundsätzlich nach außen für Datenschutzverstöße.

Allerdings gilt im Innenverhältnis die „eingeschränkte Arbeitnehmerhaftung“ – auch im Homeoffice. Das bedeutet, dass der Arbeitnehmer unter bestimmten Umständen zur Verantwortung gezogen werden kann. Der Arbeitnehmer haftet im Schadensfall anteilig, wenn ihm mehr als leichte Fahrlässigkeit nachgewiesen werden kann. Bei Vorsatz kann er sogar voll in die Haftung genommen werden, sofern er den Schaden absehen konnte und bewusst in Kauf genommen hat. Handelt der Mitarbeiter „leicht fahrlässig“ , dann haftet er gar nicht.

Umso wichtiger ist es, die von der DSGVO geforderten technischen und organisatorischen Maßnahmen festzulegen und umzusetzen. Damit ein dem Risiko angemessenes Schutzniveau gewährleistet werden kann, hat der Arbeitgeber dafür Sorge zu tragen, dass die entsprechenden Anforderungen auch im Homeoffice erfüllt werden. Anders gesagt: Der Arbeitgeber muss auch im Homeoffice für geeignete technische und organisatorische Maßnahmen sorgen, die helfen, Kundendaten zu schützen.

Mitarbeiter im Homeoffice sind Opfer und Täter zugleich

Wie aus der Bitkom-Studie 2019 hervorgeht, haben über 70 Prozent der deutschen Unternehmen in den vergangenen zwei Jahren bereits Cyberattacken erlebt. Über 80 Prozent der Verantwortlichen erwarten demnach, dass ihr Unternehmen auch in Zukunft das Ziel von Angriffen sein wird.

Sabotage oder Spionage, vor allem durch Social Engineering, nimmt immer mehr zu. Dabei werden Mitarbeiter von außen manipuliert, um an sensible Daten zu gelangen. Im Interesse der Datendiebe stehen häufig Finanzdaten, Mitarbeiterdaten und Kundendaten.

Zu den Tätern zählen häufig organisierte Banden, Wettbewerber, Hobby-Hacker, aber auch aktuelle und ehemalige Mitarbeiter des betroffenen Unternehmens. Während aktuelle Mitarbeiter häufig unabsichtlich zu Tätern werden, handeln ehemalige Mitarbeiter mit Vorsatz.

Mitarbeiter der Personalabteilung erhalten beispielsweise E-Mails mit Anhängen von angeblichen Bewerbern. Die Anhänge, meist Word-Dateien mit der Endung „doc“ statt „docx“, sind jedoch mit Malware verseucht. Öffnet der Mitarbeiter einen solchen Anhang, dann wird ein sogenannter Keylogger installiert, also eine Software, die Tastatureingaben eines Nutzers aufzeichnet. Immer, wenn sich der Mitarbeiter dann in ein Unternehmenssystem mit Passwort einloggt, versendet er die Daten an den Hacker. So kann zum Beispiel ein Konkurrent an sämtliche Firmendaten kommen, um das Unternehmen auszuspionieren. Mit „Malware“ (ein Kunstwort aus „Malicious“ und „Software“) ist jede Art von Schadprogramm gemeint. Das können Viren, Trojaner, Keylogger, Rogueware oder Spyware sein, die die auf dem Rechner gespeicherten Daten ausspioniert.

Wie Sie den Datenklau verhindern und vorbeugen können

Die Entwicklung eines tragfähigen und belastbaren Datenschutzkonzeptes und eines IT-Sicherheitskonzeptes zählen zu den Basisvoraussetzungen, um im Homeoffice ein hohes Schutzniveau der Daten zu erreichen. Dabei stellt die Umsetzung der technischen und insbesondere der organisatorischen Maßnahmen nach DSGVO und ISO 27001 die eigentliche Herausforderung dar.

Bei der Planung der Maßnahmen sollten folgende Aspekte berücksichtigt werden:

  • der Raum, in dem der Homeoffice-Mitarbeiter arbeitet
  • die Hardware, die der Mitarbeiter im Homeoffice verwendet
  • die Internetverbindung, die der Mitarbeiter im Homeoffice nutzt
  • die Zugriffsrechte und Berechtigungen des Mitarbeiters
  • die Security Awareness des Mitarbeiters

Die Bereitstellung einer sicheren VPN-Verbindung und sicheren Hardware ist relativ einfach umsetzbar. Um jedoch dem Mitarbeiter Zugriff auf bestimmte E-Mails oder bestimmte Kundendaten zu geben und gleichzeitig das lokale Speichern und Kopieren zu unterbinden, sind sehr gut konzipierte Berechtigungs- und Autorisierungskonzepte nötig. Gleichzeitig sollten Berechtigungskonzepte so flexibel sein, dass das On- und Offboarding von Mitarbeitern in kürzester Zeit möglich ist. Vor dem Hintergrund, dass viele Datendiebe aus dem Kreis der ehemaligen Mitarbeiter kommen, ist es sinnvoll, dass Mitarbeiter nur die für Ihre Tätigkeit nötigen Daten zu sehen bekommen und mit Verlassen des Unternehmens umfassend von allen Systemberechtigungen abgemeldet werden. Am einfachsten ist die Umsetzung dieser komplexen Zugriffssteuerungen über eine Datensicherheits-Software wie „Trusted Secure Desktop“ (TSD) zu realisieren. Auf diese Weise erhöht das Unternehmen die Datensicherheit und nimmt dem Mitarbeiter mögliche Unsicherheiten.

Dürfen Daten im Homeoffice gedruckt werden?

Manche Unterlagen müssen aus Gründen der besseren Übersichtlichkeit oder Handhabung für die Arbeit ausgedruckt werden. Auch wenn sich das papierlose Büro immer mehr durchsetzt, erleichtert der Ausdruck bestimmte Arbeitsgänge, vor allem wenn der Mitarbeiter nur einen einzigen Monitor zur Verfügung hat.

Ein Problem dabei ist es allerdings, wenn gedruckte Unterlagen im Homeoffice irgendwo herumliegen und dadurch unbefugten Personen zugänglich gemacht werden. Deshalb müssen klare Richtlinien für den Umgang mit gedruckten Dokumenten bestehen. Auch der Druck selbst kann Probleme verursachen, wenn ein privater Drucker verwendet wird, die Daten im Gerät zwischengespeichert oder im häuslichen Netzwerk unsicher übertragen werden. Aus Sicht der Datenschutzbehörden das Drucken im Homeoffice nicht ratsam.

Dürfen Daten im Homeoffice auf einem USB-Stick gespeichert werden?

Die Speicherung auf privaten Medien wie USB-Sticks ist grundsätzlich problematisch. Über USB-Sticks können Schadprogramme übertragen werden, die Daten können abhanden oder in falsche Hände kommen und eine Vervielfältigung enthält prinzipiell Risiken. Falls der Stick zwischen dem Homeoffice und der Firma hin- und hertransportiert wird, kommt noch die Gefahr des Verlusts oder Diebstahls hinzu.

Da es in den meisten Fällen nicht notwendig ist, Daten auf USB-Sticks zu transportieren, ist eine elektronische Übertragung angeraten. Firmenintern können Dokumente ohnehin über eine verschlüsselte VPN-Verbindung sicher auf dem Server gespeichert werden.

Was tun im Fall von Datenklau?

Ist es zu einem Datendiebstahl gekommen, dann sollte man schnell reagieren. Nützlich ist ein Notfallplan, in dem alle wichtigen Schritte aufgeführt sowie Ansprechpartner und Telefonnummern notiert sind. Sind personenbezogene Daten betroffen, dann gibt es eine Meldepflicht an die Aufsichtsbehörde.

Laut Art. 33 der DSGVO muss eine Datenschutzverletzung, die ein Risiko für Rechte oder Freiheiten von Betroffenen enthalten könnte, innerhalb von 72 Stunden nach Bekanntwerden der Behörde gemeldet werden. Gleichzeitig müssen Maßnahmen zur Schadensbegrenzung eingeleitet werden. Dazu gehören zum Beispiel Passwort-Änderungen, das Sperren von kompromittierten Zugängen, Datensicherungen und das Einspielen von Backups.

Um die Folgen des Vorfalls kalkulieren zu können, ist eine Risikoabschätzung sinnvoll, die die möglichen Auswirkungen einer Sabotage oder anderer Angriffe erfasst. Alle kritischen Geschäftsprozesse sollten hier auf die bestehenden Risiken für den Datenschutz untersucht und Maßnahmen zur Abhilfe festgelegt werden. So lässt sich abschätzen, wann und unter welchen Bedingungen die Ressourcen wieder einsatzfähig sind.

Holen Sie sich das kostenlose PDF-Dossier zum Thema Homeoffice!

Das Dossier beleuchtet verschiedene Aspekte von Homeoffice und enthält Praxisbeispiele, Tipps und Trends. Es geht um Vorteile, Risiken, Organisation, Datenschutz und Datensicherheit.