Datensicherheit im Homeoffice: Gefahren und Maßnahmen

Das Homeoffice ist ein Risiko für die Sicherheit von Unternehmensdaten und ein beliebtes Ziel für Hackerangriffe. In diesem Artikel erfahren Sie, wodurch die Datensicherheit im Homeoffice in Gefahr ist und mit welchen Maßnahmen Sie die Datensicherheit erhöhen können.

Inhaltsverzeichnis

Sie haben Fragen zum Thema Homeoffice?

Stellen Sie uns Ihre derzeit dringlichste Frage zum Betrieb von Homeoffice Arbeitsplätzen. 
Wir schenken Ihnen 15 Minuten unseres Praxiswissens aus über 20 Jahren.

Das Homeoffice ist eine Gefahr für die Datensicherheit

Mit der Corona-Krise haben Hackerangriffe auf das Homeoffice laut Bundesamt für Sicherheit in der Informationstechnik (BSI) massiv zugenommen. Die Angreifer machen sich zunutze, dass für viele Unternehmen und ihren Mitarbeiter das Arbeiten von zu Hause noch ungewohnt ist.

Bei der Arbeit im Homeoffice sind Beschäftigte den größten Teil der Zeit auf sich selbst gestellt. Doch die Risiken für die Datensicherheit im Homeoffice sind ungleich größer als am Arbeitsplatz in der Firma.

Sicherheitsstandards werden unbewusst missachtet oder unzureichende technische Einstellungen und Maßnahmen ergriffen. Dies erleichtert es Cyberkriminellen, in das IT-Netzwerk des Unternehmens einzudringen, an Daten zu gelangen, Abläufe zu stören oder den Datenverkehr lahmzulegen.

Viele Cyberkriminelle haben sich mittlerweile regelrecht auf Angriffe auf das Homeoffice spezialisiert und nutzen den unzureichenden Datenschutz aus. Die Methoden reichen von üblichen Ransomware-Attacken bis zu immer neuen Phishing-Varianten. Dabei wird ausgenutzt, dass viele Angestellte zu Hause weniger Austausch mit Kollegen und Vorgesetzten haben. Ungewöhnliche oder auffällige Vorgänge und dubiose E-Mails werden so nicht im „Flurfunk“ diskutiert.

Durch die Verlagerung der Arbeitsplätze in das private Zuhause hat auch die Nutzung von Cloud-Speicherung, Fernwartungen und Fernzugriff-Tools zugenommen. Dies ist kein Problem, wenn hierbei Lösungen verwendet werden, die durch die IT-Abteilung des Unternehmens als sicher eingestuft wurden. Doch in der Praxis haben Unternehmen meist keinen Überblick über die Arbeitsweise und den Arbeitsplatz der Beschäftigten und die von ihnen angewendeten Maßnahmen für Datenschutz und Datensicherheit.

IT-Abteilung für die Datensicherheit im Homeoffice verantwortlich

Die IT-Abteilungen der Unternehmen sind mehr denn je gefordert, geeignete technisch-organisatorische Maßnahmen für das Homeoffice zu planen und umzusetzen, um die Datensicherheit im Homeoffice zu erhöhen. Jeder IT-Verantwortliche und Geschäftsführer sollte sich ernsthaft fragen, ob die Daten im Homeoffice ausreichend geschützt sind. Eine 1:1 Adaption der bisherigen Sicherheitskonzepte auf die Homeoffice Umgebung ist unzureichend.

Wenn Mitarbeiter im Homeoffice jedoch eigene Systeme und Tools verwenden, dann kann dies gravierende Auswirkungen auf die IT-Security und die Datensicherheit haben. Fehlende Sicherheitsupdates stellen ein weiteres Risiko für die Sicherheit der Daten dar. Laut einer Bitkom-Umfrage haben Hackerangriffe in den Jahren 2018 und 2019 bei 70 Prozent der Unternehmen in Deutschland zu Schäden geführt.

Schadsoftware ist eine Gefahr für die Datensicherheit

Laut BSI übersteigt die Zahl der Schadprogramme (Malware) inzwischen die Milliardengrenze.

Wie das BSI in seinem „Bericht zur Lage der IT-Sicherheit in Deutschland 2020“ aufführt, sind  pro Tag 320.000 neue Schadprogramme hinzugekommen.

Den größten Teil der Hackerangriffe nehmen Malware- oder Ransomware-Attacken ein. Dabei wird der arglose Nutzer über einen Link als Köder dazu verleitet, Schadcode auf den PC zu laden.

Mit „Malware“ (ein Kunstwort aus „Malicious“ und „Software“) ist jede Art von Schadprogramm gemeint. Das können Viren, Trojaner, Keylogger, Rogueware oder Spyware sein, die die auf dem Rechner gespeicherten Daten ausspioniert.

Rogueware lädt man sich über Popups im Internet auf den Computer, die wie das Fenster eines Virenscanners aussehen. Allerdings sind die Virenfunde, die das Programm meldet, frei erfunden. Sie dienen nur dazu, ein angebliches Virenschutzprogramm zu verkaufen.

Trojaner sind Programme, die andere Anwendungen enthalten, als sie vorspiegeln. Meist tarnen sie sich als nützliche Apps, tragen aber Schadcode in sich. Auch im Bereich der Mobilfunk-Apps tritt diese Art Malware häufig auf.

Bei Ransomware handelt es sich meist um einen Verschlüsselungstrojaner, der die Dateien oder Anwendungen des Nutzers unzugänglich verschlüsselt. Für die Entschlüsselung wird dann die Zahlung von Lösegeld („ransom“) verlangt. Ob aber der Schlüssel tatsächlich geliefert wird, ist unsicher.

Keylogger speichern die Tastatureingaben eines Nutzers. So können alle eingegebenen Passwörter, PINs etc. aufgezeichnet und an einen Dritten gesandt werden. Mit den so erbeuteten Daten können Kriminelle in das Unternehmensnetzwerk eindringen und dort Daten kopieren, löschen oder verändern.

Phishing zielt auf bestimmte Daten ab

Allgemein wird der Versuch, über gefälschte Internetseiten oder Links an Passwörter und andere geheime Daten zu gelangen, als Phishing bezeichnet. Meist werden täuschend echt aussehende E-Mails von Onlinediensten bekannter Firmen oder Banken versandt, um die arglosen Empfänger zu verlocken, auf gefälschten Internetseiten Passwörter oder PINs einzugeben. Die abgefischten Daten können dann für Kontoabbuchungen oder auch für Hackerangriffe verwendet werden.

Mittels Methoden wie Social Engineering werden beim Phishing Mitarbeiter gezielt angesprochen, um Passwörter oder andere interne Unternehmensdaten zu erbeuten. Hierzu werden einzelne Personen gezielt analysiert und angegriffen. Dabei werden die Neugier, das Vertrauen oder die Angst des Opfers ausgenutzt. Das Ziel der Angreifer sind vertrauliche Informationen, um das Unternehmen oder das Opfer direkt zu schädigen. Mit Hilfe von abgegriffenen Passwörtern können Betrüger Datenbanken hacken, das Netzwerk des Unternehmens kompromittieren oder Malware auf Firmenrechnern installieren.

Organisatorische und technische Maßnahmen zur Datensicherheit

Um die Datensicherheit im Homeoffice zu gewährleisten, müssen geeignete technische und organisatorische Maßnahmen ergriffen werden.

Der Dreh- und Angelpunkt eines verlässlichen Datensicherheitskonzeptes ist die Berücksichtigung von Raum, Mensch und Maschine.

Hierbei stellen sich im Wesentlichen drei Fragen:

  1. Wie kann sichergestellt werden, dass sich der Mitarbeiter am vereinbarten, sicheren Arbeitsplatz befindet?
  2. Wie kann der Geschäftsrechner oder private PC (BYOD), also die Hardware, für Angriffe von innen und außen gesichert werden?
  3. Wie kann sichergestellt werden, dass es sich bei dem User tatsächlich um dem Mitarbeiter im Homeoffice handelt?

Damit Beschäftigte im Homeoffice sicher auf Unternehmensdaten wie z. B. Kundendaten zugreifen können, ist eine sichere VPN-Verbindung, ein gut gesicherter Remote-Access oder Lösungen wie Trusted Secure Desktop ein Must-Have der Datensicherheit.

Das lokale Kopieren und Speichern von Daten sollte unterbunden werden. Und der Nutzer sollte nur die benötigten Funktionen, Anwendungen (Whitelisting) und Daten (Benutzerrechte) verwenden können.

Die Gewährleistung einer sicherheitskonformen Desktopumgebung ist am besten über eine videobasierte Nutzer-Authentifikation umsetzbar. 

Falls personenbezogene Daten im Homeoffice verarbeitet werden, sind jedoch weitere Schutzmaßnahmen notwendig, die nicht nur die Datensicherheit, sondern auch den Datenschutz betreffen. Denn der Arbeitgeber bleibt juristisch in der Pflicht, die Maßgaben der DSGVO einzuhalten, auch wenn sich seine Mitarbeiter am Telearbeitsplatz bzw. Homeoffice befinden.

Security Awareness erhöht die Datensicherheit

Sicherheitsexperten sehen als größten Risikofaktor für die Cybersicherheit immer noch die Mitarbeiter selbst an. Die Gefahren durch Social Engineering wachsen, und die Technik kann dagegen nur begrenzt eingesetzt werden. Umso wichtiger ist es bei den Beschäftigten -vor allem im Homeoffice- ein Bewusstsein für die Risiken der Attacken zu schaffen.

Denn gerade im Bereich der Datensicherheit ist der Aspekt der Eigenverantwortung von Mitarbeitern entscheidet. Hierfür bieten sich Schulungen und Webinare an, die u.a. die Prinzipien sicheren Arbeitens, Passwortrichtlinien und notwendige Maßnahmen zum Datenschutz vermitteln. Awareness-Schulungen fördern die Eigenverantwortung der Mitarbeiter und leisten einen wichtigen Beitrag zur IT- und Datensicherheit.

Cyber-Versicherung für das Homeoffice

Für Unternehmen, die das rechtliche und finanzielle Risiko von Datendiebstahl oder Hackerangriffen absichern möchten, gibt es sog. „Cyber-Versicherungen“ bzw. Cyber-Policen. Hierbei handelt es sich um eine relativ junge Versicherungssparte, die mit Homeoffice-Boom einen Auftrieb erlebt.

Auch wenn die Versicherungen zum Teil etwas anderes suggerieren: Das Unternehmen bleibt für den Datenschutz und die Datensicherheit im Homeoffice verantwortlich – auch mit einer Cyber-Versicherung. Lediglich das Risiko bzw. der mögliche Schaden wird ggf. kompensiert. Im Fall eines öffentlichen, medialen Reputationsschaden, weil beispielsweise Kundendaten geklaut wurden, kann auch eine Versicherung nichts ändern. IT-Leiter und Geschäftsführer sollten sich also die Frage stellen, ob die Kosten für die Versicherung nicht lieber in die Datensicherheit und IT-Sicherheit investiert werden sollte.

Wir möchten darauf hinweisen, dass wir keine Rechtsberatung anbieten und der vorliegende Artikel lediglich ein Informationsangebot darstellt. Wir übernehmen keine Gewähr auf Vollständigkeit und Richtigkeit. Des Weiteren haben wir im Artikel aus Gründen der Einfachheit die männliche Schreibweise der „Mitarbeiter“ gewählt. Gemeint sind selbstverständlich Mitarbeiterinnen und Mitarbeiter gleichermaßen. Gleichberechtigung und Vielfalt sind uns wichtig!

Newsletter

Profitieren Sie von unserer Expertise auf den Gebieten Datenschutz & Datensicherheit rund um das Homeoffice und abonnieren Sie jetzt unseren Newsletter. Dürfen wir Sie in unsere Versandliste aufnehmen?

Mit "Senden" bestätigen Sie, dass Sie mindestens 18 Jahre alt sind und erteilen Ihr Einverständnis, dass die von Ihnen eingegebenen Daten, wie hier und in der Datenschutzerklärung erläutert, gespeichert und verarbeitet werden.