Tipps zur IT-Sicherheit bei der Remote-Arbeit
Der vorliegende Auszug aus dem Beitrag im Mittelstand-Digitalmagazin „Wissenschaft trifft Praxis“ (Ausgabe 19) befasst sich mit den Herausforderungen, die im Rahmen von Remote Work in Kooperationen bezüglich der Informations- und IT-Sicherheit bestehen, insbesondere im Hinblick auf den sicheren Datenaustausch.
Des Weiteren wird die Wichtigkeit einer ganzheitlichen Sicht von IT-Governance-, Risiko- und Compliance-Management in Verbünden kleiner und mittlerer Unternehmen (KMU) behandelt. Weiterhin wird aufgezeigt, was bei der informationstechnischen Absicherung von Kooperationen und IT-Konsortien beachtet werden sollte.
Wachsende Bedeutung des sicheren Datenaustauschs bei Remote Work
Speziell in Kooperationen zwischen IT-KMUs erhöht sich die Wahrscheinlichkeit von IT-Sicherheitsvorfällen, da die Kooperationspartner gemeinsame IT-Ressourcen, Schnittstellen, Systeme, Plattformen, Quelltexte und Daten nutzen. Eine Kompromittierung dieser kann unmittelbare Auswirkungen auf jeder einzelne Kooperationspartner haben. Beispielsweise in Form von ungewünschtem Datenabfluss, welcher sowohl erhebliche monetäre Schäden als auch Reputationsschäden nach sich ziehen kann. Dies spiegelt sich auch in neuesten Studien wider: Demnach sind die Schäden durch Sabotage, Datendiebstahl und Spionage in der deutschen Wirtschaft mit knapp 203 Milliarden pro Jahr beziffert. Damit liegt der Schaden etwas niedriger als im Rekordjahr 2021 mit 223 Milliarden Euro. In den Jahren 2018/2019 waren es erst 103 Milliarden Euro“. Das sind Ergebnisse einer Studie im Auftrag des Digitalverbands Bitkom, für die mehr als 1.000 Unternehmen quer durch alle Branchen repräsentativ befragt wurden. 70 Prozent der deutschen Unternehmen sind demnach bereits Opfer von Cyberangriffen geworden. Vier Angriffe können heute bereits bequem über das Darknet eingekauft werden – das BKA spricht dabei von Cybercrime-as-a-Service. Gleichzeitig zeichnet sich ab, dass die Zahl der Remote-Arbeitenden kontinuierlich ansteigt. Von 2009 bis 2020 fand ein Wachstum von 159 Prozent statt. Derzeit sind bereits 24 Prozent der in Deutschland Beschäftigten im Homeoffice tätig und bis 2028 werden 73 Prozent aller Abteilungen voraussichtlich Remote-Mitarbeiter haben.
Gerade junge Mitarbeiter im Umfeld von Startups und KMU gehen oft risikofreudiger mit Daten und Apps im Netz um. Durch die immerwährende Erreichbarkeit beim Arbeiten 4.0 verschwimmen die Grenzen zwischen Arbeit und Privatleben. Gerade kleine Unternehmen sind meist geprägt von Tools und Methoden aus dem Consumer-Bereich, da sie betriebliche IT-Standards weniger rigide als in Großunternehmen beachten müssen, so dass auch hier noch großer Handlungsbedarf für verbesserte IT-Sicherheit besteht. Mobile Endgeräte bergen nicht nur besondere Angriffsvektoren aus Sicht der IT-Sicherheit in sich, sondern sind auch in den Bereichen IT-Governance-, Risiko- und Compliance Management (IT-GRC). Bring Your Own Device (BYOD) bezeichnet in diesem Zusammenhang die – aus IT-GRC-Sicht problematische – Nutzung privater Endgeräte in Unternehmen, welche in KMU verbreitet ist, da hier grundsätzlich weniger umfangreiche Unterstützung von Seiten der IT-Abteilung bei größerem Freiheitsgrad der Mitarbeiter bestehen als in großen Unternehmen.
Herausforderungen bezüglich der IT-Sicherheit (in Kooperationen) im Rahmen von Remote Work
Die größte Gefahr für IT-Systeme geht von den Mitarbeitern im Unternehmen aus. Falsche Bedienung, die private Nutzung von firmeneigener Hard- und/oder Software, sowie der fahrlässige Umgang mit vertraulichen Informationen sind mindestens ebenso große Gefahren für die IT-Sicherheit wie Bedrohungen von außen (vorsätzlicher Raub von Daten, Daten-Kompromittierung). Diese Gefahren sind durch die Verbreitung von Remote Work deutlich gestiegen. Die Sensibilisierung für Risiken und das Durchsetzen von Sicherheitsrichtlinien wie Sicherheitsstrukturen unter den Mitarbeitern sind zentrale Managementaufgaben. Den eigenen Mitarbeitern muss die Bedeutung der IT-Sicherheit vermittelt werden. Es gilt sie im Umgang mit Sicherheitsrichtlinien zu schulen und auf die verbindliche Einhaltung der Regeln zu verpflichten. Unabhängig davon, wo sie für das Unternehmen tätig sind, ob im Büro oder im Homeoffice oder auf Reisen. Eine hohe Datensicherheit beim unternehmerischen Handeln, speziell in einem Arbeitsmodell bei dem Arbeitnehmer nicht an das Firmenbüro gebunden ist, erweist sich für kleine und mittlere IT-Unternehmen in der Praxis als große Herausforderung. Datensicherheit sollte in diesem Kontext als kritisches Element für das Gelingen eines sicheren unternehmerischen Handelns verstanden werden. Insbesondere im IT-KMU-Umfeld betreffen Datenpannen, z. B. unberechtigte Zugriffe auf Datensammlungen, die Kooperationspartner und deren Reputation innerhalb der Branche unmittelbar, denn die Verknüpfung von Softwarelösungen bedingt die Nutzung gemeinsamer Schnittstellen, Systeme, Plattformen, Dienste, IT-Ressourcen und Daten.
Laut des Ergebnisberichts zur „IT-Sicherheit im Homeoffice“ des Bundesamts für Sicherheit in der Informationstechnik (BSI) zeigt sich bei Digitalisierungsmaßnahmen, dass passgenaue Sicherheitslösungen für das Homeoffice wichtige Managementaufgaben sind. Denn zusätzlich zu den IT-Lösungen im Unternehmen müssen auch Systeme im Homeoffice und die Verbindung der Systeme geschützt werden. Hier sind nicht nur technische, sondern auch organisatorische Sicherheitsmaßnahmen gefragt (sog. TOMs). Häufig wird jedoch bei der Einführung von Geschäftsprozessen die Cybersicherheit nicht von vornherein mitbedacht. Mehr als die Hälfte der vom BSI befragten Unternehmen berücksichtigt Cybersicherheitsmaßnahmen, wenn überhaupt, erst zu einem späteren Zeitpunkt.
Handlungsempfehlungen
Wie kann die Arbeitsgestaltung von dezentralen Standorten abgesichert werden? Im Allgemeinen sollte die Zusammenarbeit frühzeitig rechtlich abgesichert und entsprechende Vertragsbedingungen festgehalten werden. Dabei ist eine ausgewogene Berücksichtigung der Interessen aller Partner notwendig, um eine nachhaltige Zusammenarbeit zu ermöglichen und potenzielle Konflikte zu vermeiden. Für eine sichere und vertrauensvolle Zusammenarbeit zwischen Arbeitgeber und -nehmer braucht es daher besonders klare Rahmenbedingungen und Regeln, um die entsprechenden Kommunikationskanäle und -plattformen informationstechnisch adäquat abzusichern. Für eine sichere Kommunikation im Homeoffice und die adäquate Absicherung der verwendeten Endgeräte tragen Arbeitnehmer und Arbeitgeber wichtige Pflichten. Zum einen muss eine gesicherte VPN-Verbindung mit dem Unternehmensnetzwerk gewährleistet werden, zum anderen bedarf es einer Bestandsaufnahme sämtlicher genutzter Geräte, einer Definition von Zugriffsberechtigungen sowie das Verschlüsseln von Daten.
Und wie schützt man seine Daten? Neben rechtlichen Empfehlungen sensibilisieren wir auf sog. TOMs, um den Schutz personenbezogener Daten im Hinblick auf ihren Schutzbedarf und unter Berücksichtigung der wirtschaftlichen Zumutbarkeit zu gewährleisten. Organisatorische Maßnahmen beinhalten die Awareness-Bildung zu Gefahrenquellen (wie z. B. durch einen mit Schadsoftware infizieren USB-Stick oder das Öffnen einer Phishing-Mail), die Implementierung eines Datenschutz-/ Datensicherheitskonzeptes sowie die Verpflichtung der Mitarbeiter auf das Datengeheimnis.
In Tabelle 1 wird aufgezählt über welche Konzepte, Dokumente und Richtlinien die Kooperationspartner verfügen sollten. Einzelne exemplarischen Vertreter im Rahmen von Remote Work werden im Nachfolgenden näher erläutert:
► Unter BYOD wird die Verwendung privater Endgeräte (Laptops, Smartphones, Tablets etc.) für eine geschäftliche (betriebliche) Nutzung verstanden. BYOD ist deshalb aus einer IT-Sicherheitsperspektive brisant, da keine klare Trennung privater und dienstlicher Nutzung von Endgeräten mehr gegeben ist. Eine BYOD-Richtlinie wird empfohlen, um den Umgang mit diesen Endgeräten verbindlich zu regeln.
► Home-Office-Betriebsvereinbarung: Hierin wird die verbindliche Regelung im Umgang mit dem Homeoffice etabliert. Die Heimarbeit stellt den Arbeitgebern vor viele Herausforderungen: Arbeitsschutz, Versicherungsschutz, mangelnde Datensicherheit u.v.m. Daher sollte diese explizit in Form einer Zusatz- bzw. Betriebsvereinbarung geregelt sein.
► Eine Cloud-Richtlinie ist insbesondere dann von Vorteil, wenn Daten in die Cloud ausgelagert werden sollen. Im Fall einer gemeinsamen Nutzung von Cloud-Infrastrukturen oder Daten – u. a. auch der remote Arbeitenden – sollte der Umgang mit Cloud-Ressourcen im Vorfeld geklärt sein. Laut BSI bietet nur ein professioneller IT-Betrieb den benötigten Rundumschutz für Unternehmen: „In den Bereichen Technik und Betrieb kann die Verantwortung für IT-Sicherheit vollständig auf IT-Dienstleister übertragen werden.“
Nutzen Sie auch unsere Angebote im Bereich IT-Sicherheit. Speziell für den Kontext Remote Work, finden sich u.a. in der Information Security Toolbox ein ausführlicher Dokumenten- sowie Instrumentenkatalog. Darin werden schlanke und praktisch einsetzbare Vorlagen für Dokumente sowie Instrumente, passgenau für kleine und mittlere Unternehmen der IT-Branche bereitgestellt.
Text: Felix F. Eifert, Robert Maurer, Tarek Annan
Der Beitrag ist eine Auszug aus dem Mittelstand-Digitalmagazin „Wissenschaft trifft Praxis“, Ausgabe 19 „Remote Work“, veröffentlich im Februar 2023.
