Was für die Mehrheit der Unternehmen – aber auch einen Großteil der Beschäftigten – bisher undenkbar war, funktioniert in der Krise: Arbeiten von zuhause im Home Office. Die Digitalwirtschaft scheint der Vorreiter zu sein. Was nicht verwundert. Denn gerade in dieser Branche eignen sich die meisten Jobs für Remote-Arbeit. So ist nachzuvollziehen, dass laut einer Umfrage der Bitkom Mitte März 2020 fast 90 Prozent (89) von 235 befragten IT- und Telekommunikationsunternehmen ihren Mitarbeitern empfohlen haben, im Home Office zu arbeiten. Fast zwei Drittel (64) haben das sogar angeordnet.
Ebenfalls hatte der Bitkom wenige Tage vorher in einer repräsentativen Umfrage für die Gesamtbevölkerung herausgefunden, dass inzwischen 49 Prozent Zuhause arbeiten, was für 18 Prozent vollkommen neu war. Fast ein Drittel (31) konnte bereits vorher im Home Office arbeiten. 41 Prozent gaben allerdings an, ihre Tätigkeit sei grundsätzlich nicht für den heimischen Schreib- oder Küchentisch geeignet.
Phishing besonders gefährlich
Soweit aktuelle Statistiken zum Home Office. Was mindestens genauso spannend ist: Wie sieht es mit der Sicherheit aus? Ob Hacker die derzeitige Pandemie wirklich gezielt für Angriffe ausnutzen und ob die Zahl der Angriffe signifikant angestiegen ist, ist noch nicht bestätigt – aber es gibt Anzeichen wie den gefälschten Spendenaufruf der WHO.
Unternehmen, die ihren Mitarbeitern schon seit längerer Zeit das mobile Arbeiten ermöglichen, sind meist technisch gut aufgestellt. Laptops, PCs und Tablets gegen Hacker, Viren und Würmer wahrscheinlich – soweit es geht – geschützt. Doch schon der normale „Beschuss“ der Cyberangreifer reicht aus, um schlecht gesicherte Computer zu gefährden, etwa durch permanente, automatisierte Kampagnen. Was aber derzeit besonders gern genutzt wird, ist Phishing. Hier versuchen Hacker mit unverdächtig aussehenden E-Mails sensible Daten und Passwörter abzugreifen. Sei es über Browser im Netz, Mail, USB-Ports, lokale Koppelung zu anderen Endgeräten, die „gemanaged“ sind. Gekaperte Identitäten sind die Folge, und das kann teuer werden, wenn sensible Unternehmensdaten abfließen.
Vorsicht bei kostenlosen Tools
Wer aber jetzt im Home Office am Privatrechner sitzt, hat häufig keinen professionellen Schutz installiert und verfügt über keine Möglichkeit eines verschlüsselten Fernzugriffs auf Unternehmensanwendungen und gemeinsam genutzte Ressourcen. Dann ist Improvisation und Pragmatismus gefragt. Die schnell zum Einsatz gebrachten Kollaborations-Tools sind sehr hilfreich und bieten in gut gesicherten Unternehmensnetzen meist Schutz. Aber: Nicht alles, was schnell einsatzbereit ist, hält allen „üblichen“ Anforderungen der IT-Sicherheit und des Datenschutzes stand. Gerade wenn Lösungen gratis zur Verfügung gestellt werden, stellt sich die Sicherheitsfrage.
Neben den verbreiteten Lösungen Microsoft Teams, Cisco WebEx oder ZOOM sind zudem „private“ Kommunikationskanäle hoch im Kurs: Viele Messenger-Dienste und Plattformen wie XING oder LinkedIN bieten auch Chats an. Auch dort gilt: Vorsicht und genau hinschauen. Wenn Messenger im beruflichen Kontext, dann bitte auch verschlüsselt. Die Freigabe der Nutzung inklusive der Kontakte auf dem Diensthandy, sollte der Arbeitgeber regeln.
Social Engineering
Die gezielte Ausnutzung von Mails oder Bots im direkten oder digitalen Kontakt zu Mitarbeitern, Beispiel „CEO-Fraud“, ist unter Remote-Bedingungen ein steigendes Risiko. Social Engineering zielt darauf, Menschen im Unternehmen zum Vorteil der externen Angreifer zu manipulieren oder zu instrumentalisieren, etwa über das Vortäuschen von Situationen mit Zeitdruck und Anweisungen „von oben“. Es wird für Angreifer einfacher, wenn die Opfer fragliche Vorgänge nicht „eben kurz“ persönlich im Büro überprüfen können. Oder der Chef zur Bestätigung telefonisch gerade nicht erreichbar ist. Der Klassiker: „Überweisen Sie den Betrag schnell an die Firma X“ per Mail des Chefs oder sogar mit täuschend echter Stimmen-Imitation am Telefon.
Wenig Verschlüsselung und VPNs
Der Bundesverband IT-Sicherheit e.V. (TeleTrusT) hat Ende März 2020 in einer deutschlandweiten Umfrage ermittelt, welche IT-Sicherheitsvorkehrungen die Nutzer umsetzen. Rund zwei Drittel schützen ihren Rechner (65) und ihr WLAN (63) mit einem Passwort und haben ein Virenschutzprogramm (61) installiert. Doch nur die Hälfte (49) haben getrennte Privat- und Dienstrechner. Noch schlechter sieht es bei der verschlüsselten Datenübermittlung (38) oder VPN-Verbindungen (37) aus. Genau bei der Verschlüsselung, der sicheren Verbindung zu Unternehmenssoftware – auch in der Cloud – oder beim Zugriff auf schützenswerte Dokumente liegen aber besondere Risiken aus Sicht des Datenschutzes.
Auch wenn es bei Unternehmen aus Datenschutzsicht unterschiedliche Kategorisierungen gibt, lassen sich die meisten Dokumente in drei Schutzklassen einteilen: normal, hoch, sehr hoch. Allerdings entfallen schon unter den „normalen“ Schutzbedarf personenbezogene Daten wie Anschrift, Geburtsjahr, öffentliche Register oder Telefonverzeichnisse. Einem „hohen“ Schutzbedarf unterliegen Daten, die Auskunft über wirtschaftliche Verhältnisse einer Person oder eines Unternehmens geben. Dazu gehören Mietverhältnisse, Kontenstände oder Zahlen aus dem Finanzbereich. Und einem „sehr hohen“ Schutzbedarf unterliegen Krankendaten von Mitarbeitern, Steuerdaten oder Verwaltungsdaten entsprechend der „Verschlusssache (VS) Vertraulich“.
„Das ist unseren Mitarbeitern alles bewusst, und mit solchen sensiblen Informationen haben Home Office-Mitarbeiter nichts zu tun“, könnte man entgegnen. Was ist aber mit den Buchhaltern, die jetzt zuhause Rechnungen schreiben oder Ein- und Ausgaben verbuchen? Was ist mit den Mitarbeitern der Personalabteilung, die Krankmeldungen bearbeiten oder Gehaltsabrechnungen erstellen? Oder was ist mit Mitarbeitern, die Strategien entwickeln, wie sich die aktuelle Krise bewältigen lässt? Was ist mit Finanzinformationen und aktuellen Informationen zur Bewältigung der Krise?
Sie alle arbeiten mit Daten und Dokumenten, die einem mehr oder weniger hohen Schutzbedarf unterliegen. Dies gilt auch für Video, Desktop-Sharing und Voice-Anrufe über die Kollaborations-Tools – alle Teilnehmer (oder mehr als gedacht?) sehen und hören diese Informationen. Komplett zu kontrollieren ist dies nicht – es kommt auf das Verhalten aller im „Remote“-Zustand an.
Klare Richtlinien und Sensibilisierung
Was können Unternehmen also kurzfristig umsetzen, damit ihre Home Office-Mitarbeiter weitgehend datenschutzkonform mit Endgeräten arbeiten, die die eigene IT-Abteilung nicht für den mobilen Einsatz vorbereitet hat? Zunächst einmal sind Sensibilisierung und Richtlinien gefragt, die schon einige Risiken im Umgang mit Daten und Dokumenten verringern können. Teamleiter sollten den Heimarbeitern klar vorgegeben, welche Informationen sie wie bearbeiten dürfen.
Es gibt Dokumente, die müssen ausschließlich in einem gesicherten Umfeld beim Unternehmen verbleiben. Wenn es dafür noch keine Technik gibt, dann gehören solche Daten nicht in die Bearbeitung durch einen Homeworker. Das heißt: Runterladen, auf dem Laptop bearbeiten, vielleicht über eine ungesicherte E-Mail-Verbindung wieder zurückschicken? Auf gar keinen Fall. Besonders fatal: Wenn das Dokument noch auf dem Rechner gespeichert, vielleicht im digitalen Papierkorb landet, aber dort nicht endgültig vernichtet wird. Und Ausdrucke einfach im analogen Papierkorb entsorgen und in den Papiercontainer werfen, sollte man auch tunlichst vermeiden. Generell und besonders bei sensiblen, personenbezogenen Daten. Dies ist im Büro nicht anders als zu Hause: Informationssicherheit gilt digital wie analog, also auch für Papier und das gesprochene Wort. Besonders im Fokus stehen aber die technischen Aspekte für die Remote-Arbeit und Online-Kollaboration.
Getunnelte VPN-Verbindungen
Einen sicheren Fernzugriff auf das Netz und die Anwendungen eines Unternehmens gibt es nur über ein durch Verschlüsselung abgesichertes Virtual Private Networks (VPN). Dieses VPN lässt sich auch remote einrichten. Mitarbeiter müssen dafür also nicht ins Büro kommen. Für die Punkt-zu-Punkt-Verbindung von einem Client zu einem VPN-Server im Unternehmen benötigt der Nutzer die IP-Adresse des VPN-Servers sowie die Zugangsdaten für das VPN. Beides kann der IT-Administrator sicher übermitteln und auch einen nicht-geschulten Mitarbeiter telefonisch durch die Installation leiten.
Solche VPN-Verbindungen können IT-Administratoren auch managen, indem sie genau vorgeben, wer wann auf welche Anwendungen zugreifen kann und welche Rechte der Nutzer hat: also etwa nur Lese- oder zusätzlich auch Schreibrechte. Übrigens sichert sich ein VPN-Tunnel den Zugriff auf Unternehmensanwendungen auch dann, wenn sich ein Mitarbeiter über ein öffentliches WLAN einwählt, zum Beispiel in einem Café, am Flughafen oder in der Bahn.
Zero Trust-Modell
Eine relativ neue Technologie bietet das Zero-Trust-Modell, der insbesondere einen Zugriffschutz für die Nutzung von Cloudservices bietet. Mit dem Zero-Trust-Prinzip lässt der Datenaustausch innerhalb und außerhalb eines Unternehmensnetzwerkes komplett DSGVO-konform gestalten. Mit einem x-beliebigen Geräte greifen Mitarbeiter dann mit den richtigen Nutzeranmeldedaten auf die angeforderte Anwendung zu. Gerade für Unternehmensanwendungen in einer Public Cloud ist der zentralisierte Fernzugriff ideal.
Ohne dedizierte Systemumgebung, ohne zusätzliche Hardware und ohne VPN lässt sich das Zero-Trust-Verfahren innerhalb von maximal zwei Tagen einführen. Der Zugriff und die Authentifizierung erfolgen über den Aufruf einer Landingpage im Browser und via Single-Sign-on. Das Verfahren ist in einem Punkt sogar sicherer als ein VPN: Für den Zugriff muss der Nutzer sich nicht erst in das Unternehmensnetzwerk einwählen, über das er wieder aus dem Netzwerk zur externen Cloud geführt wird. Eine Zero-Trust-Architektur schützt besonders vor der unbemerkten Infiltration von Schadsoftware beziehungsweise dem unbemerkten Abgreifen von Unternehmensdaten.
Sicherer Datenraum
Auch im Home Office sind Mitarbeiter meist Teil eines Teams und tauschen Daten aus oder greifen gemeinsam auf Daten zu. Eine Möglichkeit, besonders vertrauliche Dokumente sicher abzulegen und zu nutzen, sind sichere Datenräume, Secure Datarooms. Sie eignen sich auch für Dokumente mit der Datenschutzklasse „Geheim“. Ein Dataroom erfüllen wichtige Risiko-Management-Vorgaben und Standard-Richtlinien im Umgang mit vertraulichen Dokumenten. Unternehmen nutzen solche sicheren Datenräume, zum Beispiel für die Verwaltung von Aufsichtsrat- und Vorstandskommunikationen oder in der Rechts- und Finanzabteilung – auch für die unternehmensübergreifende Zusammenarbeit über das Internet. So können alle Mitglieder eines Teams, die keinen Zugriff auf das interne Netzwerk eines Unternehmens haben, zusammenarbeiten und kommunizieren.
Für die Einwahl in solche Datenräume gibt es eine 2-fache Authentifizierung mit zeitbegrenzten TANs, die per SMS verschickt werden, eine Verschlüsselung der Daten auf dem Server und eine verschlüsselte Datenübertragung. Die Dokumente sind auch auf dem Client-Rechner durch Verschlüsselung geschützt. Und jeder Zugriff auf den Datenraum sowie die Dokumente oder Änderungen an den Daten werden revisionssicher und nachvollziehbar dokumentiert.
Updates und Patching
Auch wenn es zur Aufrechterhaltung des Geschäftsbetriebs doch schnell gehen muss dann gilt der Grundsatz: Auch remote möglichst nah am Standard.
Das bedeutet, die Endgeräte über das VPN auf dem letzten Stand der Sicherheitssoftware und auch die sonstige Software regelmäßig aktualisieren (Patching). Sollte ein Problem auftreten, sollte ein HelpDesk ad hoc remote eingreifen können.
Und wenn die Krise vorbei ist, müssen Unternehmen ohne klare Regeln zumindest folgende Fragen eindeutig beantworten:
- Ist Remote-Arbeit überhaupt geregelt?
- Wenn ja, wie soll die Verbindung zum Firmennetzwerk oder Datenzugriff technisch erfolgen, und welche Endgeräte sind erlaubt (BYOD ja oder nein, „Schatten-IT“, Cloud-Lösungen)?
- Wenn ja, wie wird dasselbe Sicherheitsniveau erreicht wie bei den Unternehmens-Endgeräten („managed devices“) oder gibt es bewusste Risiken, die – dann aber aktiv bewertet - in Kauf genommen werden?
- Sind neue Regelungen gegen mögliche regulatorische Auflagen geprüft, also die Compliance insgesamt eingehalten?
- Sind Auswirkungen auf die Vereinbarungen mit der Arbeitnehmervertretung zu erwarten (z.B. im Security Monitoring) und diese daher einzubeziehen?