Hardware, Software, Tipps und Tricks für konzentriertes Arbeiten: Die aktuelle Nachfrage rund um das Homeoffice steigt. So auch die Nachfrage nach Sicherheitslösungen. Hintergrund ist, dass Arbeitende im Homeoffice ein leichteres Ziel für Phishing und Co. sind. Leider fokussieren sich die Anstrengungen zu sehr auf Aspekte wie Schulungen, Malware-Schutz oder Virenscanner. Der Datenschutz hingegen wird vernachlässigt.
Doppelt gefährlich: Zum einen können im Homeoffice gehackte, persönliche Arbeitnehmerdaten auch für Arbeitgebende einen großen Schaden anrichten. Zum anderen verpflichtet die DSGVO Unternehmen zum Schutz der Daten ihrer Angestellten.
Es ist wie es ist: Homeoffice musste mehr oder weniger realisiert werden. Die gute Nachricht ist, dass Unternehmen erkennen: es geht! Die schlechte: Die meisten Arbeitgebenden wurden von der Geschwindigkeit der notwendigen Umstellung überrannt – von den wenigen abgesehen, die ohnehin vorhatten, auf Homeoffice und New Work umzudenken. Völlig verständlich lag der Fokus also zunächst auf „machen“, dann auf „sichern“. Diese Sicherheit wird jetzt nachgeholt beziehungsweise muss dringend nachgeholt werden!
Schutz ist nicht gleich Schutz
Die drei größten Risiken sind eigentlich bereits bekannt: Erstens sind die Geräte, die Arbeitgebende auf die Schnelle bereitstellten, selten so gesichert, wie es das Firmennetzwerk in der Regel ist. Zweitens infizieren Angestellte mit ihren befallenen Geräten auch das Firmennetzwerk spätestens dann, wenn sie ihre Devices im Unternehmen wieder anschließen. Drittens gilt, dass die Gefahr noch höher ist, wenn Arbeitnehmer für die Arbeit im Homeoffice ihre eigenen Geräte nutzen. Diese haben selten den benötigten Sicherheitsstandard – was bislang in der Form auch natürlich nicht nötig war. So oder so sind die Geräte in fast allen Fällen minder gut auf Cyberangriffe vorbereitet.
Neben geeigneten Aufklärungsmaßnahmen sind schützende IT-Lösungen also ohne Frage unerlässlich. Allerdings ist eines sicher: Auch die vorsichtigsten und aufgeklärtesten Mitarbeiter samt aktualisiertesten Virenscanner können Angriffe und damit erfolgreiche Infektionen nicht vollständig verhindern. Das liegt im Gros daran, dass sich der Schutz zu sehr auf Phishing und Co. konzentriert. Mit anderen Worten: Der eingehende Datenverkehr wird so gut es geht kontrolliert. Aber: Malware, die beispielsweise getarnt als neue Information zum Thema Corona in den elektronischen Postfächern der Angestellten landet, ändert sich täglich und ist damit aktueller als Virenscanner.
Eine sinnvolle Ergänzung zu klassischen Anti-Viren-Programmen wie Kaspersky oder Sophos sind dann Cyber-Security-Lösungen wie BlackFog, die den ausgehenden Datenverkehr überwachen und unerwünschten Traffic blockieren. Dabei analysiert ein intelligentes Regelwerk auf dem Endgerät den kompletten Outbound-Traffic und blockt unerwünschte Verbindungen in Echtzeit. Das verhindert die Verbindung zu ungewollten Internetadressen und unterbindet, dass sich Schadsoftware aktivieren kann.
Ganz nebenbei – oder vielmehr allem voran – unterbindet die Kontrolle des Outbound-Traffics auch, dass persönliche Daten durch Schadsoftware exfiltriert also abgezogen werden können. Denn: Jeder User hinterlässt digitale Foot-Prints: Browserhistorien, Cachedateien, Suchkriterien, Lesezeichen, Cookies oder Favoriten sind auf Unternehmensgeräten ebenso gespeichert wie auf privaten. Aktuell besonders interessant sind unter anderem Skype-Verläufe, die durch den sprunghaften Anstieg der digitalen Telefonkonferenzen exakt protokollieren, wer, wann mit wem Kontakt hatte.
Daten sagen mehr als Worte
Aus allen Einzelnen digitalen Fuß- und Fingerabdrücken entsteht ein großes Gesamtbild des Nutzers. Betroffen ist jeder: Auszubildende, Vertriebsleitende, die Assistenz der Geschäftsleitung oder CEOs selbst. Gewonnene Daten werden hier allerdings nicht für kommerzielle, lästige Zwecke genutzt. Ein Beispiel zeigt Cambridge Analytica 2016, als über 10 Millionen Datensätze von Facebook-Usern unrechtmäßig weitergeleitet und in einem Retargeting-Prozess dazu verwendet wurden, das Wahlverhalten im US-Präsidentschaftswahlkampf zu manipulieren. Im ökonomischen Umfeld dienen die Puzzleteile ähnlichen Zwecken – vom Profiling bis zur Industriespionage.
Nicht umsonst hat der Gesetzgeber mit der Einführung der DSGVO geregelt, dass der Schutz auch privater Daten zur Fürsorgepflicht der Unternehmen zählt. Da mögliche Verstöße also rechtliche Konsequenzen nach sich ziehen können, werden potenzielle Verstöße nicht nur ein Fall für die IT oder die Datenschutzbeauftragten, sondern auch ein Fall für die Rechtsabteilungen. Zur Erinnerung: Auch vor der aktuellen Homeoffice-Situation hat jedes Unternehmen über die TOM (Technischen organisatorische Maßnahmen) Kunden, Lieferanten oder Partner gegenüber zugesichert, alles für einen optimalen Schutz der Daten zu unternehmen. Auch das kann mit der Kontrolle über den Outbound-Traffic gewährleistet werden.
Fazit
Homeoffice und New Work wären und werden auch ohne Corona eher über kurz als lang zum vorherrschenden Arbeitsmodell. Aktuell muss Homeoffice jedoch forciert werden. Idealerweise wird es aber aus einer Übergangslösung zu einem neuen Arbeitsverständnis. Dann sollten Unternehmen daran denken, von Anfang eine sichere und funktionierende Basis zu schaffen.
Die richtigen Lösungen dafür sind bereits auf dem Markt. Deren Integration in die Unternehmens-IT rechnet sich auch oder besonders in Zeiten einer unsicheren Wirtschaftslage. Wichtig ist, dass der Traffic ausgehender Daten ebenso überwacht wird, wie die potenziellen Angriffe auf das System. Damit ist auch sichergestellt, das persönliche Daten dort bleiben, wo sie hingehören: Auf den Endgeräten – ob zuhause oder im Büro.
Marc Oliver Hugger, CEO der TRESONUS GmbH und Co. KG.
www.tresonus.de