Die IT-Abteilungen vieler Firmen in Deutschland haben unter hohem Zeitdruck ihre Mitarbeiter zu Remote Workern gemacht. Die Hast, mit der sie neue Fernarbeit-Konzepte aus dem Boden stampften, birgt aber digitale Risiken für Mitarbeiter und ihre Daten.
Zwei Faktoren sind für diese Entwicklung entscheidend: Die Zahl digitaler Attacken, welche die neuen Arbeitsmodelle ins Visier nehmen, nimmt rasant zu. Dies zeigen Meldungen der Security-Industrie und des Bundesamtes für Sicherheit in der Informationstechnik. Zugleich geben Datenschutzbeauftragte zu bedenken, dass Remote Worker die Regeln für den Datenschutz selten einhalten: „Wir gehen von einer hohen Zahl von Verstößen aus“, erklärt eine Sprecherin des Landes-Datenschutzbeauftragten von Baden Württemberg. „Vollständig datenschutzgerechtes Home-Office ist eine Seltenheit.“
Mitarbeitern fehlen an ihrem neuen häuslichen Arbeitsplatz die Mittel, um physische Akten einzuschließen und digitale Informationen zu sichern, zu übertragen und zu speichern. Oder sie haben sich nicht an die Firmenregeln für Datenschutz gehalten, weil sie Daten an falschen Orten sichern oder vertrauliche berufliche Gespräche im familiären Umfeld führten. Das mangelnde Wissen über Risiken und Regeln zeigt, dass Firmen ihre Mitarbeiter zu wenig aufgeklärt und geschult haben.
Da es für Firmen im Alltag unmöglich ist, das Verhalten ihrer Remote Worker zu kontrollieren, ist es entscheidend, die Mitarbeiter über ihre Pflichten mithilfe von Trainings aufzuklären und ihnen klare Regeln und einfache technische Lösungen an die Hand zu geben. Denn für die Einhaltung des Datenschutzes und juristischer Vorgaben wie der DSGVO ist das Unternehmen verantwortlich und kann bei Verstößen mit Bußgeldern belangt werden. Allerdings haben die Behörden solche Sanktionen bisher noch nicht ausgesprochen.
Improvisationen anfälliger für Attacken
Die knappe Zeit und der kurzzeitige Engpass bei Notebooks haben dazu geführt, dass Unternehmen ihren Mitarbeitern öfter erlaubt haben, ihre privaten Geräte ans Firmennetz zu koppeln. Dies hat zwei Konsequenzen. Das Sicherheitsniveau privater Geräte ist im Vergleich zur Firmen-IT niedriger, da die Soft- und Hardware der Geräte weder standardisiert noch die Programme einheitlich gepatcht sind. Außerdem ist es wahrscheinlicher, dass Mitarbeiter private Daten und Dienste parallel zu den Firmendiensten nutzen, wodurch sich beide Welten stärker vermischen. Ihre Systeme sind zudem selten in das technische Sicherheitskonzept des Unternehmens eingebunden und daher schwächer geschützt. Das Risiko von Infektionen und Datenverlusten ist umso größer.
Interpol warnt, dass Kriminelle diese Situation für ihre Zwecke missbrauchen. Sie greifen die Epidemie als Thema in ihren Mail-Anhängen auf, um Mitarbeiter zum Klicken zu verleiten und so Datensätze in der Firma per Ransomware zu verschlüsseln. Die Akteure suchen auch gezielt nach Schwachstellen in den neuen Kommunikationstools, um darüber die Systeme in Firmen, Behörden und Universitäten zu attackieren. Da mehr Anwender als jemals zuvor remote arbeiten, sind die IT-Abteilungen wiederum stärker ausgelastet und werden im Notfall langsamer reagieren.
Außerdem lässt jede neue digitale Anwendung die Menge von Daten anwachsen, die auf immer mehr Speicherorten abgelegt werden. Dies hat langfristige Folgen für die IT: Ohne klare Regeln für Mitarbeiter, wo und wie sie Daten ablegen sollen, und ein Konzept für Datenmanagement und -Sicherheit, das alle diese verteilten Speicherorte unter einen Hut bringt, entstehen blinde Flecken in der IT-Landschaft. Dabei kennt eine Firma Stand heute nur den Inhalt von rund der Hälfte ihrer Daten. Die Wahrscheinlichkeit ist also hoch, dass ein Unternehmen nicht einmal wüsste, welche Daten sie verloren hat, wenn sich jemand Zugang zu den Geräten verschafft und Daten stiehlt.
Vier Grundregeln für höhere Datensicherheit
An diese Grundregeln sollten sich Unternehmen gerade jetzt nochmal erinnern, um die neue Lage besser in den Griff zu bekommen und ihre Daten besser zu kontrollieren:
- Mitarbeiter brauchen klare Regeln, wo und wie sie wichtige Daten ablegen sollen. In Schulungen müssen sie lernen, dass sie wichtige Daten nur auf den von der Firma aufgesetzten Speichern in der Cloud ablegen und Akten nur in abschließbaren Fächern aufbewahren sollten.
- Die Kenntnis der Mitarbeiter über Risiken von Ransomware sowie gezielter Attacken und das Wissen, wie sie auf solche Inhalte zu reagieren haben, sind alternativlos. Da sich die Angriffe permanent verändern, sollte dieses Wissen in regelmäßigen Abständen aufgefrischt werden.
- Aber selbst mit bestem Know-how sind Angriffe manchmal erfolgreich. Daher ist für die IT-Abteilung wichtig, die eigenen Daten zu kennen, Kenntnis darüber zu gewinnen, wo alle Informationen liegen und nach welchen regulativen Vorgaben die Daten vorgehalten werden müssen. Dies gilt insbesondere für die neue digitale Welt mit Home Office, in der Daten die Firma jede Minute verlassen können.
- Ist ein Ransomware-Angriff erfolgreich oder haben Mitarbeiter Daten versehentlich gelöscht oder verfälscht, ist es entscheidend, sie aus einem Backup zuverlässig und schnell wiederherstellen zu können. Firmen sollten ihre Daten daher mit einem zentralen Werkzeug per Backup sichern. Ein Tool, das idealerweise alle verschiedenen Speicherorte beherrscht und Daten leicht wiederherstellen kann, unabhängig von der Quelle.
Sascha Oehl, Director Technical Sales DACH bei Veritas Technologies, erklärt:
„Die IT-Teams haben in den jüngsten Monaten Großes geleistet und ihre Firmen rasend schnell digitalisiert. Mitarbeiter konnten von zu Hause arbeiten und weiter wirtschaften, ein toller Erfolg unter schweren Bedingungen. Jetzt ist es wichtig, auf die Folgen dieser neuen Applikationen und Dienste zu reagieren, die Risiken zu erkennen und präventiv zu beherrschen. Denn schon ein Ausfall von wenigen Stunden wegen eines Ransomware-Angriffs oder ein gescheitertes Backup kann das Überleben der Firma in der aktuellen Situation stark gefährden.“
www.veritas.com/de