Angesichts steigender Cyberangriffen sollten Unternehmen sicherstellen, dass sie IT- und softwareseitig umfassende Vorkehrungen treffen, um sich besser zu schützen. Bei der Auswahl passender Softwaretools gilt es einige grundlegende Aspekte zu beachten.
Auch wenn die gesetzliche Homeoffice-Pflicht seit dem 20. März entfallen ist, werden Teams auch weiterhin nicht mehr ausschließlich zusammen im Büro arbeiten, sondern verteilt an verschiedenen Standorten. So wollen laut einer repräsentativen ZEW-Umfrage unter 1.200 Unternehmen aus dem verarbeitenden Gewerbe und der Informationswirtschaft viele Firmen in Deutschland selbst nach dem Ende der Corona-Pandemie hybride Arbeitsmodelle nutzen und ihren Beschäftigten damit einen Mix aus Präsenzarbeit und Homeoffice ermöglichen.
Mit dieser vergleichsweise neuen Arbeitsform gehen jedoch neue Herausforderungen einher, die Unternehmen ungeachtet ihrer Größe betreffen. Gemeint sind die Themen Cybersicherheit und Datenschutz. Denn die hybride Arbeitskultur wird von einer digitalen Arbeitsweise begleitet. So arbeiten Menschen an öffentlichen Orten wie Cafés, an denen sie ein frei zugängliches WLAN ohne VPN verwenden. Oder sie lassen ihren Laptop unbeaufsichtigt, womit sie das Risiko eingehen, dass das Gerät gestohlen wird oder Passwörter abgegriffen werden.
Ebenfalls ein Risiko für den Schutz sensibler Daten ist, dass Mitarbeitende nicht nur vorgesehene firmeneigene Geräte nutzen, um auf geschäftliche Anwendungen zu greifen, sondern vielfach auch private. Ihr Manko: Sie sind oftmals wesentlich schlechter geschützt als firmeneigene Laptops und Co. Für Unternehmen ist es schwierig bis unmöglich einen Überblick über diese Schatten-IT zu behalten, die ein großes Einfallstor für Cyberattacken bietet. Ein weiteres Risiko entsteht durch die verstärkte Nutzung von Cloud-Anwendungen. Vor allem dann, wenn keine klaren Sicherheitsrichtlinien und -maßnahmen definiert worden sind.
Die Anzahl von Cyberattacken nimmt zu
Wie real die Gefahr von digitalen Angriffen ist, bestätigen die Zahlen des Bundeskriminalamts. Laut der Behörde verzeichnete Deutschland für 2020 rund 108.000 Delikte im Bereich von Cyberkriminalität. Das ist ein Plus von +7,9 Prozent im Vergleich zu den 2019 erfassten Fällen. Und obwohl dies für Unternehmen ein Weckruf sein sollte, sieht die Realität anders aus: 55 Prozent der Unternehmen sind immer noch unzureichend vor digitalen Angriffen geschützt, so eine Accenture-Studie. Unternehmen, die bisher wenig in Sachen Datensicherheit und -schutz unternommen haben, handeln damit de facto fahrlässig Verhalten. Denn sie begünstigen Cyberattacken und nehmen damit das Risiko von Datenverlust sowie Betriebsunterbrechungen in Kauf.
Es ist längst erwiesen, dass viele Datenpannen und die Herausgabe sensibler Daten auf menschliche Fahrlässigkeit zurückzuführen sind. Damit gemeint sind unbeabsichtigte Handlungen von Mitarbeitenden, die eine Sicherheitsverletzung verursachen, verbreiten oder zulassen.
Wo Menschen arbeiten, passieren Fehler
Es ist längst erwiesen, dass viele Datenpannen und die Herausgabe sensibler Daten auf menschliche Fahrlässigkeit zurückzuführen sind. Damit gemeint sind unbeabsichtigte Handlungen von Mitarbeitenden, die eine Sicherheitsverletzung verursachen, verbreiten oder zulassen. Ein Beispiel dafür ist das Social Engineering, bei dem Angreifer menschliche Eigenschaften wie Hilfsbereitschaft oder Vertrauen von Cyberkriminellen ausnutzen, um gezielt zu manipulieren. Die jeweilige Zielperson wird dazu verleitet, vertrauliche Informationen wie etwa Passwörter weiterzugeben, Überweisungen zu tätigen oder sogar Schadsoftware auf Firmensoftware zu installieren. Etwa indem sich Cyberkriminelle als Führungspersonal ausgeben und Zugang auf ganze Ordner oder einzelne Dateien erfragen. Aufgrund der Beliebtheit von Social Engineering, wäre es fatal, wenn Unternehmen diese Gefahr unterschätzen. Denn in einer Umfrage des Digitalverbands Bitkom gaben immerhin 27 Prozent der befragten Unternehmer:innen aus Deutschland an, dass ihre Mitarbeiter:innen im letzten Jahr telefonisch mittels Social Engineering beeinflusst worden sind. Bei 24 Prozent sei dies per E-Mail der Fall.
Um daher auch in der neuen Arbeitsrealität bestmöglich vor Cyberangriffen geschützt zu sein, sollten Unternehmen IT- und softwareseitig einige Vorkehrungen treffen und folgende Aspekte achten:
Professionelles Sicherheitsmanagement: Wird eine Software von einem externen Dienstleistern bezogen, sollten Unternehmen darauf achten, dass die jeweiligen Anbieter:innen ein Regelwerk besitzen, dass auf die Geschäftstätigkeiten abgestimmt ist. Zusätzlich bietet eine aktuelle ISO-27001-Zertifizierung eine gute Orientierung, denn diese ist ein internationaler Standard für Informationssicherheit. Ein bestandener Test zeigt, dass sich der oder die jeweilige Anbieter:in umfassend und risikobasiert um den Schutz von Daten kümmert. Das Zertifikat wird übrigens regelmäßig von einer unabhängigen Stelle überprüft.
Sensibilisierung der Teams: Grundlage für den Erfolg jeglicher Sicherheitsmaßnahmen und -vorkehrungen ist, dass die einzelnen Teammitglieder ausreichend geschult und sensibilisiert für mögliche Angriffe auf Geschäftsanwendungen und ihre Konsequenzen sind. Aus diesem Grund ist ein erhöhtes Bewusstsein für Cyber-Security erforderlich, damit IT-Infrastrukturen und Unternehmensnetzwerke vor Angriffen geschützt sind. Dieses lässt sich durch entsprechende Maßnahmen wie beispielsweise Schulungen etablieren und fördern.
Serverstandort in Deutschland: Um in der neuen Arbeitsrealität eine sichere kollaborative Zusammenarbeit zu gewährleisten, sollten Unternehmen bei der Auswahl der passenden Softwaretools auf den Serverstandort der Anbieter:innen achten. So kann ein deutscher Serverstandort hingegen ein wichtiges Pro-Argument für ein Tool sein. Denn hierzulande, wie auch in der weiteren Europäischen Union, wird mit der Datenschutz-Grundverordnung (DSGVO) ein hohes Datenschutzniveau erreicht wird. Dies ist beispielsweise in den USA nicht zwangsläufig der Fall. Hier legitimieren die US-Sicherheitsbehörden den Zugriff auf Daten von Unternehmen ohne richterlichen Beschluss, wenn diese Dienste von Cloudanbieter:innen beanspruchen. Zusätzlich kann eine Überwachung der nicht ausreichend verschlüsselten Daten erfolgen.
Flexible Software, die die Anforderungen der Organisation erfüllt: Auch hinsichtlich der Funktionalität sollten Tools, die beispielsweise die hybride Zusammenarbeit des Teams erleichtern, dem Schutz sensibler Daten einen hohen Stellenwert einräumen. Um beim Beispiel der Kollaborationstools zu bleiben: Hier sollte eine entsprechende Softwarelösung Nutzer:innen ermöglichen, bei Projekten verschiedene Zugangslevels und Rollen wie etwa “Administrator”, “Mitglied” oder “Kommentator” zu vergeben. Die jeweiligen Projektmanager:innen können diese Rollen Personen zuteilen, diese bei Bedarf anpassen oder neue Mitglieder hinzuzufügen. So haben alle Zugang zu den Informationen, die sie brauchen.
Die neue Arbeitsrealität bedeutet die Einführung zusätzlicher digitaler Tools, die die Zusammenarbeit aus der Ferne vereinfachen. Unternehmen sollten bei der Wahl der eingesetzten Tools die Cybersicherheit nicht vernachlässigen. Und dafür braucht es nicht zwangsläufig ein großes Budget. Denn tatsächlich lässt sich ein verbesserter Datenschutz schon mit kleinen, proaktiven Maßnahmen umsetzen. Zu diesen gehört etwa darauf zu achten, dass die Antivirensoftware und andere Sicherheitsanwendungen auf dem neuesten Stand sind. Aber auch das Nutzen von starken Authentifizierungsmechanismen wie der Zwei-Faktoren-Authentifizierung, die eine Art zweites Sicherheitsnetz spannt und Konten somit besser vor Hackerangriffen schützt, verringert die mögliche Angriffsfläche.