Homeoffice: Neue Arbeitswelt bringt neue Cyber-Risiken

Die Corona-Pandemie war und ist mit vielen Einschränkungen und Belastungen verbunden. Paradoxerweise hat sie aber in einem Punkt für mehr Flexibilität gesorgt: die Etablierung des mobilen Arbeitens, sei es im Homeoffice oder von unterwegs. Für viele Unternehmen wurde es notwendig, ihren Angestellten mobile Arbeitsweisen zu ermöglichen. Daraus ergeben sich aber auch neue Cybercrime-Risiken. Denn: Viele Betriebe sind digital nicht sicher genug aufgestellt.

Im Laufe der Pandemie lernten die Arbeitnehmer*innen das mobile Arbeiten schnell schätzen. Bereits Anfang Mai 2020 gaben in einer Umfrage über 80 Prozent der Befragten an, im Homeoffice zufrieden zu sein.[1] Die Gründe sind vielfältig. Manche geben die gesteigerte Konzentrationsfähigkeit und Effizienz an, andere sind froh, dass ihnen der stressige Arbeitsweg erspart bleibt. Diese positiven Erfahrungen sind der Grund, warum zukünftig noch mehr mobil gearbeitet wird, folgern Studien. Rund die Hälfte aller während der Pandemie im Homeoffice Arbeitenden wünschen sich diese Arbeitsform langfristig.[2] Für Unternehmen entwickelt es sich deshalb im Recruiting immer mehr zum Standard, mobiles Arbeiten anzubieten, wenn man für Bewerber*innen attraktiv bleiben möchte.

Problem: neue Cyber-Risiken, alte Schutzsysteme

Ist Homeoffice also ein unumgänglicher Erfolgsfaktor auf dem Arbeitsmarkt? Ja, jedoch nur unter den richtigen Voraussetzungen. Problematisch ist unter anderem der Aspekt IT-Sicherheit. Arbeitnehmer*innen, die zuhause häufig weniger sichere Verbindungen als im Büro nutzen, sind in der Regel erster Angriffspunkt für Cyberkriminelle. Für das Jahr 2020 hieß das: 52,5 Milliarden Euro Schäden durch Cyber-Attacken im Homeoffice. Die Problematik macht sich dabei in der Breite bemerkbar. 59 Prozent der Firmen, die ihren Angestellten mobiles Arbeiten anboten, waren betroffen.[3] Unternehmen müssen nachrüsten und sich mit sicheren und anwenderfreundlichen IT-Lösungen wappnen. Dabei ist stets darauf zu achten, dass ein modernes IT-Sicherheitskonzept immer mit einer guten Usability einhergehen muss. Denn auch die sicherste Umgebung wird dann zum Problem, wenn Mitarbeitende mangels Nutzerfreundlichkeit auf andere Kommunikationswege zurückgreifen, wie beispielsweise private Emails oder Messenger-Dienste.

Sichere und moderne Arbeitsplätze ganzheitlich denken

Eine gute IT-Sicherheit startet immer mit einem modernen und auf die heutigen Anforderungen angepassten Arbeitsplatzkonzept. Moderne Arbeitsplatzdesigns sollten dabei stets mit einem zugehörigen und adäquaten Sicherheitskonzept geplant und umgesetzt werden. Der pandemiebedingte, schnelle Wechsel ins Homeoffice hat jedoch dazu geführt, dass viele Unternehmen kurzfristig Möglichkeiten schaffen mussten, zeit- und ortsunabhängiges Arbeiten zu ermöglichen. Dabei wurde der Faktor IT-Sicherheit in vielen Fällen vernachlässigt. Hier besteht dringender Handlungsbedarf, denn für eine hybride, moderne Arbeitswelt reichen veraltet IT-Sicherheitskonzepte, die lediglich Basisschutzmaßnahmen erfüllen (wie Virenscanner und Firewall), längst nicht mehr aus.

IT-Sicherheit und Usability im Einklang

Die Erhöhung von IT-Sicherheitsvorkehrungen heißt aber nicht, dass diese die Effizienz und Usability von Anwender*innen einschränkt. Ganz im Gegenteil: Moderne Sicherheitskonzepte müssen Hand in Hand mit Usability gehen. Denn die besten Sicherheitsmaßnahmen sind solche, die von User*innen so wenig wie möglich wahrgenommen werden, aber dann greifen, wenn es nötig ist.

Es reicht nicht aus, alte Sicherheitskonzepte auf neue Cloud-Technologien anzuwenden. Eine empfehlenswerte Herangehensweise ist es daher, verschiedene Technologien und Ansätze miteinander zu kombinieren, um den Sicherheitsanforderungen der hybriden Arbeitswelt gerecht zu werden. Allen voran steht dabei der Zero-Trust-Ansatz, kombiniert mit sogenannter Advanced Threat Protection-Technologie. Dabei handelt es sich um ein Sicherheits-Modell, das auf dem Grundsatz basiert, keinem Gerät, Nutzer*in oder Dienst zu vertrauen und alle Zugriffe von User*innen auf Unternehmensdaten zu regeln.

Der Zero-Trust-Ansatz

Nach dem Zero-Trust-Ansatz wird jedes Endgerät als potenziell unsicher angesehen. Die Endgeräte werden daher aus dem Unternehmensnetzwerk herausgelöst, der direkte Zugriff auf das Netzwerk entzogen und die Geräte auf diese Weise „managebar“ gemacht. Daten und Apps können über ein modernes Endgerätemanagement zentral verwaltet werden. Der Vorteil: eine deutliche Erhöhung der Sicherheit ohne Einschränkung der Usability. Der bzw. die Nutzer*in bekommt davon nämlich kaum etwas mit und bewegt sich ansonsten frei, mit Single-Sign-On, und wie gewohnt in seinen Anwendungen.

Auf Basis des sogenannten „least priviliged principals“ werden den User*innen zudem nur die für sie nötigen Zugriffsrechte erteilt und jeder Systemzugriff wird durch ein mehrstufiges Verfahren geprüft. Dazu gehören Technologien wie Conditional Access, Device Trust und die Multifaktor-Authentifizierung. Hierzu wird im Hintergrund geprüft, ob das System Parameter identifiziert, die es verlangen, eine weitere Authentifizierung zu erfragen. Das passiert beispielsweise bei einem Zugriff eines unbekannten Gerätes. Auch können Zugriffe gänzlich verweigert werden. Diese Policy greift zum Beispiel dann, wenn eine Anfrage auf das System, aufgrund eines schnellen Standortwechsels nicht plausibel ist. Wird ein Gerät dennoch durch Cyberkriminelle angegriffen und kompromittiert, bietet es keinen weiteren Zugang zum Firmennetzwerk. Der Schaden wäre also lokal und damit für das Unternehmen minimiert und nachvollziehbar.

Grenzen des Zero-Trust-Ansatzes

Auch das beste Modell kann in der Praxis an seine Grenzen stoßen. Beim Zero-Trust-Ansatz stecken diese Grenzen in einer gewachsenen IT-Landschaft und Legacy Anwendungen, die eine Umsetzung des Konzepts vielfach schwierig machen. Als eine verbreitete Lösung in solchen Fällen findet sich in vielen Unternehmen die VPN-Verbindung in das Unternehmensnetzwerk wieder. VPN-Tunnel waren jedoch historisch nie für eine solche Nutzung, wie sie in den letzten zwei Jahren erforderlich wurde, ausgerichtet. Das führt dazu, dass User*innen nicht nur mit Stabilitätsproblemen kämpfen müssen, auch ist eine Skalierung herausfordernd. Aus IT-Security-Sicht birgt diese Technologie zudem eine ganze Bandbreite an Gefahren. Denn die direkte Verbindung in das Firmennetzwerk öffnet Angreifern Tür und Tor, sich in den Systemen ungestört auszubreiten, sobald sie einmal den Weg in das Netzwerk gefunden haben.

Wettbewerbsfähig bleiben dank der richtigen Strategie

Unterm Strich steht: Unternehmen müssen der wachsenden Forderung von Arbeitnehmer*innen nach flexiblen Modellen sicher und nachhaltig gerecht werden. Um das zu gewährleisten und wettbewerbsfähig zu bleiben, wird die Nutzung von Cloud-Technologien in Unternehmen auch in Zukunft weiter steigen. Es ist daher unumgänglich, Sicherheitsrisiken, die diese neuen Arbeitsmodelle mit sich bringen, aktiv zu adressieren und IT-Strukturen und IT-Security-Konzepte darauf anzupassen. Das gilt für Betriebe jeder Größenordnung. Dass kleine Firmen weniger zu verbergen haben, ist ein Trugschluss. Dieser Entwicklung müssen sich Betriebe auf dem freien Markt stellen, wenn sie wettbewerbsfähig bleiben wollen.

[1]Studie des Fraunhofer-Instituts: https://www.fit.fraunhofer.de/de/presse/20-07-07_fraunhofer-umfrage-homeoffice-ist-digitales-arbeiten-unsere-zukunft.html

[2] Studie des Instituts der deutschen Wirtschaft (Nr. 1): https://www.iwkoeln.de/studien/christiane-flueter-hoffmann-oliver-stettes-homeoffice-nach-fast-zwei-jahren-pandemie.html

[3] Studie des Instituts der deutschen Wirtschaft (Nr. 2): https://www.iwkoeln.de/studien/barbara-engels-525-mrd-euro-schaden-durch-angriffe-im-homeoffice-518890.html