Remote Work Informationssicherheit

Risikofaktor Remote-Mitarbeiter – Unternehmenssicherheit in Zeiten von Homeoffice und Fernarbeit

Die Fernarbeit hat während der Corona Pandemie einen Aufschwung erfahren – bei dem die IT-Sicherheit nicht immer mitwachsen konnte. Auch nach über einem Jahr Erfahrung mit Arbeitsmodellen wie Homeoffice, mobilem Arbeiten und hybriden Modellen sehen sich viele Unternehmen vor der Herausforderung, sich trotz dieser Öffnung der Systeme und Datenübertragungen ausreichend vor Cyberangriffen zu schützen. 



Was bedeutet Remote Work?

Remote Work, Homeoffice, Fernarbeit, mobiles oder ortsunabhängiges Arbeiten – es gibt viele verschiedene Begriffe, die im Grunde alle ähnliche Arbeitsmodelle beschreiben. Der Kern von Remote Work bedeutet, dass Mitarbeiter ihre Aufgaben nicht im Büro erledigen, sondern ihre Arbeit von einem beliebigen Ort aus erbringen können. Beim Homeoffice ist dieser auf den Wohnort des Mitarbeiters festgelegt. Der Begriff Remote Work hingegen ist noch übergreifender gefasst und beinhaltet jegliche Arbeitsorte, das heißt Arbeitnehmer können ihre Aufgaben auch aus anderen Ländern, auf Reisen oder unterwegs erledigen.

Die Kommunikation mit Vorgesetzten, Kollegen und Kunden findet dabei über E-Mail, Videokonferenzen, Telefon oder digitale Plattformen statt. Der Datenaustausch wird über Cloud-Dienste, Datenverbindungen oder auch per E-Mail ermöglicht. Insbesondere für die IT- und Informationssicherheit bringen diese vielen hybriden Datenströme einige Herausforderungen mit sich.



Vor- und Nachteile von Remote Work

Prinzipiell ist Remote Work nicht für jede Stelle und jeden Bereich überhaupt umsetzbar. Für die meisten Arbeiten, die mit einem Computer und einer Internetverbindung erledigt werden können – und das ist heutzutage die Mehrheit – ist Remote Work allerdings eine Option, die sowohl Vor- als auch Nachteile mit sich bringt.


Für Arbeitnehmer

Vorteile

  1. Work-Life-Balance und Vereinbarkeit: Remote Work macht es leichter, Arbeit, Familie und Hobbies miteinander zu vereinen und zu managen. Die Zeiten vor und nach der Arbeit sowie in der Mittagspause können flexibel genutzt und gestaltet werden.
  2. Mehr Freiheit und Flexibilität: Bei vollständigem Remote Work ist die Wahl des Wohnortes nicht mehr abhängig vom Arbeitsort. Aber auch wenn eine räumliche Nähe bleibt: Die Arbeitszeitmodelle können an den Alltag angepasst werden und ermöglichen eine Zeiteinteilung, die individuelle Bedürfnisse berücksichtigt.
  3. Kürzere bzw. keine Arbeitswege: Die Arbeitswege sind für viele Pendler mit einigem Zeitaufwand verbunden und werden aufgrund von Verspätungen und Staus zu Stressfaktoren – die durch flexibles Remote Work wegfallen.


Nachteile

  1. Isolation: Fehlender persönlicher Kontakt zu Kollegen und Vorgesetzten schafft eine soziale Distanz. Das wirkt sich auf Dauer auch auf die Zusammenarbeit aus, weil es schwieriger wird, sich gegenseitig einzuschätzen, wenn die zwischenmenschlichen Kontakte auf kurze Textnachrichten oder feste digitale Meetings begrenzt sind.
  2. Disziplin und Zeitmanagement: Im Homeoffice werden Eigenverantwortung, Selbstdisziplin und das eigene Zeitmanagement viel relevanter. Zudem eignet sich nicht jedes Zuhause gleich gut als Homeoffice – fehlender Arbeitsplatz oder räumliche Trennung erschweren einen geregelten Arbeitsalltag. Bei aller Flexibilität im Homeoffice strukturiert den Arbeitsalltag zu organisieren, ist für viele eine Herausforderung.


Für Unternehmen

Vorteile

  1. Kostenersparnis durch Dezentralisierung: Wenn Unternehmen dauerhaft mit Homeoffice bzw. Remote Work planen, reduzieren sich folglich die Kosten, die mit der Infrastruktur eines oder mehrerer Büros zusammenhängen.
  2. Reduzierung von Standort-Nachteilen: Durch die Ortsunabhängigkeit wird die Gruppe der potenziellen Arbeitnehmer sowie Kunden signifikant erhöht. Insbesondere kleine und mittelständische Unternehmen außerhalb der Ballungsgebiete profitieren davon, wenn der Standort an Relevanz verliert.
  3. Erhöhung der Attraktivität als Arbeitgeber: Für viele Mitarbeiter ist Remote Work gleichbedeutend mit einer großen Flexibilität in der eigenen Lebensgestaltung. Deshalb ist zumindest die Option für Homeoffice oder Remote Work ein Aspekt, der die Attraktivität als Arbeitgeber erhöht.


Nachteile

  1. Datenschutz: Als Unternehmen kann nicht mit hundertprozentiger Sicherheit ausgeschlossen werden, dass beim Remote Work Dritte Zugang zu Geräten und Plattformen haben. Deshalb ist Datenschutz bei Fernarbeit ein wichtiges Thema, das mit der entsprechenden Gewichtung im gesamten Unternehmen etabliert werden sollte.
  2. IT-Sicherheit: Ebenso sind einige Aspekte der IT-Sicherheit beim Remote Work im wahrsten Sinne des Wortes außer Reichweite des Unternehmens. Remote Work stellt einige spezielle Anforderungen an die IT-Sicherheit – vom Umgang mit privaten Geräten über die Sicherung von Datenverbindungen bis hin zu Authentifizierungen, Passwort-Guidelines und Informationsschutz.



Das Jahr 2020 als Wendepunkt im Remote Work

Zu Beginn der Pandemie im März 2020 ergab eine Befragung des Branchenverbands Bitkom, dass fast 50 Prozent der Beschäftigten ganz oder teilweise im Homeoffice arbeiteten – viele davon zum ersten Mal. Inzwischen hat sich das Homeoffice vielerorts etabliert und einige Unternehmen wollen je nach Stellen und Bereiche dauerhaft auf Homeoffice oder eine Kombination aus Büro und Homeoffice setzen, um die Vorteile beider Arbeitsmodelle zu vereinen. Dies nennt sich dann „Hybrid Work“.

Allerdings warnen Experten nach wie vor vor dem erhöhten Risiko für Cyberangriffe und viele Unternehmen sehen sich selbst noch nicht ausreichend geschützt. Das hängt damit zusammen, dass das Modell „Homeoffice“ in den meisten Unternehmen Anfang 2020 mit größter Dringlichkeit umgesetzt wurde. Quasi von einem Tag auf den anderen wurden Mitarbeiter ins Homeoffice versetzt.

Damit die Arbeit weiterlaufen konnte, erhielten sie über Firmenlaptops oder private Geräte Zugriffsmöglichkeiten auf notwendige Daten und Programme. Um eine reibungslose Kommunikation zu gewährleisten, wurden kurzfristig Videokonferenz- und andere Kommunikationstools implementiert. Dadurch entstand in vielen Unternehmen innerhalb kürzester Zeit zwar eine große Flexibilität, aber zugleich stiegen durch diese komplexe Hard- und Softwarelandschaft die Angriffspunkte für Cyberkriminalität immens an.



Herausforderungen für die IT- und Informationssicherheit bei Remote Work

Wenn die Mitarbeiter im Büro sind, besteht die Hauptaufgabe der IT- und Informationssicherheit darin, die Systeme vor externen Angriffen zu schützen und abzuschirmen. Bei Remote Work wandelt sich dieser Kern-Aufgabenbereich und das Unternehmen muss auch außerhalb der eigenen Geschäftsräume für Datensicherheit sorgen und entsprechende technische und organisatorische Maßnahmen umsetzen. Diese betreffen vor allem folgende drei Bereiche:


1. Datenschutz gewährleisten

Wie bereits erwähnt, ist der Datenschutz eine der Haupt-Herausforderungen für die Sicherheit bei Remote Work. Durch die Dezentralisierung droht häufig ein Verlust der Übersicht über die Wege und Systeme in denen Daten weitergegeben werden. Ohne konkrete Vorgaben und Prozesse werden Daten und Informationen über verschiedenste Kommunikationswege ausgetauscht, die nicht immer geschützt oder verschlüsselt sind, und werden somit angreifbar für den Zugriff unbefugter Dritter. Darüber hinaus müssen niicht nur die digitalen Datenströme abgesichert werden, ebenso braucht es Vorgaben, um den Zugang unbefugter Dritter zu Geräten, Plattformen oder analogen Daten im Homeoffice zu verhindern.


2. Externe Zugriffe absichern

Je nach Aufgabenbereich muss Mitarbeitern ein Fernzugriff auf Anwendungen oder Dateien ermöglicht werden. Dabei ist zunächst einmal die Netzwerkverbindung an sich zu schützen, zum Beispiel mit einem VPN (Virtual Private Network). Ebenso ist eine Authentifizierung und Individualisierung des Zugriffs sinnvoll, damit die richtigen Mitarbeiter Zugriff auf die richtigen Systeme erhalten. Nicht zuletzt sind dabei die Geräte zu berücksichtigen, von denen auf Firmendaten zugegriffen wird. Ein Mobile Device Management und eine passende Endpoint Security sorgen für die nötigen Prozesse zur Sicherung der externen Zugriffe.


3. Cloud Security etablieren

Für ortsunabhängiges Arbeiten wird außerdem verstärkt auf Cloudsysteme gesetzt. Diese sind zwar sehr gut für das dezentrale Arbeiten geeignet, müssen jedoch ebenfalls entsprechend abgesichert werden. In unserem Beitrag „Cloud Security: Was bei der Nutzung von Cloud-Computing zu beachten ist“ haben wir diese Thematik bereits ausführlich behandelt.



Zentrale Aufgaben zur Absicherung von Remote Work für Unternehmen

In der aktuellen Lage gilt es nach wie vor, kurzfristig getroffene Maßnahmen langfristig auf sichere Füße stellen. Das bedeutet zum einen, die entsprechenden technischen und organisatorischen Maßnahmen für die IT- und Informationssicherheit zu treffen und an den richtigen Stellen zu implementieren. Dabei handelt es sich um Maßnahmen und Prozesse wie VPN, Authentifizierung, Mobile Device Management, Cloud Security, Passwort-Richtlinien, regelmäßige Updates etc.

Zusätzlich zu den konkreten Maßnahmen gibt es ein weiteres zentrales Element in der Unternehmenssicherheit: ganzheitliche Sensibilisierung und Awareness. Das bedeutet auf der einen Seite, dass Führungskräfte das Thema „Top-Down“ leben müssen und die Relevanz und Aktualität von Sicherheitsmaßnahmen im eigenen Unternehmen zu kommunizieren und zu fördern. Dazu gehört zum Beispiel auch, in die Cybersicherheit zu investieren – sei es in Produkte, Systeme, Personal oder Weiterbildung.

Auf der anderen Seite spielen natürlich die Remote Mitarbeiter selbst eine essenzielle Rolle bei der Umsetzung. Nur wenn sie die Sicherheitsbestimmungen verstehen und im Arbeitsalltag anwenden und generell bei der Thematik aufmerksam sind, kann eine ganzheitliche Unternehmenssicherheit funktionieren. Deshalb zählen die Mitarbeiter zu einem der wichtigsten Mittel im Kampf gegen die Cyberkriminalität und können zum Beispiel durch Awareness-Schulungen entsprechend sensibilisiert werden.




geschrieben von
Annika Brockhaus, für die isits AG International School of IT Security