Zum Inhalt springen Eine Initiative von:

Übersicht: CSR Allgemein

CSR-Grundlagen

Übersicht: CSR-Grundlagen

Nachhaltigkeit und CSR

Internationale Rahmenwerke

Historie

Globale Herausforderungen

CSR-Politik

Übersicht: CSR-Politik

CSR in Deutschland

Übersicht: CSR in Deutschland

CSR-Politik in Deutschland

CSR-Strategie der Bundesregierung

Nationales CSR-Forum

Aktivitäten der Bundesregierung

CSR in der EU

Übersicht: CSR in der EU

EU Green Deal

Corporate Sustainability Reporting Directive (CSRD)

CSR in der Welt

CSR in der Praxis

Übersicht: CSR in der Praxis

CSR-Management

Übersicht: CSR-Management

CSR als Querschnittsaufgabe

Ziele und Zielerreichung

Prozesse

Stakeholderdialoge

Tipps für Einsteiger

Unternehmensbereiche

Übersicht: Unternehmensbereiche

Management und Governance

Personal

Umweltmanagement

Beschaffung und Lieferketten

Logistik und Mobilität

IT und Datenverarbeitung

Forschung und Entwicklung

Kommunikation

Branchen

Übersicht: Branchen

Branchen-Initiativen

Agrar- und Ernährungswirtschaft

Automobilindustrie

Bausektor und Baustoffindustrie

Elektrotechnik und Elektronikindustrie

Energiewirtschaft

Grundstoff-Industrie

Maschinen- und Anlagenbau

Pharmazeutische Industrie

Sport

Textil- und Bekleidungsindustrie

Tourismus

CSR-Berichterstattung

Übersicht: CSR-Berichterstattung

Einstieg

Standards

Zertifikate und Siegel

Kriterien guter Berichterstattung

CSR-Impulse von Unternehmen

Übersicht: CSR-Impulse von Unternehmen

Kleinere Unternehmen

Mittlere Unternehmen

Große Unternehmen

Digitalisierung

Klimaschutz

Corporate Digital Responsibility

Übersicht: Corporate Digital Responsibility

CDR-Impuls aus der Wissenschaft

Datenschutz

CSR und COVID-19

Unterstützungsangebote

Übersicht: CSR-Preis

CSR-Netzwerktreffen 2021

Übersicht: CSR-Netzwerktreffen 2021

Programmpunkte und Mitschnitte

Bildergalerie zum CSR-Netzwerktreffen 2021

Redner*innen der Konferenz

Informationen zu den Praxis-Workshops

Teilnahmebedingungen

CSR-Preis 2020

Übersicht: CSR-Preis 2020

Die Preisträger*innen

Die Nominierten

Die Stakeholder

Gesamtauswertung

Ablauf und Termine

Über den Wettbewerb

Übersicht: Über den Wettbewerb

Ziele

Methodik

Übersicht: Methodik

Analyse

Aktionsfelder

Auswertung

Jury

Kategorien

FAQ und Teilnahmebedingungen

Rückblick

Übersicht: Rückblick

Netzwerktreffen 2018

CSR-Trends

CSR-Preis 2017

CSR-Preis 2014

CSR-Preis 2013

CSR-Self-Check

Übersicht:  Wirtschaft & Menschenrechte

NAP

Übersicht: NAP

Über den NAP

Übersicht: Über den NAP

Ziele des NAP

Entwicklung des NAP

Die vier Handlungsfelder des NAP

Originalfassung des NAP

Monitoring

Fragen und Antworten zum NAP

VN-Leitprinzipien

NAP International

Engagement Bundesregierung

Übersicht: Engagement Bundesregierung

Staatliche Schutzpflicht

Aktivitäten der Bundesregierung

Kooperation mit Stakeholdern

Unternehmerische Sorgfaltspflicht

Übersicht: Unternehmerische Sorgfaltspflicht

Erwartungen der Bundesregierung

Fünf Kernelemente der Sorgfaltspflicht

Mehrwert für Unternehmen

Kleine und mittlere Unternehmen (KMU) und der NAP

Zugang zu Abhilfe und Wiedergutmachung

Lieferkettengesetz

Übersicht: Lieferkettengesetz

Hintergrund und Entwicklung

Umsetzung durch Unternehmen

Fragen und Antworten zum Lieferkettengesetz

Redaktionspaket für Multiplikator*innen

Lieferkettengesetz: These trifft Praxis

Europa

Übersicht: Europa

Gesetzesinitiative in der EU

EU-Verordnung Konfliktmineralien

EU-Holzhandelsverordnung

Internationales

Übersicht: Internationales

G7-Präsidentschaft 2015

G20-Präsidentschaft 2017

Alliance 8.7

G7-Präsidentschaft 2022

Umsetzungshilfen

Übersicht: Umsetzungshilfen

Multi-Stakeholder-Initiativen

Branchendialoge

Übersicht: Branchendialoge

Automobilindustrie

Energiewirtschaft

Über die Dialoge

Erarbeitungsprozess

Rolle der Bundesregierung

Praxisbeispiele

Übersicht: Praxisbeispiele

adidas AG

Alnatura GmbH

BMW Group

Dibella GmbH

elobau GmbH

Frosta AG

GEPA – The Fair Trade Company

Haas & Co. Magnettechnik

hessnatur

Mercedes-Benz Group AG

MVG Medienproduktion und Vertriebsgesellschaft

Porsche AG

Rapunzel

REWE Group

Studiosus

Tchibo

Thomas Becker – Atelier für Schmuck

Information, Beratung, Schulung und Vernetzung

Übersicht: Information, Beratung, Schulung und Vernetzung

Information und Beratung

Netzwerkbildung und Schulungen

Leitfäden

Übersicht: Leitfäden

Allgemeine Leitfäden

Branchenspezifische Leitfäden

Eine Initiative von: CSR Allgemein

Übersicht: CSR Allgemein

CSR-Grundlagen

Übersicht: CSR-Grundlagen

Nachhaltigkeit und CSR

Internationale Rahmenwerke

Historie

Globale Herausforderungen

CSR-Politik

Übersicht: CSR-Politik

CSR in Deutschland

Übersicht: CSR in Deutschland

CSR-Politik in Deutschland

CSR-Strategie der Bundesregierung

Nationales CSR-Forum

Aktivitäten der Bundesregierung

CSR in der EU

Übersicht: CSR in der EU

EU Green Deal

Corporate Sustainability Reporting Directive (CSRD)

CSR in der Welt

CSR in der Praxis

Übersicht: CSR in der Praxis

CSR-Management

Übersicht: CSR-Management

CSR als Querschnittsaufgabe

Ziele und Zielerreichung

Prozesse

Stakeholderdialoge

Tipps für Einsteiger

Unternehmensbereiche

Übersicht: Unternehmensbereiche

Management und Governance

Personal

Umweltmanagement

Beschaffung und Lieferketten

Logistik und Mobilität

IT und Datenverarbeitung

Forschung und Entwicklung

Kommunikation

Branchen

Übersicht: Branchen

Branchen-Initiativen

Agrar- und Ernährungswirtschaft

Automobilindustrie

Bausektor und Baustoffindustrie

Elektrotechnik und Elektronikindustrie

Energiewirtschaft

Grundstoff-Industrie

Maschinen- und Anlagenbau

Pharmazeutische Industrie

Sport

Textil- und Bekleidungsindustrie

Tourismus

CSR-Berichterstattung

Übersicht: CSR-Berichterstattung

Einstieg

Standards

Zertifikate und Siegel

Kriterien guter Berichterstattung

CSR-Impulse von Unternehmen

Übersicht: CSR-Impulse von Unternehmen

Kleinere Unternehmen

Mittlere Unternehmen

Große Unternehmen

Digitalisierung

Klimaschutz

Corporate Digital Responsibility

Übersicht: Corporate Digital Responsibility

CDR-Impuls aus der Wissenschaft

Datenschutz

CSR und COVID-19

Unterstützungsangebote

CSR-Preis

Übersicht: CSR-Preis

CSR-Netzwerktreffen 2021

Übersicht: CSR-Netzwerktreffen 2021

Programmpunkte und Mitschnitte

Bildergalerie zum CSR-Netzwerktreffen 2021

Redner*innen der Konferenz

Informationen zu den Praxis-Workshops

Teilnahmebedingungen

CSR-Preis 2020

Übersicht: CSR-Preis 2020

Die Preisträger*innen

Die Nominierten

Die Stakeholder

Gesamtauswertung

Ablauf und Termine

Über den Wettbewerb

Übersicht: Über den Wettbewerb

Ziele

Methodik

Übersicht: Methodik

Analyse

Aktionsfelder

Auswertung

Jury

Kategorien

FAQ und Teilnahmebedingungen

Rückblick

Übersicht: Rückblick

Netzwerktreffen 2018

CSR-Trends

CSR-Preis 2017

CSR-Preis 2014

CSR-Preis 2013

CSR-Self-Check

Wirtschaft & Menschenrechte

Übersicht:  Wirtschaft & Menschenrechte

NAP

Übersicht: NAP

Über den NAP

Übersicht: Über den NAP

Ziele des NAP

Entwicklung des NAP

Die vier Handlungsfelder des NAP

Originalfassung des NAP

Monitoring

Fragen und Antworten zum NAP

VN-Leitprinzipien

NAP International

Engagement Bundesregierung

Übersicht: Engagement Bundesregierung

Staatliche Schutzpflicht

Aktivitäten der Bundesregierung

Kooperation mit Stakeholdern

Unternehmerische Sorgfaltspflicht

Übersicht: Unternehmerische Sorgfaltspflicht

Erwartungen der Bundesregierung

Fünf Kernelemente der Sorgfaltspflicht

Mehrwert für Unternehmen

Kleine und mittlere Unternehmen (KMU) und der NAP

Zugang zu Abhilfe und Wiedergutmachung

Lieferkettengesetz

Übersicht: Lieferkettengesetz

Hintergrund und Entwicklung

Umsetzung durch Unternehmen

Fragen und Antworten zum Lieferkettengesetz

Redaktionspaket für Multiplikator*innen

Lieferkettengesetz: These trifft Praxis

Europa

Übersicht: Europa

Gesetzesinitiative in der EU

EU-Verordnung Konfliktmineralien

EU-Holzhandelsverordnung

Internationales

Übersicht: Internationales

G7-Präsidentschaft 2015

G20-Präsidentschaft 2017

Alliance 8.7

G7-Präsidentschaft 2022

Umsetzungshilfen

Übersicht: Umsetzungshilfen

Multi-Stakeholder-Initiativen

Branchendialoge

Übersicht: Branchendialoge

Automobilindustrie

Energiewirtschaft

Über die Dialoge

Erarbeitungsprozess

Rolle der Bundesregierung

Praxisbeispiele

Übersicht: Praxisbeispiele

adidas AG

Alnatura GmbH

BMW Group

Dibella GmbH

elobau GmbH

Frosta AG

GEPA – The Fair Trade Company

Haas & Co. Magnettechnik

hessnatur

Mercedes-Benz Group AG

MVG Medienproduktion und Vertriebsgesellschaft

Porsche AG

Rapunzel

REWE Group

Studiosus

Tchibo

Thomas Becker – Atelier für Schmuck

Information, Beratung, Schulung und Vernetzung

Übersicht: Information, Beratung, Schulung und Vernetzung

Information und Beratung

Netzwerkbildung und Schulungen

Leitfäden

Übersicht: Leitfäden

Allgemeine Leitfäden

Branchenspezifische Leitfäden

CSR-Grundlagen

Wie können Unternehmen die IT-Sicherheit im Mobile Office stärken?

Studien belegen: Nach der Pandemie möchten viele Beschäftigte ihren Arbeitsort flexibel gestalten. Mit diesen zwölf Tipps können Unternehmen auch bei hybriden Arbeitsmodellen Datenschutz und IT-Sicherheit gewährleisten.

Auch für die mobile Arbeit von zu Hause aus benötigt es eine sichere IT-Infrastruktur.

Durch die Corona-Pandemie haben sich viele Beschäftigte an das Arbeiten von zu Hause gewöhnt. So sehr, dass sie laut Umfragen auch in Zukunft nicht mehr täglich im Büro arbeiten wollen. Und auch in Führungsetagen findet derzeit ein Umdenken statt: viele Unternehmen haben bereits kommuniziert, dass sie auch nach Corona nicht zu einer durchgehenden Präsenzpflicht zurückkehren werden.

Damit hybrides Arbeiten dauerhaft gut gelingen kann, brauchen Beschäftigte auch vom heimischen Schreibtisch oder von unterwegs Zugang zu einer sicheren IT-Infrastruktur. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat im Herbst 2020 untersucht, wie Unternehmen personensensible Daten von Mitarbeiter*innen, Kund*innen und Stakeholdern im Home-Office schützen und welche Maßnahmen getroffen wurden, um dem Missbrauch von IT-Funktionen entgegenzuwirken. Das Ergebnis: Viele Unternehmen – vor allem kleine und Kleinstunternehmen – haben massiven Aufholbedarf. Doch auch große Unternehmen täten gut daran, zwischen 15 und 20 Prozent ihrer IT-Ausgaben in Cyber-Sicherheit zu investieren. In Anlehnung an die Studie finden Sie im Folgenden zwölf organisatorische und technische Tipps für mehr IT-Sicherheit bei mobilen Arbeitsmodellen.

Organisatorische Maßnahmen

IT-Sicherheit ist immer auch Teil der Unternehmenskultur. Welchen Stellenwert das Thema für die Beschäftigten hat, kann die Unternehmensführung durch Management-Entscheidungen und Kommunikation über das Thema aktiv beeinflussen. So lässt sich das Thema besser in den Köpfen verankern:

  • Investieren Sie in eine IT-Strategie: Das BSI rät Unternehmen, eine umfassende IT-Strategie zu verabschieden. Typischerweise gibt eine IT-Strategie Auskunft über die langfristige Entwicklung der IT-Infrastruktur und definiert klare Richtungsvorgaben. Durch die Einrichtung eines zertifizierten Managementsystems für Informationssicherheit (ISMS) können Unternehmen außerdem belegen, dass die umgesetzten Maßnahmen international anerkannten Standards entsprechen, und so Vertrauen bei Kund*innen und Partner*innen schaffen.
  • Benennen Sie eine*n Informationssicherheitsbeauftragte*n und bauen Sie, wenn möglich, eine eigene IT-Abteilung auf: Um den wachsenden Anforderungen im Bereich Datenschutz und IT-Sicherheit gerecht zu werden, braucht es fachkundiges Personal und klar definierte Zuständigkeiten. Je nach Unternehmensgröße empfiehlt es sich, eine*n Informationssicherheitsbeauftragte*n zu berufen und nach Möglichkeit sogar eine eigene IT-Abteilung einzurichten. Sollte Ihr Unternehmen die Herausforderungen nicht selbstständig lösen können, empfiehlt das BSI, auf externe Informationssicherheitsdienstleister zurückzugreifen.
  • Machen Sie Cyber-Sicherheit zur Chef*innensache: Nicht nur in der IT-Abteilung (oder bei der*dem IT-Beauftragte*n bei KMU), auch bei der Geschäftsführung sollte ein Grundverständnis für die Chancen und Risiken im Bereich IT-Sicherheit vorliegen. Nur so können Chef*innen informierte IT-Strategien verabschieden, entsprechende Budgets bereitstellen oder mögliche Schäden durch Cyber-Vorfälle bewerten. Hilfreiche Basisinformationen haben die Allianz für Cyber-Sicherheit des BSI sowie der Versicherer AIG im Handbuch "Management von Cyber-Risiken" konsolidiert.
  • Sensibilisieren Sie Ihre Mitarbeiter*innen: Da alle Mitarbeiter*innen für den unrechtmäßigen Umgang mit (personenbezogenen) Daten potenziell haftbar sind, müssen die Beschäftigten auf mögliche Gefahren aufmerksam gemacht werden (Stichwort: Awareness). In regelmäßigen Schulungen kann die gesamte Belegschaft lernen, wie sich vertrauliche Informationen schützen lassen.
  • Sorgen Sie für ein ausreichendes IT-Notfallmanagement: Um in Notsituationen geschäftsfähig zu bleiben, müssen Unternehmen rechtzeitig Vorkehrungen treffen. Haben Sie wie oben beschrieben im Rahmen Ihrer Strategie frühzeitig eine*n Informationssicherheitsbeauftragte*n bestimmt, sind Sie im Notfall schneller handlungsfähig. Weitere Orientierung liefern Standards wie beispielsweise der BSI-Standard 100-4 sowie die DIN ISO 22301. Außerdem hilfreich: Üben Sie proaktiv für den Ernstfall eines Cyber-Angriffs, indem Sie beispielsweise einen eigens dafür aufgestellten Reaktionsplan durchspielen oder sich mit der IT-Notfallkarte vertraut machen. So können Sie am besten feststellen, ob Ihre Systeme funktionieren und wo Sie eventuell noch nachjustieren sollten. Laut BSI führen aktuell lediglich 24 Prozent der deutschen Unternehmen regelmäßig Notfallübungen durch.

Technische Maßnahmen

Neben organisatorischen gibt es konkrete technische Mittel, die zu einer besseren IT-Sicherheit im Home-Office beitragen:

  • Führen Sie regelmäßige Back-ups durch: Das BSI empfiehlt die regelmäßige Sicherung von Daten mithilfe einer Back-up-Software, damit Sie sie im Falle eines Datenverlusts einfach wieder auf Ihr Endgerät aufspielen können. Die Bundesbehörde unterscheidet dabei grundsätzlich zwischen der Volldatenspeicherung, der stufenweisen ("inkrementellen") sowie der differentiellen Datensicherung, die sich in Komplexität und Zeitaufwand unterscheiden.
  • Richten Sie ein Virtual Private Network (VPN) ein: Anders als beim Arbeiten im Büro wird die Verbindung zum Unternehmensserver bei der Telearbeit nicht durch ein Netzwerkkabel hergestellt, sondern über das Internet. Diese Art der Verbindung ist jedoch anfällig für Angriffe durch Cyber-Kriminelle und gilt somit als weniger sicher. Der Einsatz von VPN-Technologien (zu Deutsch: virtuelles privates Netzwerk) schafft Abhilfe, indem diese den Verschlüsselungsmechanismus des Netzwerkkabels simulieren und die Daten zwischen Arbeitnehmer*in (Client) und Unternehmen (Server) in einer Art Tunnel Ende-zu-Ende verschlüsseln.
  • Verschlüsseln Sie Datenträger: Für den hoffentlich niemals eintretenden Fall des Verlustes von Datenträgern und/oder eines Hackerangriffs empfiehlt das BSI, unternehmensbezogene Daten mittels der kostenlosen Verschlüsselungssoftware VeraCrypt zu schützen. So entstehen chiffrierte Daten, auf die Angreifer*innen ohne Kenntnis des Schlüssels nicht zugreifen können.
  • Führen Sie eine Mehr-Faktor-Authentifizierung (MFA) durch: Ein Passwort allein bietet bei mobiler Arbeit keinen ausreichenden Schutz. Deswegen gibt es die Mehr- oder Multi-Faktor-Authentifizierung – diese kombiniert mehrere Berechtigungsnachweise ("Faktoren"), um sich erfolgreich in einem System anzumelden. Während der erste Faktor in der Regel auf Wissen setzt, etwa durch das Abfragen eines Passworts oder einer Sicherheitsfrage, sollten die weiteren Faktoren beispielsweise das Einscannen des Fingerabdrucks oder der Iris erfordern oder das Senden eines Einmalkennworts an einen Token oder eine Authentifizierungs-App auslösen. Weiterer Sicherheitstipp des BSI: Nutzen Sie zwei verschiedene Geräte für Login und Authentifizierung.
  • Setzen Sie Mobile Device Management (MDM) um: Während PCs und Laptops in der Regel über vorinstallierten Malware-Schutz verfügen, sind mobile Endgeräte anfällig für Cyber-Angriffe. MDM (zu Deutsch: Mobilgerätverwaltung) erlaubt es Unternehmen, mobile Endgeräte aus der Ferne zu konfigurieren und zu verwalten. Das hilft dabei, sensible Daten und Anwendungen zu schützen. Trotz der vielschichtigen Vorteile setzen laut Angaben des BSI weniger als 40 Prozent der in Deutschland ansässigen Unternehmen diese Maßnahme um.
  • Achten Sie auf qualifizierte IT-Dienstleister und Cloud-Anbieter: Wichtig ist, dass Dienstleister ihre Daten gemäß EU-DSGVO verarbeiten. Das gilt vor allem bei Service-Providern außerhalb der EU. Dazu können diese sogenannte EU-Standardvertragsklauseln umsetzen oder eine behördliche Genehmigung vorlegen. Darüber hinaus sollte Ihr Unternehmen Unterstützung bei einem qualifizierten Dienstleister einkaufen, um seine IT-Systeme und -Infrastruktur informationssicher zu machen.
  • Halten Sie Ihre Programme auf dem neuesten Stand: Schwachstellen in Computerprogrammen und -anwendungen gelten als Einfallstor für Cyber-Angriffe. Wenn solche Sicherheitslücken bekannt werden, stellen die Hersteller für gewöhnlich Updates – auch bekannt als "Patches" – zur Verfügung, um diese zu schließen. Achten Sie darauf, diese Sicherheitsupdates so rasch wie möglich umzusetzen, und nutzen Sie die häufig angebotene automatische Aktualisierungsfunktion.

Die vollständige Studie "IT-Sicherheit im Home-Office im Jahr 2020" finden Sie auf der Website des Bundesamts für Sicherheit in der Informationstechnik.

CSR-Grundlagen