CSR-Grundlagen Übersicht: CSR-Grundlagen Nachhaltigkeit und CSR Internationale Rahmenwerke Historie Globale Herausforderungen CSR-Politik Übersicht: CSR-Politik CSR in Deutschland Übersicht: CSR in Deutschland CSR-Politik in Deutschland CSR-Strategie der Bundesregierung Nationales CSR-Forum Aktivitäten der Bundesregierung CSR in der EU Übersicht: CSR in der EU EU Green Deal Corporate Sustainability Reporting Directive (CSRD) CSR in der Welt CSR in der Praxis Übersicht: CSR in der Praxis CSR-Management Übersicht: CSR-Management CSR als Querschnittsaufgabe Ziele und Zielerreichung Prozesse Stakeholderdialoge Tipps für Einsteiger Unternehmensbereiche Übersicht: Unternehmensbereiche Management und Governance Personal Umweltmanagement Beschaffung und Lieferketten Logistik und Mobilität IT und Datenverarbeitung Forschung und Entwicklung Kommunikation Branchen Übersicht: Branchen Branchen-Initiativen Agrar- und Ernährungswirtschaft Automobilindustrie Bausektor und Baustoffindustrie Elektrotechnik und Elektronikindustrie Energiewirtschaft Grundstoff-Industrie Maschinen- und Anlagenbau Pharmazeutische Industrie Sport Textil- und Bekleidungsindustrie Tourismus CSR-Berichterstattung Übersicht: CSR-Berichterstattung Einstieg Standards Zertifikate und Siegel Kriterien guter Berichterstattung CSR-Impulse von Unternehmen Übersicht: CSR-Impulse von Unternehmen Kleinere Unternehmen Mittlere Unternehmen Große Unternehmen Digitalisierung Klimaschutz Corporate Digital Responsibility Übersicht: Corporate Digital Responsibility CDR-Impuls aus der Wissenschaft Datenschutz CSR und COVID-19 Unterstützungsangebote
CSR-Preis 2025 Rückblick Übersicht: Rückblick CSR-Netzwerktreffen 2021 Übersicht: CSR-Netzwerktreffen 2021 Programmpunkte und Mitschnitte Bildergalerie zum CSR-Netzwerktreffen 2021 Redner*innen der Konferenz Informationen zu den Praxis-Workshops Teilnahmebedingungen CSR-Preis 2020 Übersicht: CSR-Preis 2020 Die Preisträger*innen Die Nominierten Die Stakeholder Gesamtauswertung Ablauf und Termine Netzwerktreffen 2018 CSR-Trends CSR-Preis 2017 CSR-Preis 2014 CSR-Preis 2013 CSR-Self-Check
NAP Übersicht: NAP Über den NAP Übersicht: Über den NAP Ziele des NAP Entwicklung des NAP Die vier Handlungsfelder des NAP Originalfassung des NAP Monitoring Fragen und Antworten zum NAP VN-Leitprinzipien NAP International Engagement Bundesregierung Übersicht: Engagement Bundesregierung Staatliche Schutzpflicht Aktivitäten der Bundesregierung Kooperation mit Stakeholdern Unternehmerische Sorgfaltspflicht Übersicht: Unternehmerische Sorgfaltspflicht Erwartungen der Bundesregierung Fünf Kernelemente der Sorgfaltspflicht Mehrwert für Unternehmen Kleine und mittlere Unternehmen (KMU) und der NAP Zugang zu Abhilfe und Wiedergutmachung Lieferkettengesetz Übersicht: Lieferkettengesetz Hintergrund und Entwicklung Umsetzung durch Unternehmen Fragen und Antworten zum Lieferkettengesetz Redaktionspaket für Multiplikator*innen Lieferkettengesetz: These trifft Praxis Europa Übersicht: Europa Fußball-EM 2024: Heimspiel für Menschenrechte EU-Lieferkettengesetz EU-Verordnung Konfliktmineralien EU-Zwangsarbeitsverordnung EU-Holzhandelsverordnung Internationales Übersicht: Internationales G7-Präsidentschaft 2015 G20-Präsidentschaft 2017 Alliance 8.7 G7-Präsidentschaft 2022 Umsetzungshilfen Übersicht: Umsetzungshilfen Multi-Stakeholder-Initiativen Branchendialoge Übersicht: Branchendialoge Automobilindustrie Energiewirtschaft Über die Dialoge Erarbeitungsprozess Rolle der Bundesregierung Praxisbeispiele Übersicht: Praxisbeispiele adidas AG Alnatura GmbH BMW Group Dibella GmbH elobau GmbH Frosta AG GEPA – The Fair Trade Company Haas & Co. Magnettechnik hessnatur Mercedes-Benz Group AG MVG Medienproduktion und Vertriebsgesellschaft Porsche AG Rapunzel REWE Group Studiosus Tchibo Thomas Becker – Atelier für Schmuck Vattenfall Information, Beratung, Schulung und Vernetzung Übersicht: Information, Beratung, Schulung und Vernetzung Information und Beratung Netzwerkbildung und Schulungen Leitfäden Übersicht: Leitfäden Allgemeine Leitfäden Branchenspezifische Leitfäden
CSR Allgemein CSR-Grundlagen CSR-Politik CSR in Deutschland CSR in der EU CSR in der Praxis CSR-Management Unternehmensbereiche Branchen CSR-Berichterstattung CSR-Impulse von Unternehmen Corporate Digital Responsibility CSR-Preis Rückblick CSR-Netzwerktreffen 2021 CSR-Preis 2020 Wirtschaft & Menschenrechte NAP Über den NAP Engagement Bundesregierung Unternehmerische Sorgfaltspflicht Lieferkettengesetz Europa Internationales Umsetzungshilfen Branchendialoge Praxisbeispiele Information, Beratung, Schulung und Vernetzung Leitfäden
CSR-Grundlagen

Wie können Unternehmen die IT-Sicherheit im Mobile Office stärken?

Studien belegen: Nach der Pandemie möchten viele Beschäftigte ihren Arbeitsort flexibel gestalten. Mit diesen zwölf Tipps können Unternehmen auch bei hybriden Arbeitsmodellen Datenschutz und IT-Sicherheit gewährleisten.

Auch für die mobile Arbeit von zu Hause aus benötigt es eine sichere IT-Infrastruktur.

Durch die Corona-Pandemie haben sich viele Beschäftigte an das Arbeiten von zu Hause gewöhnt. So sehr, dass sie laut Umfragen auch in Zukunft nicht mehr täglich im Büro arbeiten wollen. Und auch in Führungsetagen findet derzeit ein Umdenken statt: viele Unternehmen haben bereits kommuniziert, dass sie auch nach Corona nicht zu einer durchgehenden Präsenzpflicht zurückkehren werden.

Damit hybrides Arbeiten dauerhaft gut gelingen kann, brauchen Beschäftigte auch vom heimischen Schreibtisch oder von unterwegs Zugang zu einer sicheren IT-Infrastruktur. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat im Herbst 2020 untersucht, wie Unternehmen personensensible Daten von Mitarbeiter*innen, Kund*innen und Stakeholdern im Home-Office schützen und welche Maßnahmen getroffen wurden, um dem Missbrauch von IT-Funktionen entgegenzuwirken. Das Ergebnis: Viele Unternehmen – vor allem kleine und Kleinstunternehmen – haben massiven Aufholbedarf. Doch auch große Unternehmen täten gut daran, zwischen 15 und 20 Prozent ihrer IT-Ausgaben in Cyber-Sicherheit zu investieren. In Anlehnung an die Studie finden Sie im Folgenden zwölf organisatorische und technische Tipps für mehr IT-Sicherheit bei mobilen Arbeitsmodellen.

Organisatorische Maßnahmen

IT-Sicherheit ist immer auch Teil der Unternehmenskultur. Welchen Stellenwert das Thema für die Beschäftigten hat, kann die Unternehmensführung durch Management-Entscheidungen und Kommunikation über das Thema aktiv beeinflussen. So lässt sich das Thema besser in den Köpfen verankern:

  • Investieren Sie in eine IT-Strategie: Das BSI rät Unternehmen, eine umfassende IT-Strategie zu verabschieden. Typischerweise gibt eine IT-Strategie Auskunft über die langfristige Entwicklung der IT-Infrastruktur und definiert klare Richtungsvorgaben. Durch die Einrichtung eines zertifizierten Managementsystems für Informationssicherheit (ISMS) können Unternehmen außerdem belegen, dass die umgesetzten Maßnahmen international anerkannten Standards entsprechen, und so Vertrauen bei Kund*innen und Partner*innen schaffen.
  • Benennen Sie eine*n Informationssicherheitsbeauftragte*n und bauen Sie, wenn möglich, eine eigene IT-Abteilung auf: Um den wachsenden Anforderungen im Bereich Datenschutz und IT-Sicherheit gerecht zu werden, braucht es fachkundiges Personal und klar definierte Zuständigkeiten. Je nach Unternehmensgröße empfiehlt es sich, eine*n Informationssicherheitsbeauftragte*n zu berufen und nach Möglichkeit sogar eine eigene IT-Abteilung einzurichten. Sollte Ihr Unternehmen die Herausforderungen nicht selbstständig lösen können, empfiehlt das BSI, auf externe Informationssicherheitsdienstleister zurückzugreifen.
  • Machen Sie Cyber-Sicherheit zur Chef*innensache: Nicht nur in der IT-Abteilung (oder bei der*dem IT-Beauftragte*n bei KMU), auch bei der Geschäftsführung sollte ein Grundverständnis für die Chancen und Risiken im Bereich IT-Sicherheit vorliegen. Nur so können Chef*innen informierte IT-Strategien verabschieden, entsprechende Budgets bereitstellen oder mögliche Schäden durch Cyber-Vorfälle bewerten. Hilfreiche Basisinformationen haben die Allianz für Cyber-Sicherheit des BSI sowie der Versicherer AIG im Handbuch "Management von Cyber-Risiken" konsolidiert.
  • Sensibilisieren Sie Ihre Mitarbeiter*innen: Da alle Mitarbeiter*innen für den unrechtmäßigen Umgang mit (personenbezogenen) Daten potenziell haftbar sind, müssen die Beschäftigten auf mögliche Gefahren aufmerksam gemacht werden (Stichwort: Awareness). In regelmäßigen Schulungen kann die gesamte Belegschaft lernen, wie sich vertrauliche Informationen schützen lassen.
  • Sorgen Sie für ein ausreichendes IT-Notfallmanagement: Um in Notsituationen geschäftsfähig zu bleiben, müssen Unternehmen rechtzeitig Vorkehrungen treffen. Haben Sie wie oben beschrieben im Rahmen Ihrer Strategie frühzeitig eine*n Informationssicherheitsbeauftragte*n bestimmt, sind Sie im Notfall schneller handlungsfähig. Weitere Orientierung liefern Standards wie beispielsweise der BSI-Standard 100-4 sowie die DIN ISO 22301. Außerdem hilfreich: Üben Sie proaktiv für den Ernstfall eines Cyber-Angriffs, indem Sie beispielsweise einen eigens dafür aufgestellten Reaktionsplan durchspielen oder sich mit der IT-Notfallkarte vertraut machen. So können Sie am besten feststellen, ob Ihre Systeme funktionieren und wo Sie eventuell noch nachjustieren sollten. Laut BSI führen aktuell lediglich 24 Prozent der deutschen Unternehmen regelmäßig Notfallübungen durch.

Technische Maßnahmen

Neben organisatorischen gibt es konkrete technische Mittel, die zu einer besseren IT-Sicherheit im Home-Office beitragen:

  • Führen Sie regelmäßige Back-ups durch: Das BSI empfiehlt die regelmäßige Sicherung von Daten mithilfe einer Back-up-Software, damit Sie sie im Falle eines Datenverlusts einfach wieder auf Ihr Endgerät aufspielen können. Die Bundesbehörde unterscheidet dabei grundsätzlich zwischen der Volldatenspeicherung, der stufenweisen ("inkrementellen") sowie der differentiellen Datensicherung, die sich in Komplexität und Zeitaufwand unterscheiden.
  • Richten Sie ein Virtual Private Network (VPN) ein: Anders als beim Arbeiten im Büro wird die Verbindung zum Unternehmensserver bei der Telearbeit nicht durch ein Netzwerkkabel hergestellt, sondern über das Internet. Diese Art der Verbindung ist jedoch anfällig für Angriffe durch Cyber-Kriminelle und gilt somit als weniger sicher. Der Einsatz von VPN-Technologien (zu Deutsch: virtuelles privates Netzwerk) schafft Abhilfe, indem diese den Verschlüsselungsmechanismus des Netzwerkkabels simulieren und die Daten zwischen Arbeitnehmer*in (Client) und Unternehmen (Server) in einer Art Tunnel Ende-zu-Ende verschlüsseln.
  • Verschlüsseln Sie Datenträger: Für den hoffentlich niemals eintretenden Fall des Verlustes von Datenträgern und/oder eines Hackerangriffs empfiehlt das BSI, unternehmensbezogene Daten mittels der kostenlosen Verschlüsselungssoftware VeraCrypt zu schützen. So entstehen chiffrierte Daten, auf die Angreifer*innen ohne Kenntnis des Schlüssels nicht zugreifen können.
  • Führen Sie eine Mehr-Faktor-Authentifizierung (MFA) durch: Ein Passwort allein bietet bei mobiler Arbeit keinen ausreichenden Schutz. Deswegen gibt es die Mehr- oder Multi-Faktor-Authentifizierung – diese kombiniert mehrere Berechtigungsnachweise ("Faktoren"), um sich erfolgreich in einem System anzumelden. Während der erste Faktor in der Regel auf Wissen setzt, etwa durch das Abfragen eines Passworts oder einer Sicherheitsfrage, sollten die weiteren Faktoren beispielsweise das Einscannen des Fingerabdrucks oder der Iris erfordern oder das Senden eines Einmalkennworts an einen Token oder eine Authentifizierungs-App auslösen. Weiterer Sicherheitstipp des BSI: Nutzen Sie zwei verschiedene Geräte für Login und Authentifizierung.
  • Setzen Sie Mobile Device Management (MDM) um: Während PCs und Laptops in der Regel über vorinstallierten Malware-Schutz verfügen, sind mobile Endgeräte anfällig für Cyber-Angriffe. MDM (zu Deutsch: Mobilgerätverwaltung) erlaubt es Unternehmen, mobile Endgeräte aus der Ferne zu konfigurieren und zu verwalten. Das hilft dabei, sensible Daten und Anwendungen zu schützen. Trotz der vielschichtigen Vorteile setzen laut Angaben des BSI weniger als 40 Prozent der in Deutschland ansässigen Unternehmen diese Maßnahme um.
  • Achten Sie auf qualifizierte IT-Dienstleister und Cloud-Anbieter: Wichtig ist, dass Dienstleister ihre Daten gemäß EU-DSGVO verarbeiten. Das gilt vor allem bei Service-Providern außerhalb der EU. Dazu können diese sogenannte EU-Standardvertragsklauseln umsetzen oder eine behördliche Genehmigung vorlegen. Darüber hinaus sollte Ihr Unternehmen Unterstützung bei einem qualifizierten Dienstleister einkaufen, um seine IT-Systeme und -Infrastruktur informationssicher zu machen.
  • Halten Sie Ihre Programme auf dem neuesten Stand: Schwachstellen in Computerprogrammen und -anwendungen gelten als Einfallstor für Cyber-Angriffe. Wenn solche Sicherheitslücken bekannt werden, stellen die Hersteller für gewöhnlich Updates – auch bekannt als "Patches" – zur Verfügung, um diese zu schließen. Achten Sie darauf, diese Sicherheitsupdates so rasch wie möglich umzusetzen, und nutzen Sie die häufig angebotene automatische Aktualisierungsfunktion.

Die vollständige Studie "IT-Sicherheit im Home-Office im Jahr 2020" finden Sie auf der Website des Bundesamts für Sicherheit in der Informationstechnik.