Wie können Unternehmen die IT-Sicherheit im Mobile Office stärken?

Durch die Corona-Pandemie haben sich viele Beschäftigte an das Arbeiten von zu Hause gewöhnt. So sehr, dass sie laut Umfragen auch in Zukunft nicht mehr täglich im Büro arbeiten wollen. Und auch in Führungsetagen findet derzeit ein Umdenken statt: viele Unternehmen haben bereits kommuniziert, dass sie auch nach Corona nicht zu einer durchgehenden Präsenzpflicht zurückkehren werden.

Damit hybrides Arbeiten dauerhaft gut gelingen kann, brauchen Beschäftigte auch vom heimischen Schreibtisch oder von unterwegs Zugang zu einer sicheren IT-Infrastruktur. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat im Herbst 2020 untersucht, wie Unternehmen personensensible Daten von Mitarbeiter*innen, Kund*innen und Stakeholdern im Home-Office schützen und welche Maßnahmen getroffen wurden, um dem Missbrauch von IT-Funktionen entgegenzuwirken. Das Ergebnis: Viele Unternehmen – vor allem kleine und Kleinstunternehmen – haben massiven Aufholbedarf. Doch auch große Unternehmen täten gut daran, zwischen 15 und 20 Prozent ihrer IT-Ausgaben in Cyber-Sicherheit zu investieren. In Anlehnung an die Studie finden Sie im Folgenden zwölf organisatorische und technische Tipps für mehr IT-Sicherheit bei mobilen Arbeitsmodellen.

Organisatorische Maßnahmen

IT-Sicherheit ist immer auch Teil der Unternehmenskultur. Welchen Stellenwert das Thema für die Beschäftigten hat, kann die Unternehmensführung durch Management-Entscheidungen und Kommunikation über das Thema aktiv beeinflussen. So lässt sich das Thema besser in den Köpfen verankern:

• Investieren Sie in eine IT-Strategie: Das BSI rät Unternehmen, eine umfassende IT-Strategie zu verabschieden. Typischerweise gibt eine IT-Strategie Auskunft über die langfristige Entwicklung der IT-Infrastruktur und definiert klare Richtungsvorgaben. Durch die Einrichtung eines zertifizierten Managementsystems für Informationssicherheit (ISMS) können Unternehmen außerdem belegen, dass die umgesetzten Maßnahmen international anerkannten Standards entsprechen, und so Vertrauen bei Kund*innen und Partner*innen schaffen.
• Benennen Sie eine*n Informationssicherheitsbeauftragte*n und bauen Sie, wenn möglich, eine eigene IT-Abteilung auf: Um den wachsenden Anforderungen im Bereich Datenschutz und IT-Sicherheit gerecht zu werden, braucht es fachkundiges Personal und klar definierte Zuständigkeiten. Je nach Unternehmensgröße empfiehlt es sich, eine*n Informationssicherheitsbeauftragte*n zu berufen und nach Möglichkeit sogar eine eigene IT-Abteilung einzurichten. Sollte Ihr Unternehmen die Herausforderungen nicht selbstständig lösen können, empfiehlt das BSI, auf externe Informationssicherheitsdienstleister zurückzugreifen.
• Machen Sie Cyber-Sicherheit zur Chef*innensache: Nicht nur in der IT-Abteilung (oder bei der*dem IT-Beauftragte*n bei KMU), auch bei der Geschäftsführung sollte ein Grundverständnis für die Chancen und Risiken im Bereich IT-Sicherheit vorliegen. Nur so können Chef*innen informierte IT-Strategien verabschieden, entsprechende Budgets bereitstellen oder mögliche Schäden durch Cyber-Vorfälle bewerten. Hilfreiche Basisinformationen haben die Allianz für Cyber-Sicherheit des BSI sowie der Versicherer AIG im Handbuch "Management von Cyber-Risiken" konsolidiert.
• Sensibilisieren Sie Ihre Mitarbeiter*innen: Da alle Mitarbeiter*innen für den unrechtmäßigen Umgang mit (personenbezogenen) Daten potenziell haftbar sind, müssen die Beschäftigten auf mögliche Gefahren aufmerksam gemacht werden (Stichwort: Awareness). In regelmäßigen Schulungen kann die gesamte Belegschaft lernen, wie sich vertrauliche Informationen schützen lassen.
• Sorgen Sie für ein ausreichendes IT-Notfallmanagement: Um in Notsituationen geschäftsfähig zu bleiben, müssen Unternehmen rechtzeitig Vorkehrungen treffen. Haben Sie wie oben beschrieben im Rahmen Ihrer Strategie frühzeitig eine*n Informationssicherheitsbeauftragte*n bestimmt, sind Sie im Notfall schneller handlungsfähig. Weitere Orientierung liefern Standards wie beispielsweise der BSI-Standard 100-4 sowie die DIN ISO 22301. Außerdem hilfreich: Üben Sie proaktiv für den Ernstfall eines Cyber-Angriffs, indem Sie beispielsweise einen eigens dafür aufgestellten Reaktionsplan durchspielen oder sich mit der IT-Notfallkarte vertraut machen. So können Sie am besten feststellen, ob Ihre Systeme funktionieren und wo Sie eventuell noch nachjustieren sollten. Laut BSI führen aktuell lediglich 24 Prozent der deutschen Unternehmen regelmäßig Notfallübungen durch.

Technische Maßnahmen

Neben organisatorischen gibt es konkrete technische Mittel, die zu einer besseren IT-Sicherheit im Home-Office beitragen:

• Führen Sie regelmäßige Back-ups durch: Das BSI empfiehlt die regelmäßige Sicherung von Daten mithilfe einer Back-up-Software, damit Sie sie im Falle eines Datenverlusts einfach wieder auf Ihr Endgerät aufspielen können. Die Bundesbehörde unterscheidet dabei grundsätzlich zwischen der Volldatenspeicherung, der stufenweisen ("inkrementellen") sowie der differentiellen Datensicherung, die sich in Komplexität und Zeitaufwand unterscheiden.
• Richten Sie ein Virtual Private Network (VPN) ein: Anders als beim Arbeiten im Büro wird die Verbindung zum Unternehmensserver bei der Telearbeit nicht durch ein Netzwerkkabel hergestellt, sondern über das Internet. Diese Art der Verbindung ist jedoch anfällig für Angriffe durch Cyber-Kriminelle und gilt somit als weniger sicher. Der Einsatz von VPN-Technologien (zu Deutsch: virtuelles privates Netzwerk) schafft Abhilfe, indem diese den Verschlüsselungsmechanismus des Netzwerkkabels simulieren und die Daten zwischen Arbeitnehmer*in (Client) und Unternehmen (Server) in einer Art Tunnel Ende-zu-Ende verschlüsseln.
• Verschlüsseln Sie Datenträger: Für den hoffentlich niemals eintretenden Fall des Verlustes von Datenträgern und/oder eines Hackerangriffs empfiehlt das BSI, unternehmensbezogene Daten mittels der kostenlosen Verschlüsselungssoftware VeraCrypt zu schützen. So entstehen chiffrierte Daten, auf die Angreifer*innen ohne Kenntnis des Schlüssels nicht zugreifen können.
• Führen Sie eine Mehr-Faktor-Authentifizierung (MFA) durch: Ein Passwort allein bietet bei mobiler Arbeit keinen ausreichenden Schutz. Deswegen gibt es die Mehr- oder Multi-Faktor-Authentifizierung – diese kombiniert mehrere Berechtigungsnachweise ("Faktoren"), um sich erfolgreich in einem System anzumelden. Während der erste Faktor in der Regel auf Wissen setzt, etwa durch das Abfragen eines Passworts oder einer Sicherheitsfrage, sollten die weiteren Faktoren beispielsweise das Einscannen des Fingerabdrucks oder der Iris erfordern oder das Senden eines Einmalkennworts an einen Token oder eine Authentifizierungs-App auslösen. Weiterer Sicherheitstipp des BSI: Nutzen Sie zwei verschiedene Geräte für Login und Authentifizierung.
• Setzen Sie Mobile Device Management (MDM) um: Während PCs und Laptops in der Regel über vorinstallierten Malware-Schutz verfügen, sind mobile Endgeräte anfällig für Cyber-Angriffe. MDM (zu Deutsch: Mobilgerätverwaltung) erlaubt es Unternehmen, mobile Endgeräte aus der Ferne zu konfigurieren und zu verwalten. Das hilft dabei, sensible Daten und Anwendungen zu schützen. Trotz der vielschichtigen Vorteile setzen laut Angaben des BSI weniger als 40 Prozent der in Deutschland ansässigen Unternehmen diese Maßnahme um.
• Achten Sie auf qualifizierte IT-Dienstleister und Cloud-Anbieter: Wichtig ist, dass Dienstleister ihre Daten gemäß EU-DSGVO verarbeiten. Das gilt vor allem bei Service-Providern außerhalb der EU. Dazu können diese sogenannte EU-Standardvertragsklauseln umsetzen oder eine behördliche Genehmigung vorlegen. Darüber hinaus sollte Ihr Unternehmen Unterstützung bei einem qualifizierten Dienstleister einkaufen, um seine IT-Systeme und -Infrastruktur informationssicher zu machen.
• Halten Sie Ihre Programme auf dem neuesten Stand: Schwachstellen in Computerprogrammen und -anwendungen gelten als Einfallstor für Cyber-Angriffe. Wenn solche Sicherheitslücken bekannt werden, stellen die Hersteller für gewöhnlich Updates – auch bekannt als "Patches" – zur Verfügung, um diese zu schließen. Achten Sie darauf, diese Sicherheitsupdates so rasch wie möglich umzusetzen, und nutzen Sie die häufig angebotene automatische Aktualisierungsfunktion.