Article

Das Homeoffice als Sicherheitsrisiko

Was Unternehmen tun können

COVID-19 stellt viele Unternehmen nicht nur vor enorme wirtschaftliche Herausforderungen. Um das Ansteckungsrisiko zu minimieren und um den Ausgangsbeschränkungen, geschlossenen Schulen und Kinderbetreuungen Rechnung zu tragen, sind viele Unternehmen dazu übergegangen, ihre Mitarbeiter ins Home-Office zu schicken.

Dies erfordert die kurzfristige Schaffung von Lösungen für mobiles Arbeiten, z.B. durch die Installation neuer Software, welche die Teilnahme an Videokonferenzen oder den Zugriff auf bestimmte Unternehmenssysteme ermöglichen soll, bringt aber gleichzeitig neue Herausforderungen an die IT-Sicherheit mit sich. 

Das Problem:

Nicht nur Mitarbeiter wollen von außerhalb auf die Firmennetzwerke zugreifen, sondern auch Hacker. Diese machen sich in der aktuellen Situation verstärkt die Angst der Bürger zunutze, und sehen ihre Chance im Ausnutzen von Schwachstellen, die sich aus der Tätigkeit im Home-Office und möglicherweise nicht vollständig umgesetzten Maßnahmen zur IT-Sicherheit ergeben.

Die häufigste Methode für einen Angriff auf ein Firmennetzwerk ist die Phishing-Attacke. Zuletzt kam es zu einer starken Häufung solcher Angriffe, die sich die Situation rund um COVID-19 zunutze machten (das sog. „Corona Phishing“).

Phishing ist ein Kunstwort, das sich aus den Wörtern „Passwort“ und „Fishing“ zusammensetzt. Kriminelle tarnen sich als seriöses Unternehmen, z.B. als Bank, und fordern die Empfänger mit gefälschten E-Mails beispielsweise zu einer vorgeblich notwendigen Aktualisierung ihrer persönlichen Daten auf. Als Vorwand für die Bestätigung von Kontoinformationen wird etwa der baldige Ablauf einer Kreditkarte genannt oder dass die Übermittlung persönlicher Daten notwendig sei, um in Zeiten der Corona-Krise auch per Chat mit der Bank in Verbindung bleiben zu können. Über einen Link werden Betroffene auf eine authentisch aussehende Eingabemaske geleitet, welche die Daten nach der Eingabe direkt an Betrüger sendet1 .

Die Mail kann aber auch als Mail der firmeneigenen IT-Abteilung gestaltet sein, die Mitarbeiter beispielsweise darüber informiert, dass ein neues Portal gäbe, welches sie im Home-Office nutzen sollen, oder als Informationen behördlicher Stellen oder Ärzte zu COVID-192 .

Das Risiko:

Das Erlangen unternehmenskritischer Daten und Informationen durch Kriminelle kann für Unternehmen schwer abzuschätzende gravierende und teils sehr teure Konsequenzen haben, wie prominente Beispiele der Vergangenheit zeigen. So wurde z.B. gegen die Marriott-Gruppe ein Bußgeld in Höhe von 110 Mio. £ verhängt, nachdem es Hackern gelungen war, unbefugt über mehrere Jahre sensible Kundendaten wie z.B. Kreditkarten- und Passnummern, Geburtsdaten, etc. zu erlangen3 . Hinzukommt ein nicht in Geld zu bemessender Reputationsschaden, da es das Unternehmen mit diesem Vorfall in die aktuelle Tagespresse geschafft hat. Potentielle Risiken für Unternehmen können insbesondere sein:

  • Verlust von Kunden durch Reputationsschäden
  • Unternehmensdaten können in die falschen Hände gelangen; z.B. Wettbewerber oder Industriespionage
  • Erpressung durch Lahmlegung der IT-Systeme
  • Hohe Bußgelder durch die Aufsichtsbehörden 
  • Hohe Zusatzkosten aufgrund des Erfordernisses neuer IT-Sicherheitsmaßnahmen, wie z.B. bei sozialen Netzwerk Knuddels nach einem Hacker-Angriff4

Die Maßnahmen:

Daher ist es trotz aller Herausforderungen, welche COVID-19 mit sich bringt, gerade in diesen Zeiten für Unternehmen unerlässlich, die IT-Sicherheit im Blick zu behalten und adäquate Maßnahmen zum Schutz der Unternehmens-IT zu ergreifen. Dies können mit Blick auf die Homeoffice-Tätigkeit z.B. sein:

  • Verbot der Nutzung von privaten Rechnern, um sich ins Firmennetzwerk einzuwählen. Neben den IT-Sicherheitsrisiken, können sich auch rechtliche Probleme ergeben, wenn private Geräte für den Dienstgebrauch genutzt, und z.B. personenbezogene Daten wie Namen oder E-Mail-Adressen verarbeitet werden. 
  • Awareness schaffen, z.B. durch Trainings und Information der Mitarbeiter im Umgang mit Phishing-Mails und Malware (insbes. im Zusammenhang mit COVID-19), sowie durch deutliche, unmissverständliche und verbindliche Regelungen zur IT-Sicherheit.
  • Erstellung einer Home-Office Richtlinie und Prozessen, die das Arbeiten von zu Hause und somit für den richtigen Schutz von Unternehmensinfrastruktur- und daten regeln.
  • VPN Zugang zum Unternehmensnetzwerk; der Zugriff auf das Unternehmensnetzwerk sollte über abgesicherte Virtual Private Networks, kurz: VPN oder einen anderen geschützten Zugang erfolgen. 
  • Intensive Einbindung des Datenschutzbeauftragten sowie (falls vorhanden) des IT-Sicherheitsbeauftragen oder der IT-Sicherheitsabteilung; diese Stellen sollten in den COVID-19-Krisenstab eingebunden sein.

Unter rechtlichen Aspekten sind neben den Anforderungen, welche sich z.B. aus dem IT-Sicherheitsgesetz, aus der BSI-Kritis-Verordnung oder dem Geschäftsgeheimnisgesetz ergeben, insbesondere die Anforderungen der Datenschutzgrundverordnung (DSGVO) und des Bundesdatenschutzgesetzes (BDSG) zu berücksichtigten.
Diese sehen für die Verarbeitung personenbezogener Daten verschiedene Pflichten für Unternehmen als Verantwortliche im Sinne der DSGVO vor. Dazu gehört neben der grundsätzlichen Pflicht zur Implementierung eines adäquaten Datenschutzmanagementsystems vor allem die Implementierung und Dokumentation der technisch-organisatorischen Maßnahmen (TOMs) die sicherstellen sollen, dass es nicht zu einer Datenpanne z.B. durch einen Hackerangriff kommt.
Um sicherzustellen, dass Ihr Unternehmen hinsichtlich IT-Sicherheit und Datenschutz alle gesetzlichen und technischen Anforderungen erfüllt, ist es daher sinnvoll Ihr Unternehmen regelmäßig auf den Prüfstand zu stellen und Prozesse zu etablieren, in die alle wichtigen Beteiligten, also auch die IT-Sicherheit und der Datenschutzbeauftragte eingebunden sind.

Did you find this useful?