Cybersecurity im Home-Office

So werden Remote-Arbeitsplätze sicher

Immer mehr Mitarbeiter wollen remote arbeiten. Dadurch rückt das Thema Cybersecurity vermehrt in den Fokus von IT- und Unternehmensentscheidern. Lesen Sie hier, worauf es dabei ankommt.
Von 
CSO | 22. November 2021 05:28 Uhr
Die Arbeit im Home-Office kann ein Einfallstor für Hacker-Angriffe darstellen.
Die Arbeit im Home-Office kann ein Einfallstor für Hacker-Angriffe darstellen.
Foto: Andrew Rybalko - shutterstock.com

Eine Bewertung der seit Beginn der Home-Office-Zeit erfolgten Cyberattacken zeigt, dass die Hälfte der Angriffe schwerwiegende Folgen hat. Die Frage "Wie würden Sie den entstandenen materiellen Schaden für Ihr Unternehmen bewerten?", die das Bundesministerium für Sicherheit und Informationstechnik (BSI) im Rahmen seiner repräsentativen Umfrage IT-Sicherheit im HOME-OFFICE (PDF) stellte, beantworten 39 Prozent der befragten Unternehmen mit "sehr oder eher schwer", 11 Prozent sogar mit "existenzbedrohend". Das gilt vor allem für kleine Unternehmen mit drei bis 50 Beschäftigten. Großunternehmen (> 250 Mitarbeiter), die oft eigene IT-Abteilungen unterhalten, kamen am besten weg: Hier gab es keine existenzbedrohenden und nur sechs Prozent als "sehr schwer" eingestufte Schadensereignisse.

Trotz dieser Zahlen bescheinigen Experten dem Modell Heim- oder Hybridarbeit eine große Zukunft. Umfragen aus den USA legen nahe, dass zwischen 30 und 50 Prozent der Mitarbeiter auch nach der Pandemie aus der Ferne arbeiten werden. Das BSI setzt den Anteil auf Basis seiner eigenen Umfrageergebnisse hierzulande sogar noch höher an. 58 Prozent der befragten deutschen Unternehmen gaben an, das Angebot der Fern- oder Telearbeit auch nach der Pandemie aufrechterhalten oder ausweiten zu wollen. Die Behörde kommt aber auch zu dem Schluss, dass, obwohl Fernarbeit aktuell und künftig eine maßgebliche Rolle im Arbeitsalltag spielt, längst nicht genug technische und organisatorische Sicherheitsmaßnahmen getroffen werden.

Technische und organisatorische Schutzmaßnahmen

Als besonders sicherheitsrelevant für das Home-Office identifiziert das BSI folgende technischen Maßnahmen:

Mobile Endgeräte haben häufig eine Verbindung zum Firmennetzwerk, wenn Mitarbeiter etwa von unterwegs aus Mails, Anrufe oder Nachrichten beantworten oder an Videokonferenzen teilnehmen. Dennoch managen gerade einmal 38 Prozent der Unternehmen die Sicherheit von Smartphone, Tablet & Co.

Bei der Einrichtung sicherer Remote-Arbeitsplätze spielen organisatorische Sicherheitsmaßnahmen eine ebenso große Rolle wie rein technische Lösungen. Dazu zählen der Aufbau einer Abteilung für IT-Sicherheit mit klaren Verantwortlichkeiten, sei es mit Hilfe interner Beauftragter oder externer Dienstleister, eine definierte Sicherheitsstrategie, ein funktionierendes Notfallmanagement und die Implementierung eines ISMS. Ein solches Information Security Management System definiert Regeln und Prozesse für Cybersicherheit und verfolgt einen Top-Down-Ansatz ausgehend von der Unternehmensführung.

Ganz oben auf der Prioritätenliste von Entscheidern und Sicherheitsverantwortlichen sollte jedoch die Sensibilisierung, Schulung und vor allem die Einbindung von Mitarbeitern stehen. Werden aus klassischen Büroarbeitern Heimarbeiter, müssen diese ein Stück weit auch zu Sicherheitsexperten werden - im eigenen und im Unternehmensinteresse. Wie gelingt die Schaffung eines Bewusstseins für mit Fernarbeit verbundene Cyberrisiken und der Aufbau einer angemessenen Sicherheitskultur im Unternehmen? Der folgende Abschnitt zeigt, wie Sie gemeinsam mit Ihren Mitarbeitern in wenigen Schritten für mehr Cybersicherheit im Home-Office sorgen.

Gefahr erkannt, Gefahr gebannt

Die Geschäftsführung betrachtet Mitarbeiter im Hinblick auf Cybersecurity vermehrt als Risiko. Phishing-Mails sind ein häufiger Grund für Datenlecks, eine Phishing-Attacke ist jedoch nur erfolgreich, wenn jemand auf einen "bösen" Link klickt. Im schlimmsten Fall sind Mitarbeiter in einem solchen Szenario "schuld" an einer Cyberattacke und sehen sich mit einer Abmahnung oder gar Kündigung konfrontiert.

Nun braucht man keinen Abschluss in Verhaltenspsychologie, um zu erkennen, dass eine Denkweise, die Menschen vor allem als potenzielle Fehlerquelle sieht und ihnen Misstrauen statt Vertrauen entgegenbringt, nichts Positives ist. Ein solcher Ansatz ist weder gut fürs Betriebsklima noch erfolgversprechend in Bezug auf das Ziel - verbesserte Sicherheit im Home-Office. Wie bei anderen Führungsaufgaben gilt: Eine positive Identifikation mit dem Unternehmen und ein starkes Wir-Gefühl im Team erhöht das Engagement für den Unternehmenserfolg, und für den ist Sicherheit von enormer Bedeutung. "Cybersicherheit ist Chefsache": Dieser Ansatz ist laut BSI-Umfrage erst in etwas mehr als der Hälfte der Unternehmen oberstes Prinzip. Er muss um den Leitgedanken ergänzt werden, dass Mitarbeiter bei der Umsetzung einer Sicherheitsstrategie Partner sind - und nicht der Feind.

Herrscht eine Kultur des Misstrauens vor, entgehen Sicherheitsverantwortlichen im Zweifelsfall wichtige Hinweise auf Risiken. Oft löschen Mitarbeiter aus Angst vor negativen Reaktionen und Sanktionen im Zweifelsfall eher eine verdächtige Mail, als sich an das Sicherheitsteam zu wenden. Wird stattdessen tatsächlich der sprichwörtliche "böse Link" angeklickt, passiert das fast immer aus mangelnder Sensibilisierung oder aus Unsicherheit. Laut BSI ist man in Deutschland in Sachen Mitarbeitersensibilisierung schon sehr weit. 81 Prozent der Unternehmen schulen zum Thema Cybersicherheit. Ein richtiger und wichtiger Ansatz, denn Wissen ist nicht nur Macht, Wissen macht auch sicher: Menschen im Umgang mit neuen Herausforderungen (und Risiken) und damit die IT-Infrastruktur vor Cyberkriminellen. Indem Sie Ihren Leuten Tools für den Umgang mit Cyberrisiken an die Hand geben, stärken Sie sie. Noch besser und erst in 24 Prozent der Unternehmen umgesetzt: Regelmäßige "Brandschutzübungen", um den Schaden gering zu halten und die Geschäftskontinuität sicherzustellen.

Die Fähigkeit, auf sicherheitsrelevante Vorfälle schnell und konsequent zu reagieren, den Betrieb wiederherzustellen sowie die Auswirkungen solcher Ereignisse zu minimieren, wird zunehmend relevant für den Erfolg von Unternehmen. In Deutschland spiegelt sich das in der neuen BSI-Norm 200-4 für Business Continuity Management wider. In diesem Zusammenhang müssen Ihre bestehenden Regeln und Prozesse für Datenschutz, Disaster Recovery und Backups auf den Prüfstand und bedürfen gegebenenfalls der Überarbeitung. Mit regelmäßigen Schulungen und Notfallübungen sorgen Sie dafür, dass Anpassungen überall ankommen.

Vertrauen statt Angst

Wie Führungskräfte Informationen teilen und die gesamte Belegschaft auf dem Laufenden halten, bleibt ihnen überlassen. Das IT-Unternehmen MongoDB arbeitet beispielsweise mit monatlichem Sicherheitsnewsletter, All-Hands-Meetings, Deep Dives, einer Wiki-Page und Slack-Channels. Die wichtigste Säule der während der Pandemie etablierten Sicherheitsstrategie ist jedoch das Security-Champions-Programm. Mit seiner Hilfe gelang es, ein organisch gewachsenes Sicherheitsteam zu etablieren, mit dem sich Mitarbeiter identifizieren und an das sie sich bei Sicherheitsbedenken vertrauensvoll und ohne Scham oder Angst vor Sanktionen wenden.

Grundgedanke hinter dem Konzept ist, dass möglichst umfassende Sicherheit nicht allein durch die Vorgaben von IT- und Sicherheitsexperten zu erreichen ist, sondern alle Geschäftsbereiche durchdringen bzw. in Zeiten von Home-Office jedes Endgerät erreichen muss. Best Practices müssen von ausnahmslos allen Mitarbeitern eingeübt und umgesetzt werden. Im Security-Champions-Programm sind Repräsentanten unterschiedlichster Abteilungen vertreten, deren Hauptaufgaben etwa HR, Kommunikation oder Produktentwicklung sind.

Ziel ist es, die Bildung von "Informationssilos" zu vermeiden und Sicherheitswissen zu teilen, das verschiedene Menschen in verschiedenen Arbeitsbereichen im Kontext ihrer konkreten Aufgabenstellungen und bisheriger "Lessons Learned" erworben haben. Die Mitglieder des Sicherheitsteams tragen Wissen und Erfahrungen in das unternehmensweite Konzept, die nur von ihnen kommen können. Denn ein Datenschutzbeauftragter beherrscht DSGVO-Vorschriften, ein Techniker kennt sich etwa mit Verschlüsselung oder Identitätsmanagement aus. Nur ein Kundenberater erlebt aber etwa im Arbeitsalltag, welche Aufgaben dabei in konkreten Abläufen entstehen können, etwa, wenn externe Kundenvertreter auf Daten auf Unternehmensservern zugreifen müssen und entsprechende Freigaben benötigen.

Damit wurde das Vertrauensthema erfolgreich adressiert. Teams haben nun einen Security-Ansprechpartner "aus den eigenen Reihen" innerhalb des Security-Champions-Programms. Die Erfahrung zeigt, dass die Hemmschwelle - wenn man doch mal auf den "bösen Link" geklickt hat - sich an die eigenen Kollegen zu wenden, niedriger ist. Auch dahinter steckt keine komplexe Psychologie. Es kostet eben weniger Überwindung, potenziell heikle Themen mit jemand zu besprechen, mit dem durch Zusammenarbeit bereits ein Vertrauensverhältnis besteht. Die Champions fungieren so als Link zwischen den eigenen Fachkollegen und Geschäftsleitung, IT oder der Instanz, die die IT Security Governance im Unternehmen definiert. Es gibt klare Zuständigkeiten, und alle wissen, an wen sie sich im Fall des Falles wenden können.

Auch die Champions selbst erleben positive Effekte. Immer wieder hören wir, dass Unternehmen einen Mangel an Talenten im Bereich Cybersecurity beklagen. Die Lösung dafür kann nur darin bestehen, Leute in der bestehenden Belegschaft zu schulen. Die Security-Champions-Mitglieder identifizieren sich mit der eigenen Fachabteilung ebenso wie mit ihrer Arbeit bei den Champions. Sie können konkret mitgestalten, entwickeln neue Kompetenzen, haben mehr Selbstvertrauen und steigern ihr Engagement.

Security-Rollenwechsel

Es ist bekannt, dass hierarchiebedingtes Zurückhalten von Bedenken und Einwänden oder die Befürchtung von Sanktionen bis hin zum Jobverlust Katastrophen auslösen kann. Das gilt zum Beispiel für die Luftfahrt, wo die mangelnde Kontrolle des Kapitäns durch unterstellte Crewmitglieder wie Co-Pilot oder Bordingenieur noch bis in die 1990er Jahre immer wieder unfallursächlich war. Die heutige Arbeitsteilung im Cockpit sieht deshalb einen Piloten vor, der steuert, und einen, der andere Aufgaben wie die Kommunikation mit der Flugsicherung übernimmt sowie den steuernden Piloten kontrolliert. Die Rollen können dabei wechseln - ein entscheidender Faktor zum Aufbrechen von Strukturen, die das Benennen und Beheben von Fehlentwicklungen behindern.

Bei den Security Champions übernehmen Fachkräfte anderer Abteilungen selbst Verantwortung für Anforderungen der Cybersicherheit, die im Home-Office stetig steigen, und vollziehen so einen solchen Rollenwechsel. Das Arbeiten in Cloud-Umgebungen, die Zunahme von Zugriffspunkten, Ransomware-Attacken und Phishing Mails sind nur einige der sicherheitsrelevanten Themen, die Unternehmen und Mitarbeiter zu einer strikten Sicherheitsdisziplin zwingen. Wird diese von den Mitarbeitern selbst mitgetragen und verantwortet, steigt das Engagement messbar an. Durch das Vertrauensverhältnis zwischen Fachkollegen wurden bereits nach einer Programmlaufzeit von sechs Monaten mehr Bedenken und Vorfälle bekannt, was das Erkennen von Schwachstellen und die schnelle Eindämmung von Schadensereignissen erleichtert. In einigen Fällen entdeckten Mitarbeiter zudem ihr Interesse an Sicherheitsfragen und konnten als "Hidden Security Talents" gewonnen werden. Im Ganzen trägt das vielen zuvor lästige Thema Cybersecurity durch eine abteilungsübergreifende Einheit sogar zur Teambildung und -stärkung bei - ein positiver Nebeneffekt einer gelebten Sicherheitskultur. (jm)

Lena Smart ist Chief Information Security Officer bei MongoDB und kam im März 2019 zum Unternehmen. Sie verfügt über mehr als 25 Jahre Erfahrung in der Sicherheitsbranche und hat diese Erfahrung genutzt, um MongoDB durch die Pandemie zu führen.