Jetzt ist die Zeit für Informationssicherheit im Homeoffice

Homeoffice bietet Datendieben neue Angriffsmöglichkeiten

Die zweite Welle der Corona-Pandemie läuft. Dies hat Auswirkungen im Alltag der heimischen Unternehmen. Nachdem es im Sommer auch in Unternehmen zahlreiche Lockerungen gegeben hat und viele Mitarbeiter wieder zu einem relativ normalen Arbeitsalltag übergegangen waren, wird nun wieder auf Risikominimierung gesetzt. Viele Unternehmen haben nun den Anteil der Mitarbeiter im Homeoffice wieder erhöht, um die Ansteckungsgefahr zu reduzieren. Neben den vielen Chancen, die das Homeoffice bietet, gibt es aber auch diverse Risiken. Eine davon liegt ganz sicher im Bereich der Informationssicherheit. „Unternehmen müssen hier wachsam und achtsam sein. Um eine Minimierung der Ansteckungsgefahr nicht gegen eine deutliche Erhöhung von Sicherheitsrisiken zu tauschen“, erklärt der langjährige Fachmann für Informationssicherheit, Dr. Jörn Voßbein.

Während der ersten Corona-Welle musste alles ganz schnell gehen: Mitarbeiter wurden ins Homeoffice geschickt, Präsenzarbeitsplätze wurden reduziert. Das große Ziel der Unternehmen war es, das Kerngeschäft aufrechtzuerhalten. Für Details war wenig Zeit und Kapazität.

Die Experten sind sich aber einig: Jetzt – während der zweiten Welle – können und müssen andere Themen näher betrachtet werden. Der IT-Branchenverband Bitkom fordert nicht von ungefähr, ein größeres Augenmerk auf die IT-Sicherheit zu legen. Nötig sei eine Balance aus benutzerfreundlichem Zugriff auf Unternehmensdaten aus dem Homeoffice heraus und dem angemessenen Schutz der IT-Infrastruktur. Ebenso mahnt das Bundesamt für Sicherheit in der Informationstechnik (BSI), dass IT- und Datensicherheit oft eine untergeordnete Rolle spielen, wenn nun wieder spontan ins Homeoffice umgezogen werden muss.

Auch hat das Hessische Landeskriminalamt darauf hingewiesen, dass sich durch vermehrtes Homeoffice erweiterte und in einzelnen Phänomenen erhöhte Angriffsrisiken ergeben. Social Engineering – also soziale Manipulation – werde im Zuge von räumlicher Trennung erleichtert. Hierbei werden vertrauenserweckende Kontakte genutzt, um sensible Daten, wie z. B. Passwörter abzugreifen. Bekannteste Beispiele sind sogenannte Phishing-Mails.

Der langjährige Informationssicherheits-Experte und UIMC-Geschäftsführer Dr. Jörn Voßbein sieht es ähnlich: „Ich kann mich den Einschätzungen der Behörden nur anschließen. Jedes Unternehmen ist jetzt gut beraten, nach der bestandenen Feuertaufe im Frühjahr einen tieferen Blick in die Details vorzunehmen, gerade auch im Hinblick auf die Informationssicherheit und das Thema Social Engineering.“ Da die Voraussetzungen und Umstände in jedem Unternehmen anders sind, ist ein individuelles Konzept sinnvoll. Besonderes Augenmerk sollte hierbei auch auf die Schulung und Sensibilisierung der Mitarbeiter gelegt werden, um insbesondere die Wahrnehmung für Social Engineering-Attacken zu schärfen und das kritische Misstrauen anzuregen. Gerade beim dezentralen Arbeiten eignen sich hierfür E-Learning-Lösungen. „Lieber jeden Mitarbeiter 1 bis 1,5 Stunden schulen als hinterher Tage nicht arbeiten können, weil das Unternehmensnetzwerk angegriffen wurde.“