Ist Home Office ein trojanisches Pferd?
Als die COVID-19-Pandemie über Europa hinwegfegte, sahen sich zahlreiche Unternehmen plötzlich mit einer Aufgabe konfrontiert, die sie im Zuge der viel diskutierten digitalen Transformation viel zu lange aufgeschoben oder besser gesagt verschlafen hatten: Bin ich in der Lage, alle meine Mitarbeiter aus dem Home Office arbeiten zu lassen?
Angenommen, Sie haben Ihren Mitarbeitern die notwendige technische Ausstattung und Infrastruktur zur Verfügung gestellt, notwendige Richtlinien sowie Vorgaben aufgestellt und damit die ersten wesentlichen Schritte in Richtung Home Office geschafft – wie viele von Ihnen können tatsächlich bestätigen, auf die Informationssicherheit Rücksicht genommen zu haben? Wir sprechen an dieser Stelle nicht von Firewalls und dem Einsatz von VPN – obwohl diese ebenfalls eine relevante Rolle spielen – sondern wir sprechen vielmehr vom Bewusstsein Ihrer Mitarbeiter für die Risiken der Informationssicherheit.
Welchen Risiken sind Mitarbeiter im Home Office ausgesetzt?
Abgesehen vom Risiko unfrisiert in der Videokonferenz zu erscheinen, hat ein weiterer Risikoaspekt zunehmend an Bedeutung gewonnen: die sehr profitable Welt der Cyberkriminalität.
Einer der Gründe für die Zunahme von Cyberkriminalität ist, dass die Umstellung auf Home Office für viele Unternehmen ein sehr abruptes Ereignis war und die Einführung oder Erweiterung von Home Office-Arbeitsplätzen ohne ein entsprechendes Sicherheitskonzept für Hacker eine Versuchung darstellt, entweder die eigenen Taschen zu füllen oder ihre Fähigkeiten zu testen.
Mitarbeiter, denen das Verständnis für Informationssicherheit und deren Risiken fehlt, sind besonders gefährdet und vor allem bevorzugte Ziele für sogenannte „Social Engineering“-Attacken. Unter Social Engineering wird die Manipulation von Menschen verstanden, mit dem Ziel an wertvolle Informationen zu gelangen, Schadsoftware zu platzieren oder finanzielle Überweisungen auszulösen.
Ein falscher Klick, weil die Anfrage in der E-Mail vertrauenswürdig erscheint, eine unvorsichtige Datenweitergabe oder ein unbedachtes Herunterladen einer Datei, weil am Ende doch die Neugierde überhandnimmt, reichen aus, um dem Unternehmen schweren Schaden zuzufügen. Phishing oder Ransomware sind beliebte und effiziente Methoden, die von Hackern eingesetzt werden, um an Daten zu gelangen und/oder Systeme zu kompromittieren. Insbesondere Ransomware, die zur Verschlüsselung aller gefundenen Firmendaten führt, ist ein effektives Instrument, das einem Unternehmen schweren finanziellen und Reputationsschaden zufügen kann. In vielen Fällen resultiert ein erfolgreicher Angriff auf eine Organisation in der Zahlung von hohen Lösegeldern, Auswirkungen aufgrund von durchgesickerten vertraulichen Informationen oder im Stillstand von kritischen Systemen.
Wodurch werden diese Risiken verursacht?
Die Offenlegung von vertraulichen Daten erfolgt in den meisten Fällen nicht aus Boshaftigkeit. Häufige Gründe für das Nicht-Einhalten von Sicherheitsrichtlinien durch Mitarbeiter sind unter anderem:
- Mitarbeiter sind sich der Sicherheitsbedrohungen überhaupt nicht bewusst.
- Mitarbeiter sind sich nicht bewusst bzw. glauben nicht, dass ihr Verhalten Folgen hat.
- Mitarbeiter sind sich der langfristigen Konsequenzen nicht bewusst.
- Ein übermäßiger Austausch von Informationen – was im digitalen Zeitalter durchaus üblich ist –, wobei das Verständnis für den Wert von Daten und einzelnen Informationen in Kombination miteinander fehlt.
- Zu glauben, entweder sich selbst oder jemand anderem mit der Weitergabe von Informationen geholfen zu haben.
- Eine zu große Zahl an Richtlinien und Anforderungen.
- Das Fehlen von klaren und verständlichen Regeln für den sicheren Umgang mit Informationen.
- Das Fehlen von Möglichkeiten, Fragen und Probleme, die im Zuge der Umsetzung der Sicherheitsrichtlinien auftreten, zu kommunizieren.
Was sind Erfolgsfaktoren für die Aufrechterhaltung eines sicheren Home Office?
Wie bereits erwähnt, ist die Bereitstellung von technischer Ausrüstung und Infrastruktur eine Sache, aber unterschätzen Sie nicht die Wirkung von entsprechenden Bewusstseinsschulungen sowie der Bewusstseinskommunikation. Viele Unternehmen neigen dazu, ihre Effektivität zu unterschätzen, weil der Mehrwert der Maßnahmen nicht unmittelbar sichtbar ist – sie sollten vielmehr als langfristige Investitionen betrachtet werden, die aber stillschweigend und signifikant zum Grad Ihrer Informationssicherheit beitragen.
Die Personalabteilung kann hier ihre Rolle als Brücke zwischen Mitarbeitern und Arbeitgeber nutzen, um diese Sensibilisierung zu fördern, indem sie nicht nur auf die Richtlinien hinweist, sondern den Mitarbeitern beispielweise auch eine (digitale) Plattform für den Austausch von Themen im Zusammenhang mit der Informationssicherheit bietet und diese auch für eine regelmäßige Kommunikation nutzt. Darüber hinaus kann die Personalabteilung die Kommunikation mit den Mitarbeitern sicherstellen, um die Einführung von neuen Applikationen und Systemen transparent zu gestalten.
Auch das Aufzeigen von Best Practice-Beispielen, wie Bedrohungen erfolgreich identifiziert werden können, welche Sicherheitsaspekte auch im Privatleben von Bedeutung sind oder die regelmäßige Durchführung von Umfragen oder Phishing-Simulationen sind eine gute Möglichkeit, Mitarbeiter praxisnah an das Thema Informationssicherheit heranzuführen.
Dabei ist es besonders wichtig, dass Mitarbeiter nicht den Eindruck gewinnen, dass Informationssicherheit eine weitere Belastung im alltäglichen Betrieb darstellt oder sie gar in ihrer Tätigkeit einschränkt, sondern ihnen vielmehr dazu verhilft, sicherer zu agieren.
Unser Fazit
Home Office ist auf keinen Fall als temporäre Lösung zu betrachten, die nach der Pandemie endet.
Für viele Arbeitskräfte wird Home Office immer wichtiger, da flexibles Arbeiten viele Vorteile mit sich bringt und Unternehmen sind im Zeitalter des „Kampfes um außerordentliche Talente“ dadurch in der Lage, auch Fachkräfte außerhalb ihrer Region zu beschäftigen.
Richtlinien und technische Sicherheitsmaßnahmen sind nicht die einzigen Faktoren, welche den Grad der Informationssicherheit eines Unternehmens bestimmen. Mitarbeiter werden stets einen erhöhten Risikofaktor darstellen, wenn es ihnen an Sensibilisierung oder Bewusstsein für Informationssicherheit fehlt oder wenn Cybersicherheit nicht in die Unternehmenskultur integriert wird. Die Gefahren vervielfachen sich von selbst, je länger Organisationen die Bedeutung des Bewusstseins für Informationssicherheit bei ihren Mitarbeitern nicht erkennen und berücksichtigen.
Sie wollen mehr zum Thema Remote Work erfahren?
Dann melden Sie sich jetzt zu unserem nächsten digitalen P&O Breakfast an:
>> Zur Anmeldung <<