Smart-Working – eine verführerische Arbeitsweise mit IT-Risiken

Fernarbeit, Homeoffice, Smart-Working: Aufgrund der jüngsten Ereignisse greifen immer mehr Unternehmen darauf zu. Doch schon davor hat sich diese Praxis auch bei Arbeitskräften immer größerer Beliebtheit erfreut, und je nach Branche befindet sich das Arbeiten von zu Hause aus in einer Phase großen Aufschwungs. Ein Trend, der allerdings Vorsichtsmaßnahmen seitens der Unternehmen erfordert, damit die Einhaltung von datenschutzrechtlichen Richtlinien nicht dadurch gefährdet wird, dass die Mitarbeiter im Homeoffice arbeiten.

Gemäß einer im Dezember 2019 von Deloitte veröffentlichten Untersuchung (2.800 erwerbstätige Befragte in Deutschland) nutzen 42 % der Arbeitnehmer das eigene Smartphone und 27 % den eigenen Laptop zur Verrichtung ihrer Arbeit. Im Vergleich zu denjenigen, die behaupten, häufig oder gar nur „mobil“ zu arbeiten, fällt die Anzahl der Befragten, die Geräte von der Firma gestellt bekommen, zudem viel zu gering aus. Doch durch die in diesem Moment in einigen Ländern fast erzwungene Entwicklung des Smart-Working-Trends wird den Mitarbeitern der unzureichend abgesicherte Zugriff auf sensible Unternehmensdaten regelmäßig gewährt, was den IT-Leitern unter den genannten Umständen ernsthafte Sorgen bereiten sollte. Es gibt nämlich Risiken, die von vornherein berücksichtigt werden sollten:

  • Die Unmöglichkeit für den Arbeitnehmer, auf Ressourcen zuzugreifen, die er zum Arbeiten benötigt.
  • Virenverseuchung des Unternehmenssystems oder unerwünschter Zugriff auf Unternehmensressourcen über eine Sicherheitslücke des privaten Rechners des Mitarbeiters.
  • Datenverlust.

Zum Schutz gegen solche Unannehmlichkeiten ist es von entscheidender Bedeutung, die Aufmerksamkeit der Benutzer auf die mit dem Smart-Working verbundenen IT-Sicherheitsprobleme zu lenken. Eine regelmäßige Aktualisierung des Virenschutzes, die Trennung des privaten und beruflichen Posteingangs, eine Nutzungseinschränkung externer Geräte (USB-Stick, Festplatten usw.) zur Datenübertragung von einem Computer auf einen anderen usw. Die bewährten Basispraktiken müssen den Smart-Workern immer wieder in Erinnerung gebracht werden.

Diese Sensibilisierung ist unentbehrlich, doch sie reicht bei Weitem nicht aus, warnt Cybersecurity-Hersteller Stormshield. Es ist nämlich heutzutage unrealistisch, Benutzer zu starke Einschränkungen aufzuerlegen, und die IT-Sicherheit des Unternehmens darf sich auch nicht ausschließlich auf Präventivmaßnahmen stützen.

 

Identifizierungssysteme, Cloud-Lösungen und Abstimmung als Stützpfeiler des IT-Schutzes

Die Eingrenzung der mit der Fernarbeit verbundenen IT-Risiken erfolgt bei Unternehmen über konkrete Schutzmaßnahmen und technische Lösungen. Darunter:

  1. Profilerstellung der Homeoffice-/Smart-Worker. Für ein Unternehmen ist es von entscheidender Bedeutung, im Voraus Profile der Fernarbeiter je nach ihrem Aufgabengebiet festzulegen und zu bestimmen, auf welche Informationen die Telearbeiter zugreifen dürfen. Die Sicherheitsmechanismen für gelegentliche Fernarbeiter und für ganztägige Homeoffice-Arbeiter dürfen auch nicht dieselben sein.
  2. Authentifizierung der Fernzugriffe. Der erste Schritt zur Vermeidung fremden Eindringens in das Informationssystem des Unternehmens besteht darin, ein System zur Identifizierung des Homeoffice-Arbeiters einzuführen, das greift, sobald sich dieser mit dem Unternehmenssystem verbindet. Idealerweise sollte man dabei auf die Mehrfachauthentifizierung setzen (Benutzername, Kennwort, einmalig nutzbarer Code o. Ä.).
  3. Trennung und Schutz der Hardware. Die einfachste Maßnahme zur Vermeidung der Gefahr einer Virenverseuchung zwischen der Hardware des Mitarbeiters und dem IT-System des Unternehmens besteht immer noch darin, dem Telearbeiter einen Computer zur ausschließlich beruflichen Nutzung zuzuweisen, der vom IT-Personal regelmäßig auf das erforderliche Sicherheitsniveau hin aktualisiert wird. Auf dem von der Firma gestellten Computer dürfen dem Anwender auch keine Administratorenrechte gewährt werden. Doch wie von der Studie erhoben, werden fast 30 % der Arbeitskräfte, die mobil arbeiten, weder ein Smartphone noch ein Laptop von der Firma zur Verfügung gestellt. Dies sollte den IT-Leitern besonders in Zeiten, in denen es sich empfiehlt, vom Homeoffice aus zu arbeiten, ein Dorn im Auge sein.
  4. Sicherung des Datenzugriffs. Den Datenfluss zwischen dem Arbeitsplatz des Arbeitnehmers und dem Unternehmensnetz kann auch über ein VPN („Virtual Private Network“) absichern. Auf vielen privaten Rechnern ist jedoch diese Sicherheitsvorrichtung gar nicht erst installiert. An sich kann man dieses Modell vorläufig durch die Nutzung einer mehrfach abgesicherten virtuellen Büroplattform via Cloud ersetzen. Diese Cloud-Plattformen ermöglichen es, von jedem beliebigen Ort und von jedem beliebigen Computer auf sensible Unternehmensdaten zuzugreifen. Was letzten Endes zählt, ist allerdings die Unversehrtheit der Firmendaten, die auf dem lokalen privaten Rechner gespeichert bzw. verarbeitet werden, um anschließend ins Unternehmensnetz eingespeist zu werden. Deren Absicherung setzt eine ganze Reihe an Maßnahmen voraus, die Zeit für die Implementierung erfordern und die man bei privaten Geräten nur bedingt forcieren kann, weshalb sich die genaue Abstimmung mit dem Homeoffice- oder „mobilen“ Arbeitnehmer als empfehlenswert erweist.

#Stormshield