Homeoffice und mobiles Arbeiten führt in vielen Unternehmen zu Problemen mit der Cybersicherheit: Gut jedes vierte Unternehmen in Deutschland stimmt der Aussage zu, dass mobiles Arbeiten erhebliche IT-Sicherheitsprobleme verursacht (26 Prozent). Das Ergebnis einer Forsa-Umfrage unter 500 Unternehmen ab 10 Mitarbeitenden im Auftrag des TÜV-Verbands. Die Größe der Unternehmen spielt dabei eine untergeordnete Rolle. 25 Prozent der kleinen Unternehmen mit 10 bis 49 Mitarbeitenden, 28 Prozent der mittleren und 24 Prozent der großen Unternehmen ab 250 Mitarbeitenden berichten von IT-Sicherheitsproblemen.
73 Prozent der Befragten stimmen der Aussage zu, dass die Anfälligkeit für Cyberangriffe steigt, wenn Endgeräte des Arbeitgebers auch privat genutzt werden. Sind die Beschäftigten mit den Geräten im heimischen oder in öffentlichen Netzwerken unterwegs, erhöht dies ebenfalls das Risiko eines Angriffs (71 Prozent). Eine wachsende Anzahl an Tools und Anwendungen erhöht für 63 Prozent der Unternehmen die Komplexität und das IT-Sicherheitsrisiko. Und etwas weniger als die Hälfte der Unternehmen (44 Prozent) befürchtet mehr Angriffe durch Social Engineering, weil sich die Mitarbeitenden nicht mehr persönlich kennen.
„Remote-Work erweitert die Angriffsfläche für Cyberkriminelle“, sagt Marc Fliehe, Fachbereichsleiter Digitalisierung und Bildung beim TÜV-Verband. „Es ist daher unerlässlich, dass Unternehmen ihre Sicherheitsmaßnahmen verstärken und ihre Mitarbeitenden kontinuierlich für Risiken sensibilisieren.“ Vielen Unternehmen scheint das nicht zu gelingen: Immerhin ein Drittel (33 Prozent) stimmt der Aussage zu, dass es schwierig ist, das Bewusstsein für Cybersicherheit bei mobil Arbeitenden aufzubauen und aufrechtzuerhalten. Und 23 Prozent geben an, dass es schwierig ist, den mobil arbeitenden Mitarbeiter:innen bei IT-Problemen zu helfen.
Trotz der IT-Risiken, die mit der Arbeit außerhalb der Büros oder Betriebsstätten verbunden sind, hat die Mehrheit der befragten Unternehmen eine Homeoffice-Regelung: 65 Prozent ermöglichen ihren Angestellten mobiles Arbeiten. Insbesondere für große Unternehmen (87 Prozent) und mittlere Unternehmen (79 Prozent) ist dies mittlerweile Standard. Bei kleineren Unternehmen mi 10 bis 49 Mitarbeitenden bietet immerhin rund jedes zweite (53 Prozent) die Möglichkeit zum mobilen Arbeiten an.
Deutliche Unterschiede zeigen sich bei der Frage, wie viel Zeit die Mitarbeitenden außerhalb des Betriebs tätig sein dürfen. Bei knapp einem Drittel (29 Prozent) sind nur ein bis zwei Tage Homeoffice pro Woche erlaubt. Drei bis vier Tage sind es bei 12 Prozent und zeitlich unbegrenzte Telearbeit ist ebenfalls bei 12 Prozent der Unternehmen möglich. In den meisten Fällen gibt es keine unternehmensweite Vereinbarung, sondern die einzelnen Abteilungen regeln, wie viele Tage pro Woche Homeoffice möglich sind (45 Prozent).
Arbeitgeber und Arbeitnehmer können die Cybersicherheit beim mobilen Arbeiten verbessern:
Um die Informationssicherheit zu gewährleisten, sollten Arbeitgeber explizite Regelungen für mobiles Arbeiten schriftlich festhalten. Es muss klar sein, welche Aufgaben und Informationen außerhalb des Unternehmens bearbeitet und transportiert werden dürfen. Es muss festgelegt werden, welche Kommunikationskanäle unter welchen Bedingungen bei der mobilen Arbeit genutzt werden dürfen.
Mobil arbeitende Beschäftige müssen für Cybersicherheit sensibilisiert und mit den geltenden Sicherheitsrichtlinien vertraut gemacht werden. Schulungen helfen, die Mitarbeitenden in die Sicherheitsmaßnahmen einzuweisen und beispielsweise für gezielte Cyberangriffe wie Phishing-Attacken zu sensibilisieren.
Um ihre Aufgaben zu erledigen, müssen Mitarbeitende auf interne Ressourcen des Unternehmens zugreifen. Werden dabei unsichere Protokolle genutzt, kann es zu so genannten MITM-Angriffen (Man-in-the-Middle) kommen, bei denen sensible Informationen abgegriffen und manipuliert werden. Deshalb muss der Arbeitgeber einen sicheren Fernzugriff einrichten etwa durch kryptografisch abgesicherte „Virtual Private Networks“ (VPN). So genannte VPN-Tunnel sorgen dafür, dass Daten verschlüsselt übertragen werden.
Der mobile Arbeitsplatz und damit der Zugriff auf vertrauliche Informationen muss bestmöglich abgesichert werden. Tragbare IT-Systeme wie Laptops oder Diensthandys sollten deshalb unbedingt verschlüsselt werden. Zudem sollten die Mitarbeitenden dafür sorgen, dass vertrauliche Dokumente und Unterlagen nicht in die Hände Dritter gelangen können. Beim Arbeiten im Zug, am Flughafen oder an anderen öffentlichen Orten besteht die Gefahr, dass Dritte an vertrauliche Daten wie Kundendaten oder Passwörter gelangen können, indem sie den Mitarbeitenden „über die Schulter schauen“. Auch videoüberwachte Bereiche können ein Problem sein. Bildschirmschutzfolien können den seitlichen Einblick auf den Monitor verhindern. Trotzdem sollten Mitarbeiter immer abwägen, welche Tätigkeiten an öffentlichen Orten durchgeführt werden sollten und welche nicht.