14.04.2021 •

Compliance im Homeoffice: IT-Sicherheits- und -Haftungsrisiken der Distanzarbeit

Joachim Stäcker

Heinen Elektronik GmbH

Spätestens in drei Monaten ist alles wieder wie früher. Diese Einschätzung teilten viele Büroarbeitende während des ersten Lockdowns des Jahres 2020. Doch die weltweite Pandemie zerstört auch das Bild des klassischen Büroangestellten, der Tag für Tag zur Arbeit pendelt, auf geradezu disruptive Weise. Dort, wo Tätigkeit und Grad der Digitalisierung es zulassen, wird Homeoffice oder mobiles Arbeiten heute in einem Umfang praktiziert, der vor einem Jahr kaum möglich schien. Besprechungen via Zoom, Teams, Wonder, Wherby oder anderen Plattformen reihen sich für viele Angestellte fast nahtlos aneinander.

Unternehmen weiten Remote Working aus

Der von der Corona-Krise verstärkte Trend zum Homeoffice wird die Wirtschaft in Deutschland langfristig verändern. 66 Prozent der von der Unternehmensberatung Deloitte befragten Finanzvorstände antworteten auf die Frage nach den langfristigen Auswirkungen von Corona für ihr Unternehmen: „Wir planen, vermehrt auf Remote Working zu setzen.“ Dazu passt auch die Ankündigung der Siemens AG, mobiles Arbeiten als Kernelement der „neuen Normalität“ zu etablieren.

Das Siemens-Modell bedeutet zwei bis drei Tage pro Woche mobiles Arbeiten als weltweiter Standard. Mobiles Arbeiten bezieht sich dabei ausdrücklich nicht nur auf das Homeoffice. Vielmehr sollen die Mitarbeiterinnen und Mitarbeiter – in Absprache mit der Führungskraft – denjenigen Arbeitsort wählen, an dem sie persönlich am produktivsten sind. Das hybride Arbeitsmodell schließt daher ausdrücklich Arbeitsumgebungen, wie z. B. Co-Working-Büros mit ein. Präsenzzeiten im Büro sollen das mobile Arbeiten sinnvoll ergänzen. Das neue Arbeitskonzept aus München betrifft mehr als 140.000 Mitarbeitende des Konzerns an über 125 Standorten in 43 Ländern und geht ab sofort in die Umsetzung.

Persönliches Haftungsrisiko für Führungskräfte

Auch bei der Deutschen Bank arbeiten seit Monaten rund 60.000 der weltweit knapp 90.000 Mitarbeiter von zu Hause, bei der Commerzbank ist es über die Hälfte der in Deutschland Beschäftigten. Bei der ING Deutschland arbeiten rund 85 Prozent der Mitarbeiter von daheim. „Aus Compliance-Sicht ist die aktuelle Arbeitssituation ein Albtraum“, sagt Timo Kob, Professor für Wirtschaftsschutz und Cybersecurity, dem Handelsblatt. Geht es doch laut Deutschem-Corporate-Governance-Kodex (DCGK) dabei um die in der Verantwortung des Vorstands oder der Geschäftsleitung liegende Einhaltung der gesetzlichen Bestimmungen und unternehmensinternen Richtlinien.

Die gesetzlichen Bestimmungen sind klar und gelten besonders für den Einsatz von IT-Geräten im Homeoffice, Co-Working-Büro oder von mobil genutzten Laptops im Hotel. Werden die nach dem Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz – BSIG) und/oder der Datenschutzgrundverordnung (DSGVO) gesetzlich geforderten technischen Maßnahmen gegen eine Informationsausspähung durch mangelhaft gesicherte IT-Hardware nicht umgesetzt und resultiert daraus ein unmittelbarer finanzieller Schaden für das Unternehmen oder die Behörde, muss die Unternehmens- oder Behördenführung mit ihrer persönlichen Haftung und Inanspruchnahme durch den Arbeitgeber rechnen.

Covid-19 treibt digitale Transformation und Cybercrime

Die Covid-19-Krise dynamisiert eine seit Jahren bestehende Notwendigkeit der flächendeckenden digitalen betrieblichen Transformation. Die Hauptgefahr besteht nicht nur in der aktuell ausbleibenden Nachfrage nach Gütern und Dienstleistungen, sondern vor allem auch darin, dass Geschäfts- und Behördenleitungen nicht erkennen, dass diese Krisenzeit eine große Chance für neue digitale Geschäftsprozesse ist. Doch die IT-Sicherheitsanforderungen, besonders an die seit Jahren sicherheitstechnisch vernachlässigte IT-Hardware, sind hoch.

Folgt man dem Allianz-Risk-Barometer 2020, sind Cybervorfälle erstmals das größte Geschäftsrisiko für Unternehmen und Behörden – und das weltweit. Für Cyberkriminelle sind dienstlich genutzte Privatgeräte natürlich ein gefundenes Fressen, da hier in der Regel weniger hohe Sicherheitsstandards angewendet werden. Zudem ist die Anwendungslandschaft im privaten Bereich meist diverser und die Vorsicht der Nutzer geringer. Laut einer aktuellen Studie von Vitreous World sind die häufigsten Gründe für die verstärkte Bedrohungslage unsichere Endgeräte im Home­office (51 Prozent). Dazu kommen mehr Phishing-Angriffe (41 Prozent) und mehr Verletzungen der Datensicherheit (33 Prozent). Nicht nur im Homeoffice ist der Mensch ein entscheidender Faktor, wenn es um digitale Sicherheit geht.

Homeoffice ist ungeschütztes Angriffsziel

Aber welche sicherheitstechnischen Anforderungen werden an die für die Telearbeit eingesetzten IT-Systeme gestellt? Das Bundesamt für Sicherheit in der Informationstechnik warnt vor dem unkontrollierten Abfluss von Informationen. Sind die für die Telearbeit eingesetzten IT-Systeme beispielsweise unsicher konfiguriert, können Sicherheitsprobleme entstehen, z. B. der Verlust der Vertraulichkeit durch unbefugten Zugriff. Zur Minimierung der Angriffsfläche sollten die für die Telearbeit verwendeten IT-Systeme gehärtet sein. Klassische „Abgriffspunkte“ für Datendiebe sind: Leitungen des Stromnetzes, Radaranstrahlung von Datenleitungen und IT-Geräten, bloßstellende elektromagnetische Abstrahlung der IT-Hardware, Sicherheitslöcher in der Software.

Mitarbeiter im Homeoffice oder auf Reisen im Hotel können leicht einen permanenten passiven IT-Hardwareschutz realisieren und gesetzliche Mindeststandards erfüllen. Eine NoSpy®-Box schützt vor unkontrolliertem Abfließen der Daten in das Stromnetz des Gebäudes und dem besonders gefährlichen und nicht erkennbaren „spurlosen Datenraub“ und die Haftungsrisiken können reduziert werden. Ihre Handhabung ist ähnlich einfach wie bei einer normalen Steckdosenleiste.

Das sieht auch die Wissenschaftlerin Melanie Volkamer so. Die Professorin für Sicherheitstechnik forscht am Karlsruher Institut für Technologie und beschäftigt sich unter anderem mit dem Faktor Mensch in der IT-Sicherheit. „Eigentlich ist die heutige Technik schon zu kompliziert“, sagt sie in einer Folge des ZEIT-­ONLINE-Digitalpodcasts. Man brauche ein menschenzentriertes Design, das der durchschnittliche Nutzer einfach bedienen könne. Das sei heute oft nicht gegeben.

Eine NoSpy®-Box verhindert unkontrolliertes Abfließen der Daten in das...
Eine NoSpy®-Box verhindert unkontrolliertes Abfließen der Daten in das
Stromnetz eines Gebäudes.
Quelle: Heinen Elektronik GmbH

IT-Bedrohungslage für Deutschland verschärft sich

Das ist dringend nötig. Die Bedrohungslage für Deutschland durch Spionage, staatliche Einflussnahme und andere nachrichtendienstliche Aktivitäten hat sich in den vergangenen Jahren kontinuierlich verschärft. Wenig Grund zum Optimismus sieht auch das Bundeskriminalamt (BKA): Die Zahl der Cybercrime-Fälle steigt, die Aufklärungsquote sinkt dagegen laut dem aktuellen Lagebericht vom Oktober 2020. Die Bedrohungen würden angesichts weiterer technischer Entwicklungen und einer fortschreitenden Digitalisierung weiter zunehmen, heißt es im Lagebericht.

Die Sicherheitsexperten sind sich einig: Es etabliert sich zunehmend eine organisierte, autonome Cybercrime-Wirtschaft, deren Ziel die Schädigung von elementaren Bestandteilen der Gesellschaft und Wirtschaft ist. Dadurch steigt nicht nur die Menge der IT-Angriffe, auch die Qualität der Angriffe nimmt zu. Doch nicht nur Cyberkriminelle professionalisieren sich. Viele staatliche Geheimdienste sind inzwischen in Deutschland aktiv und greifen Wirtschaft, Politik und kritische Infrastrukturen gezielt an und werden dabei immer brutaler. Neben Spionage, Sabotage und Erpressung sind auch Auftragsmorde bei einigen Geheimdiensten kein Tabu mehr.

„Wir haben es mit deutlich mehr Diensten zu tun, die Spionage gegen Deutschland betreiben oder versuchen, hier Einfluss zu nehmen", sagt Thomas Haldenwang, Präsident des für die Spionageabwehr zuständigen Bundesamtes für Verfassungsschutz. 

Seit 2014 gibt es im Gemeinsamen Extremismus- und Terrorismusabwehrzentrum aller deutschen Behörden, kurz GETZ, eine Arbeitsgruppe zum Thema Spionage. Diese GETZ S/P trifft sich halbjährlich, aber auch anlassbezogen. Vor allem die anlassbezogenen Sitzungen haben erheblich zugenommen.

Zwei von drei Experten gehen davon aus, dass sich die Präsenzkultur in deutschen Büros auflösen wird. IT-Soft- und Hardwaresicherheit im Homeoffice ist nicht nur ein Sicherheitsrisiko, sondern muss auch vor dem Hintergrund der persönlichen Haftung neu bewertet werden. Weitere Informationen dazu finden Sie im kostenlosen White­paper


Mehr zu den Themen:

Verwandte Artikel

Besuch beim BSI: Ministerpräsident Kretschmer informierte sich zu hochsicheren Kommunikationslösungen

Besuch beim BSI: Ministerpräsident Kretschmer informierte sich zu hochsicheren Kommunikationslösungen

Bei einem Besuch des BSI an seinem Standort in Freital haben sich der sächsische Ministerpräsident Michael Kretschmer und Staatssekretär und CIO Prof. Thomas Popp über technische Lösungen zur Kommunikation von Verschlusssachen (VS) informiert.

Login-Verfahren: BSI empfiehlt die Nutzung von Passkeys

Login-Verfahren: BSI empfiehlt die Nutzung von Passkeys

Gestohlene oder erratene Passwörter ermöglichen Identitätsdiebstahl von Verbraucherinnen und Verbrauchern oder sogar Zugang zu Unternehmensnetzwerken. Sichere Authentisierungsverfahren sind daher von besonderer Bedeutung.

Cyber Resilience Act verabschiedet

Cyber Resilience Act verabschiedet

Der nun verabschiedete Cyber Resilience Act (CRA) ist aus Sicht des Bundesamts für Sicherheit in der Informationstechnik (BSI) ein wichtiger Schritt, um die Cybersicherheit dieser Produkte und Anwendungen signifikant zu erhöhen.

: