Homeoffice und mobiles Arbeiten führt in vielen Unternehmen zu Problemen mit der Cybersicherheit: Gut jedes vierte Unternehmen in Deutschland stimmt der Aussage zu, dass mobiles Arbeiten erhebliche IT-Sicherheitsprobleme verursacht (26 Prozent). Die Größe der Unternehmen spielt dabei eine untergeordnete Rolle. 25 Prozent der kleinen Unternehmen mit 10 bis 49 Mitarbeitenden, 28 Prozent der mittleren und 24 Prozent der großen Unternehmen ab 250 Mitarbeitenden berichten von IT-Sicherheitsproblemen.
Das sind Ergebnisse einer Forsa-Umfrage unter 500 Unternehmen ab 10 Mitarbeitenden im Auftrag des TÜV-Verbands. „Homeoffice und mobiles Arbeiten haben sich in den letzten Jahren als fester Bestandteil der Arbeitswelt etabliert“, sagt Marc Fliehe, Fachbereichsleiter Digitalisierung und Bildung beim TÜV-Verband. „Für Arbeitnehmer gilt mobiles Arbeiten als ein Segen, für die IT-Sicherheit des Arbeitgebers können die daraus resultierenden Risiken aber eine Herausforderung sein: Die Gefahr eines IT-Sicherheitsvorfalls steigt.“
Vielen Unternehmen scheint das nicht zu gelingen: Immerhin ein Drittel (33 Prozent) stimmt der Aussage zu, dass es schwierig ist, das Bewusstsein für Cybersicherheit bei mobil Arbeitenden aufzubauen und aufrechtzuerhalten. Und 23 Prozent geben an, dass es schwierig ist, den mobil arbeitenden Mitarbeiter:innen bei IT-Problemen zu helfen.
Die Unternehmen bestätigen in der Umfrage, dass mobiles Arbeiten die Wahrscheinlichkeit von IT-Sicherheitsvorfällen erhöht. So stimmten 73 Prozent der Befragten der Aussage zu, dass die Anfälligkeit für Cyberangriffe steigt, wenn Endgeräte des Arbeitgebers auch privat genutzt werden. Sind die Beschäftigten mit den Geräten im heimischen oder in öffentlichen Netzwerken unterwegs, erhöht dies ebenfalls das Risiko eines Angriffs (71 Prozent).
Eine wachsende Anzahl an Tools und Anwendungen erhöht für 63 Prozent der Unternehmen die Komplexität und das IT-Sicherheitsrisiko. Und etwas weniger als die Hälfte der Unternehmen (44 Prozent) befürchtet mehr Angriffe durch Social Engineering, weil sich die Mitarbeitenden nicht mehr persönlich kennen. „Remote-Work erweitert die Angriffsfläche für Cyberkriminelle“, sagt Fliehe. „Es ist daher unerlässlich, dass Unternehmen ihre Sicherheitsmaßnahmen verstärken und ihre Mitarbeitenden kontinuierlich für Risiken sensibilisieren.“
Vielen Unternehmen scheint das nicht zu gelingen: Immerhin ein Drittel (33 Prozent) stimmt der Aussage zu, dass es schwierig ist, das Bewusstsein für Cybersicherheit bei mobil Arbeitenden aufzubauen und aufrechtzuerhalten. Und 23 Prozent geben an, dass es schwierig ist, den mobil arbeitenden Mitarbeiter:innen bei IT-Problemen zu helfen.
Homeoffice und mobiles Arbeiten hat sich in deutschen Unternehmen etabliert
Trotz der IT-Risiken, die mit der Arbeit außerhalb der Büros oder Betriebsstätten des Arbeitgebers verbunden sind, hat die Mehrheit der befragten Unternehmen eine Homeoffice-Regelung: 65 Prozent der Unternehmen ermöglichen ihren Angestellten mobiles Arbeiten. Insbesondere für große Unternehmen (87 Prozent) und mittlere Unternehmen (79 Prozent) ist Homeoffice mittlerweile Standard. Bei kleineren Unternehmen mi 10 bis 49 Mitarbeitenden bietet immerhin rund jedes zweite (53 Prozent) seinen Beschäftigten die Möglichkeit zum mobilen Arbeiten an.
Deutliche Unterschiede zeigen sich aber bei der Frage, wie viel Zeit die Mitarbeitenden außerhalb des Betriebs tätig sein dürfen. Bei knapp einem Drittel (29 Prozent) sind nur ein bis zwei Tage Homeoffice pro Woche erlaubt. Drei bis vier Tage sind es bei 12 Prozent und zeitlich unbegrenzte Telearbeit ist ebenfalls bei 12 Prozent der Unternehmen möglich. In den meisten Fällen gibt es keine unternehmensweite Vereinbarung, sondern die einzelnen Abteilungen regeln, wie viele Tage pro Woche Homeoffice möglich sind (45 Prozent).
Fast jeder dritte Arbeitgeber ermöglicht Workation
Deutlich weniger Zustimmung als das Homeoffice erhält die sogenannte Workation, also die Möglichkeit, für einen längeren Zeitraum fernab des eigentlichen Standortes in einer anderen Stadt innerhalb Deutschlands oder auch im Ausland zu arbeiten. Immerhin knapp jedes dritte Unternehmen (29 Prozent) ermöglicht seinen Beschäftigten einen längerfristigen Arbeitsplatzwechsel innerhalb des Landes.
Bei einem Fünftel ist das Arbeiten in einem anderen Land sogar für längere Zeit möglich (20 Prozent). Zwei Drittel der Unternehmen (69 Prozent) hingegen erlauben ihren Angestellten nicht, aus einer anderen Stadt oder einem anderen Land zu arbeiten (2 Prozent machen keine Angabe).
Hinweise für hohe Cybersicherheit beim mobilen Arbeiten
Mit den folgenden Tipps können Arbeitgeber und Arbeitnehmer die Cybersicherheit beim mobilen Arbeiten verbessern:
Sicherheitsrichtlinie festlegen und befolgen:
Um die Informationssicherheit zu gewährleisten, sollten Arbeitgeber explizite Regelungen für mobiles Arbeiten aufstellen und schriftlich festhalten. Es muss festgelegt werden, welche Aufgaben und Informationen außerhalb des Unternehmens bearbeitet und transportiert werden dürfen.
Hierfür sind Sicherheitsmaßnahmen zu treffen, die von den Mitarbeitenden einzuhalten sind. Darüber hinaus muss festgelegt werden, welche Kommunikationskanäle unter welchen Bedingungen bei der mobilen Arbeit genutzt werden dürfen.
Arbeitnehmer sensibilisieren:
Mobil arbeitende Beschäftige müssen für Cybersicherheit sensibilisiert und mit den geltenden Sicherheitsrichtlinien vertraut gemacht werden. Dazu gehören zum Beispiel der Umgang mit sensiblen Informationen, die fachgerechte Vernichtung von Daten und Datenträgern, der sachgemäße Transport von Arbeitsmaterialien und die sichere Kommunikation.
Schulungen helfen, die Mitarbeitenden in die Sicherheitsmaßnahmen einzuweisen und beispielsweise für gezielte Cyberangriffe wie Phishing-Attacken zu sensibilisieren.
Sicheren Remote-Zugriff durch VPN ermöglichen:
Um ihre Aufgaben zu erledigen, müssen Mitarbeitende regelmäßig auf interne Ressourcen des Unternehmens zugreifen. Werden dabei unsichere Protokolle genutzt, kann es zu so genannten MITM-Angriffen (Man-in-the-Middle) kommen, bei denen sensible Informationen abgegriffen und manipuliert werden.
Damit mobil Arbeitende sicher auf das Unternehmensnetzwerk zugreifen können, muss der Arbeitgeber einen sicheren Fernzugriff einrichten zum Beispiel durch kryptografisch abgesicherte „Virtual Private Networks“ (VPN). So genannte VPN-Tunnel sorgen dafür, dass Daten verschlüsselt übertragen werden.
IT-Systeme und Datenträger verschlüsseln:
Werden firmeninterne Informationen unbefugt gelesen, gestohlen oder veröffentlicht, kann dies schwerwiegende Folgen für das Unternehmen haben. Daher muss der mobile Arbeitsplatz und damit der Zugriff auf vertrauliche Informationen bestmöglich abgesichert werden. Tragbare IT-Systeme wie Laptops oder Diensthandys sollten deshalb unbedingt verschlüsselt werden. Zudem sollten die Mitarbeitenden dafür sorgen, dass vertrauliche Dokumente und Unterlagen nicht in die Hände Dritter gelangen können.
Bildschirmschutzfolien verwenden:
Mobiles Arbeiten bedeutet oft auch Arbeiten im Zug, am Flughafen oder an anderen öffentlichen Orten. Dabei besteht die Gefahr, dass Dritte an vertrauliche Daten wie Kundendaten oder Passwörter gelangen können, indem sie den Mitarbeitenden „über die Schulter schauen“. Auch videoüberwachte Bereiche können ein Problem darstellen. Mitarbeitende sollten daher Bildschirmschutzfolien nutzen, die den seitlichen Einblick auf den Monitor verhindern. Trotzdem sollten sie immer abwägen, welche Tätigkeiten an öffentlichen Orten durchgeführt werden sollten und welche nicht.
Methodik-Hinweis: Grundlage der Studienergebnisse ist eine repräsentative Umfrage des Marktforschungsunternehmens Ipsos im Auftrag des TÜV-Verbands unter 501 Unternehmen ab 10 Mitarbeitenden in Deutschland. Befragt wurden Verantwortliche für IT-Sicherheit, darunter leitende Cybersecurity-Expert:innen, IT-Leiter:innen und Mitglieder der Geschäftsleitung.
Die Fragen lauteten: Im Vergleich zur Arbeit im Büro bzw. in den Gebäuden des Unternehmens: Führt mobiles Arbeiten Ihrer Meinung nach zu (eher) großen oder eher kleinen / keinen IT-Sicherheitsproblemen? Inwiefern stimmen Sie den Aussagen zur Cybersicherheit beim mobilen Arbeiten zu? Bietet Ihr Unternehmen Ihren Mitarbeitenden mobiles Arbeiten an? An wie vielen Tagen dürfen die Mitarbeitenden innerhalb einer Woche mobil arbeiten? Ist es in ihrem Unternehmen möglich, dass Mitarbeitende auch abseits ihres eigentlichen Standorts für längere Zeit in einer anderen Stadt und/oder in einem anderen Land arbeiten?
Maurice Shahd