Durch die technologische Flexibilisierung des Arbeitsplatzes während der Pandemie können Unternehmen heute schneller auf veränderte Rahmenbedingungen reagieren. Allerdings birgt der Einsatz neuer Cloud-, Netzwerk- und Kollaborationstools auch neue Gefahren für die Sicherheit, wie eine Studie des Bundesamts für Sicherheit in der Informationstechnik (BSI) belegt.
COVID-19 hat in vielen Unternehmen zur Flexibilisierung von Arbeitsprozessen und damit zu einer Erneuerung der IT-Infrastruktur geführt. Durch die technologische Flexibilisierung des Arbeitsplatzes mithilfe von Cloud-, Netzwerk- und Kollaborations-Tools, auch Elastic Workplace genannt, konnten sich zahlreiche Firmen in den vergangenen eineinhalb Jahren schnell an neue Rahmenbedingungen wie Kontaktbeschränkungen anpassen.
Gleichzeitig waren sie besser in der Lage, den zunehmend volatilen lokalen und globalen Geschäftsanforderungen gerecht zu werden. Allerdings wurden mit neuen Lösungen auch neue Sicherheitskonzepte notwendig, um Unternehmens- und Kundendaten zu schützen.
Digitalisierung auf Kosten der Sicherheit
Ein flexibler Arbeitsplatz ist dadurch nicht nur eine Herausforderung für das Management –anspruchsvolle Kunden wollen schließlich trotz veränderter Bedingungen bestens betreut werden. Auch die IT-Abteilung ist mit steigenden Anforderungen konfrontiert. In der Pandemie hat sich gezeigt, wie wichtig eine funktionierende Infrastruktur ist, um den Betrieb trotz Lockdown-bedingt vorübergehend geschlossener Standorte und Homeoffice aufrechtzuerhalten.
CRM-Systeme, Online-Shops und weitere Strukturen mussten schnell eingeführt und umgesetzt werden. Auch der Umzug vieler Mitarbeiter ins Homeoffice zu Beginn der Pandemie kam unerwartet. Unter diesen Bedingungen verlor fast jedes zweite Unternehmen in Deutschland (49 Prozent) das Thema IT-Sicherheit aus dem Blick. Zu diesem Ergebnis kommt das Bundesamt für Sicherheit in der Informationstechnik (BSI) in einer Studie, für die es bundesweit repräsentativ 1.000 Unternehmen befragt hat.
Spätestens seit der sich abzeichnenden Endphase der Pandemie und danach, also in einer Zeit, in der die meisten Unternehmen die wichtigsten Hausaufgaben der Digitalisierung grundlegender Betriebsprozesse erledigt haben und der „Elastic Workplace“ zum „New Normal“ geworden ist, gibt es jedoch keinen Grund mehr dafür, die grundlegenden Fragen nach der IT-Security weiterhin unbeantwortet zu lassen. Bei allen Digitalisierungsvorhaben ist entscheidend, die Cyber-Sicherheit von Anfang an mitzudenken.
Diesen Präventionsaspekt hebt das BSI auch in seiner Studie hervor: „Informationssicherheit und Digitalisierung geho?ren untrennbar zusammen.“ Das heißt: Wer digital arbeitet, muss entsprechend vorbeugen. Unter dem Strich ist das kostengünstiger, als im Nachhinein reagieren zu müssen.
Unternehmenssicherheit ist auch zuhause ein Thema
Speziell im Homeoffice sind neue Sicherheitslücken entstanden. Die Nutzung des häuslichen Netzwerks, Routers oder anderer eigener Hardware – etwa Smartphones zum Bereitstellen von WLAN-Hotspots – sowie das Nebeneinander von Privatem und Beruflichem gefährden die Sicherheit der Unternehmens-IT. Es ist daher wichtig, Mitarbeiter mit Blick auf diese Themen zu schulen und ein Bewusstsein für mögliche Lücken zu schaffen. Die Security-Checkliste des BSI hilft dabei mit praxisnahen Empfehlungen:
- Hard- und Software schützen: Auf firmeneigenen Endgeräten sollten der Schutz vor Malware aktiviert und bestimmte Installationen untersagt sein. Damit bleiben die Security-Standards des Unternehmens auch im Homeoffice gewahrt. Für private Hardware empfiehlt sich ein Virenschutz, der unter anderem Phishing-Versuche abwehrt und verdächtige Websites blockiert.
- Firmendaten sichern: Wer mit privater Hardware arbeitet, bewegt sich außerhalb des IT-Sicherheitsradius seines Arbeitgebers. Um die Unternehmensdaten vor unerlaubtem Zugriff oder Verlust zu schützen, sollten sie daher regelmäßig auf die firmeneigenen Server übertragen werden.
- Sicherheits-Updates regelmäßig installieren: Im privaten Umfeld sind die Sicherheitsstandards der IT meist niedriger als in Unternehmen. Zuhause ist es deshalb umso wichtiger, regelmäßige Updates auf allen Geräten zu installieren, mit denen etwa Security-Lecks in Betriebssystemen, Browsern oder E-Mail-Programmen geschlossen werden.
- Passwörter verbessern: Kurze, einfache Passwörter zählen zu den größten Sicherheitslücken im Homeoffice. Das Verwenden „starker“ Passwörter, etwa mit zwölf Stellen, Groß- und Kleinschreibung sowie Sonderzeichen, ist daher essenziell.
- WLAN und Router absichern: Der Schutz der Hardware hilft nicht, wenn Angreifer eine Verbindung zum WLAN-Netzwerk herstellen oder den heimischen Router dauerhaft „anzapfen“ können und so Zugriff auf sämtliche empfangene und gesendete Daten haben. Eine klassische Sicherheitslücke im Homeoffice ist in diesem Zusammenhang, wenn das Kennwort des Routers seit Anschaffung des Gerätes unverändert geblieben ist. Sinnvoll ist daher, das bei der Anschaffung erhaltene Kennwort zu ändern. Das neue Password sollte mindestens 18 Zeichen haben und weder Rückschlüsse auf die Bedienungsanleitung des Routers noch auf die Herstellerinformationen zulassen. Danach sollte die WLAN-Verbindung verschlüsselt werden, etwa nach dem WPA2-Standard.
- Mitarbeiter für Phishing sensibilisieren: Seit Ausbruch der Pandemie haben Phishing-Mails stark zugenommen. Grundsätzlich gilt: Keine Anhänge von E-Mails öffnen, die sich nicht einem bekannten Vorgang zuordnen lassen. Und nie auf Links klicken, die zum Ändern von Passwörtern auffordern.
Der „Elastic Workplace“ wird auch nach Corona gefragt bleiben. Laut Ifo-Institut erwarten 54 Prozent der Betriebe eine dauerhafte Etablierung der neuen Arbeitsform: „Für viele Unternehmen ging die Umstellung mit beträchtlichen Investitionen in digitale Infrastruktur und neue Kommunikationstechnologie einher. Diese Neuorganisation der Arbeit wird aller Wahrscheinlichkeit nach nicht vollständig rückgängig gemacht werden“, erläutert Oliver Falck, Leiter des ifo Zentrums für Industrieökonomik und neue Technologien. Damit werden auch die gestiegenen Anforderungen an die IT keine zeitlich begrenzte Phase sein, sondern ein Dauerzustand.
Oliver Rozi? ist Vice President Product Engineering bei Sage.