Sicherheit im Zeitalter des hybriden Arbeitens:
Ist Ihr Unternehmen auf die neuen Risiken vorbereitet?

Bis 2020 wurde die Lösung von Problemen durch die persönliche Interaktion der Mitarbeiter:innen mit den IT-Teams nicht nur erleichtert, sondern der Prozess war in der Regel darauf angewiesen. Wenn Mitarbeiter:innen außerhalb des Büros arbeiteten, ermöglichte die Infrastruktur den Mitarbeiter:innen den Zugriff auf interne Systeme über ein VPN, was in der Regel schnell und sicher war. Als die Pandemie ausbrach, veränderten sich die Arbeitsgewohnheiten und damit auch die IT-Landschaft völlig. Die Abteilungen mussten sich in puncto Sicherheit plötzlich auf eine Reihe neuer Herausforderungen einstellen, die sie nicht erwartet hatten.

Aus praktischer Sicht wurde der Zugriff plötzlich zum Hauptproblem. Hybrid- und Fernarbeit ist zwar kein neues Phänomen, doch der VPN-Zugang war eigentlich nur für eine kleine Zahl von Personen gedacht, die von zu Hause aus arbeiten, und nicht für die vielen, die plötzlich außerhalb der Büros arbeiteten. Der sprunghafte und anhaltende Anstieg der Zahl der Anwender:innen, die eine Verbindung herstellen wollten, führte zu einer Überbelegung und belastete die VPN-Headends.

In der Zwischenzeit konnten Probleme nicht mehr persönlich gelöst werden, so dass es schwierig wurde, die Identität der Person, mit der die IT kommunizierte, zu überprüfen. Dies führte zu einer Zunahme von Social-Engineering-Angriffen, bei denen Cyberkriminelle die Identität legitimer Quellen vortäuschen. Tatsächlich führt Verizon in einem Bericht für das Jahr 2021 diese Attacken als die am häufigsten vorkommenden böswilligen Angriffe auf.

Ein weiteres Problem war die höhere Wahrscheinlichkeit von sogenannter Schatten-IT bei Mitarbeiter:innen, die an entfernten Standorten arbeiten. Wenn die Hälfte der Belegschaft zu Hause arbeitet, ist es kaum zu verhindern, dass die Mitarbeiter:innen aus reiner Gewohnheit ihre privaten Geräte und Anwendungen anstelle der von ihrem Unternehmen genehmigten verwenden. Offizielle BYOD-Programme (Bring Your Own Device) im Büro sind formalisiert und verpflichten die Mitarbeiter:innen zur Einhaltung bestimmter Nutzungsbedingungen. Es ist jedoch schwieriger, diese Praktiken bei Heimarbeitenden aufrechtzuerhalten, die fälschlicherweise annehmen, dass die Richtlinien im Büro nicht für die häusliche Umgebung gelten.

Diese Bedenken werden nicht verschwinden. Die plötzliche Einführung der Fernarbeit hat sich zu einem Dauerzustand für hybrides Arbeiten entwickelt. Daher müssen sich auch die IT-Teams anpassen und jede neue Arbeitsumgebung einzeln und als Ganzes angehen, um flexibel und agil die Sicherheit zu gewährleisten.

Laut unserer jüngsten Studie geben 77 % der IT-Entscheidungsträger:innen an, dass Mitarbeiter:innen die sich außerhalb des Unternehmens befinden, die Sicherheitsverfahren nicht mehr befolgen, auch wenn die Unternehmen bereits über eine offizielle Richtlinie für hybrides Arbeiten verfügen. Wenn IT-Teams die volle Kontrolle über die Sicherheit haben sollen, ist es wichtig, sehr spezifische Richtlinien für das Arbeitsverhalten außerhalb des Büros festzulegen: von der Gerätesicherheit bis zum Herunterladen von Anwendungen, von der Verbindung zu Netzwerken bis zur sicheren Entsorgung von gedruckten Dokumenten durch Aktenvernichtern – dies sollte nicht einfach dem Urteil der Mitarbeiter:innen überlassen werden.

Untersuchungen zeigen, dass die Mitarbeiter:innen oft nicht verstehen, wo überall die Regeln gelten und warum sie wichtig sind. Daher ist es am besten, sie in obligatorischen Webinaren zu vermitteln, in denen die Verantwortung der Mitarbeiter:innen bei der Arbeit an jedem Ort betont wird. Unabhängig davon, ob sie geschult sind oder nicht: die Mitarbeiter:innen sind anfällig für vorsätzliche böswillige Angriffe. Daher sollte Ihr Unternehmen in eine angemessene Ausbildung und Sicherheitsschulung investieren, um zu verhindern, dass die Mitarbeiter:innen Opfer von Betrügereien wie Phishing werden.

Co-Working-Spaces und Räume gemeinsam zu nutzen wird immer beliebter als flexible, preiswertere Alternative zum klassischen Büro. Bei der Suche nach einem Co-Working-Space sollte man jedoch nicht nur auf Kosten und Ausstattung achten, sondern auch auf die Sicherheitsrichtlinien und die Allgemeinen Geschäftsbedingungen (AGB). Viele Unternehmen sind der Meinung, dass Betreiber von Co-Working-Spaces für die Sicherheit in ihren Räumlichkeiten verantwortlich sind, aber in Wirklichkeit hat der Veranstalter im Kleingedruckten oft festgelegt, dass er keine Verantwortung trägt.

Fragen Sie nach, um sicherzustellen, dass die Co-Working-Spaces die gleichen Sicherheitsstandards und Erwartungen erfüllen wie Ihr Unternehmen selbst: Wie sieht es mit der physischen Sicherheit aus? Ist der Zugang jedem erlaubt? Wie sehen die Bedingungen bei Datenverlusten oder Datenschutzverletzungen aus? Wer wird im jeweiligen Fall zur Verantwortung gezogen? Wie sehen die Sicherheitsrichtlinien in Bezug auf das Drucken aus? Kann jeder auf die Dokumente zugreifen?

Es ist wichtig, dass die Mitarbeiter:innen die Sicherheitsbedrohungen kennen, die mit dem mobilen Arbeiten verbunden sind. Gemeinsames WLAN in Cafés kann beispielsweise von jedem genutzt werden. Daher ist es wichtig, dass die Mitarbeiter:innen nur über VPN auf Unternehmensdokumente zugreifen, um die Sicherheit zu gewährleisten. Darüber hinaus kann es schnell passieren, dass Informationen physisch in die Hände von Unbefugten gelangen, wenn sich Arbeitnehmer:innen von ihrem Laptop entfernen, um einen Kaffee zu trinken, oder sich im Zug zu einem Unbekannten setzen. Wenn Ihre Mitarbeiter:innen häufig geschäftlich unterwegs sind, sollten IT-Entscheider zumindest einfache Lösungen in Betracht ziehen, wie z. B. Sichtschutzblenden (Privacy Screens) für Systeme.

Unternehmen sollten auch immer daran denken, dass Menschen nicht perfekt sind – der Verlust eines Firmentelefons oder eines Laptops im Zug ist sicherlich keine Seltenheit. In diesem Sinne sind Vorsichtsmaßnahmen immer eine gute Idee. Prüfen Sie die Möglichkeit von sogenannten „Bitlockern“, bevor ein Benutzer:in auf das Betriebssystem zugreifen kann, verschlüsselten Festplatten und die Option, ein Signal an das mobile Gerät zu senden und es zu löschen, um zu verhindern, dass jemand auf Unternehmensdaten zugreift.

Unternehmen auf der ganzen Welt mussten Fernarbeit und hybride Arbeitsformen schneller als erwartet einführen. Infolgedessen mussten die IT-Teams unglaublich hart arbeiten, nur um sicherzustellen, dass der Geschäftsbetrieb per Fernzugriff weiterlaufen konnte. Nun, da sich der Staub gelegt hat, sollte die Sicherheit im Vordergrund stehen. Angesichts so vieler neuer potenzieller Gefahrenquellen für die Sicherheit in verteilten Arbeitsbereichen wäre es für alle Unternehmen von Vorteil, ihre Sicherheitsprotokolle und -richtlinien zu überprüfen. Momentan gibt es viele Veränderungen, die sich auf das Arbeitsleben der Mitarbeiter:innen auswirken. Man muss wissen, dass sie sich möglicherweise nicht darüber im Klaren sind, wie sich diese auf die Sicherheitspraktiken auswirken, oder dass sich ihr eigenes Verhalten ändern muss. Mit dem entsprechenden Wissen und einer gründlichen Schulung der Mitarbeiter:innen kann Ihr Unternehmen das Beste aus dem hybriden Arbeiten herausholen, ohne die Sicherheit zu gefährden.