Wie hoch schätzen Sie generell das Cybercrime-Risiko beim Homeoffice ein?

Wenn Geräte regelmäßig das Firmennetzwerk verlassen, erhöht das selbstverständlich das Risiko einer erfolgreichen Attacke. Denn es ist nicht mehr möglich, um das Netzwerk eine möglichst hohe Mauer zu ziehen. Es ist jedoch fraglich, ob das nicht auch zuvor in den meisten Fällen ein etwas antiquierter Ansatz war. Der bessere Weg ist die verschlüsselte Kommunikation und die Absicherung aller Systeme. Der Trend zu Cloud-Services hilft darüber hinaus beim Aufbau einer einfachen und zeitgemäßen IT-Infrastruktur, die auch beim Homeoffice optimal schützt. Es wird sicher kein Weg sein, Mitarbeitern im Homeoffice den Zugriff auf das Firmennetzwerk von zu Hause zu verwehren, etwa weil die Angst vor den Gefahren zu groß ist. Ein solch autoritäres Vorgehen führt im Zweifel dazu, dass sich Mitarbeiterinnen und Mitarbeiter auf die Suche nach kreativen Schlupflöchern begeben. Dann gehen sie eben einmal in der Woche ins Büro und ziehen die Daten, die sie zum Arbeiten brauchen, unverschlüsselt auf einen USB-Stick. Oder sie laden die Dateien in ihre private Cloud hoch. Dass der USB-Stick nicht in falsche Hände gelangt oder ob der private Cloud-Service über ein sicheres Passwort und eine Zwei-Faktor-Authentifizierung verfügt, darüber hat die IT-Abteilung dann keine Kontrolle mehr.

Welche Erfahrungen machen Sie in der Praxis: Können Sie Beispiele nennen, bei denen ein konkreter Schaden für ein Unternehmen entstand?

Es gibt natürlich extreme Beispiele, auch schon vor Corona. Ein Partner von uns, der Unternehmen in Sachen IT-Sicherheit berät, wurde von einer Arztpraxis konsultiert, die sich aufgrund der immer wieder vorkommenden Datenleaks im Gesundheitsbereich sicherer aufstellen wollte. Der Arzt wollte auch von zu Hause auf Patientendaten zugreifen können, um von dort aus Papierkram erledigen zu können. Die Konfiguration hat er im Prinzip auch hinbekommen. Er hat von zu Hause aus auf seine Daten zugreifen können. Das Problem: Er hatte die sensiblen Daten einfach öffentlich ins Internet gestellt und den Zugriff nicht eingeschränkt, zum Beispiel mit Hilfe eines VPN-Clients. Das heißt: Jeder mit Internetzugriff und etwas IT-Basis-Wissen konnte die Daten abfischen, ein echter Hack war gar nicht notwendig. Ähnliche Fälle wird es gerade in der Hektik um Corona jede Menge gegeben haben. Viele geschehen nicht aus Unwissenheit, sondern weil einfach die Kontrolle und Übersicht fehlt. Es ist schwer zu sagen, wie viele Daten tatsächlich abgeflossen sind. Im genannten Fall zum Beispiel kann der Arzt nur hoffen, rechtzeitig reagiert zu haben. Ob tatsächlich Patientendaten in falsche Hände gelangt sind, wird er nie sicher wissen.

TE (13.08.2021)