Durch die Coronakrise hat sich das Arbeiten im Homeoffice wesentlich schneller etabliert. (Bild: Andreas Croonenbroeck)
Die Arbeit von zuhause ist seit der Corona-Pandemie ein zunehmend attraktives und akzeptiertes Mittel der Wahl, wenn es um die Organisation der Arbeit geht. Und dabei eignen sich deutlich mehr Tätigkeiten für die Arbeit im Homeoffice als bislang angenommen. Dies geht aus einer Umfrage unter rund 1800 Unternehmen der Informationswirtschaft und des verarbeitenden Gewerbes hervor, die das Leibniz-Zentrum für Europäische Wirtschaftsforschung (ZEW) durchführte.
Unternehmen erzielen digitale Lerneffekte
Im unternehmensnahen Dienstleistungsbereich berichten demnach mehr als 50 Prozent und im verarbeitenden Gewerbe mehr als 40 Prozent der Unternehmen über digitale Lerneffekte. Dies führe dazu, dass zahlreiche Unternehmen auch für die Zeit nach der Pandemie das Homeoffice intensiver nutzen wollen, so Daniel Erdsiek, Wissenschaftler im ZEW-Forschungsbereich für digitale Ökonomie.
Auch wenn sich das Konzept nicht unbedingt für viele Arbeitsplätze im verarbeitenden Gewerbe eigne, erkenne man auch hier einen Trend: Habe vor der Krise in nur vier Prozent der Unternehmen jeder zehnte Beschäftigte regelmäßig im Homeoffice gearbeitet, soll der Anteil im verarbeitenden Gewerbe auf 14 Prozent der Unternehmen und damit um mehr als das Dreifache ansteigen.
Private Endgeräte erhöhen das Sicherheitsrisiko
Mit Blick auf diese Entwicklungen stellt sich die Frage, wie sicher dieses neue Arbeitsumfeld insbesondere für die Unternehmens-IT ist. Dass Homeoffice zunehmend zu einem Sicherheitsrisiko für die IT wird, weiß man beim IT-Unternehmen Rohde & Schwarz Cybersecurity. Mit einer Flut an Phishing-E-Mails, neu entwickelter Malware und gefälschten Informationen würden Hacker versuchen, aus der Krise Kapital zu schlagen, berichten die Security-Experten.
Ihnen zufolge kommen 70 Prozent der Angriffe aus dem Internet. Der aktuelle Informationsbedarf verschärfe diese Gefahr noch weiter. Zu den Sicherheitslücken zähle der Trend zur Nutzung eigener Endgeräte, also zum „Use your own Device“. Unternehmen müssten daher dafür sorgen, dass die Daten sicher sind und die EU-Datenschutzrichtlinie DSGVO nicht verletzt werde, sowie ihre Mitarbeiter zu diversen Schutzmaßnahmen verpflichten.
Videokonferenzen werden zu Schwachstellen
Eine Lücke ergibt sich den Experten zufolge auch aus Cloudanwendungen und Collaboration-Diensten. Die Schutzmechanismen der Cloudanbieter würden nicht den Sicherheitsanforderungen der meisten Unternehmen entsprechen, konstatieren die Experten. Hinzu komme, dass die Mehrzahl der Cloudanbieter im Ausland sitze. Viele der dort geltenden Regelungen, wie etwa der Clarifying Lawful Overseas Use of Data Act, seien nicht mit der DSGVO vereinbar – es drohen Datenspionage und Compliance-Verletzungen.
Abhilfe biete hier ein datenzentrischer Schutz, bei dem Platzhalter, die nur Metadaten enthalten, in die Cloud eingestellt werden. Als risikoreich entpuppen sich den Security-Experten zufolge gerade E-Mail-Anwendungen, da sich diese von Hackern leicht knacken lassen. Zu einer Schwachstelle können auch Videokonferenzen werden. Unternehmen sollten daher auf Konferenzsysteme setzen, die über den Browser geöffnet werden.
Herausforderungen am Arbeitsplatz
Die Sicherheit ein- und ausgehender E-Mails bleibe eine der wichtigsten Prioritäten für Unternehmen, hört man auch von Cyqueo. Das Unternehmen bietet IT-Security-Lösungen und Managed-Security- sowie Cloud-Security-Dienstleistungen. Dort sieht man einen deutlichen Trend zur Verschiebung des Budgets in Richtung Cloud und Web Security.
Angetrieben von der Einrichtung vieler Remote-Arbeitsplätze wird dieser Trend nach Einschätzung der Spezialisten aber auch nach der Rückkehr vieler Mitarbeiter an ihre gewohnten Arbeitsplätze andauern – zumal auch hier verstärkt auf Cloudanwendungen und -dienste wie etwa Microsoft 365 gesetzt werde. Der „Netskope Cloud & Threat Report“ zeige, dass neun von zehn Unternehmensanwendern täglich mindestens eine Cloud-App aktiv nutzen.
Anpassen der Sicherheitsrichtlinien
Erst kürzlich zogen die Münchener IT-Security-Experten mit Blick auf die Coronakrise eine Zwischenbilanz: So habe man bei der Homeoffice-Absicherung rund 70 Prozent mehr Anfragen verbucht. „Obwohl das traditionelle Konzept des Perimeters sich weiterentwickelt hat, bleibt die Sicherheit der ein- und ausgehenden E-Mails eine der wichtigsten Prioritäten für Unternehmen, um das Risiko der Phishing- und Malware-Angriffe, Business-E-Mail Compromises sowie Störungen im E-Mail-Verkehr zu vermeiden“, sagt der CEO des Dienstleisters Cyqueo, Patric Liebold.
Gerade im Hinblick auf kompromittierte Nutzerkonten oder Social Engineering müsse der Schutz aber auch innerhalb des Unternehmens gewährleistet sein. Entsprechend wichtig sei es daher, Risikonutzer innerhalb des Unternehmens zu identifizieren, Mitarbeiter für Sicherheitsbedrohungen zu sensibilisieren und Sicherheitsrichtlinien entsprechend anzupassen.
Manual Penetration Testing
Für Unternehmen bietet sich aktuell eine Vielzahl an Security-Lösungen. Mit Blick auf die Anwendungssicherheit gilt es laut Veracode, einem Anbieter cloudbasierter Plattformen, sowohl menschliches als auch technologisches Potenzial zu nutzen. Mit der cloudbasierten Plattform und einem systematischen, policybasierten Ansatz wollen die Security-Experten eine einfache und skalierbare Möglichkeit bieten, mit der sich Risiken auf der Anwendungsebene der Softwareinfrastruktur in Unternehmen reduzieren lassen.
Die Experten stellten kürzlich die Methoden des Manual Penetration Testing (MPT) einer Automatisierung der AppSec-Prozesse gegenüber. Veracode betont, dass ein Entweder-oder nicht in Frage komme, wenn es um eine optimale Anwendungssicherheit gehe. MPT biete sich vor allem für die Überprüfung geschäftskritischer Anwendungen oder das Identifizieren neuer Arten von Cyberangriffen an.
Durch die Automatisierung hingegen könne ein skalierbares AppSec-Programm zur Verfügung gestellt werden, mit dem sich das Anwendungsportfolio umfassend schützen lasse. Unternehmen würden so letztlich von einer Kombination aus menschlicher Expertise und Kreativität sowie einer Automatisierung der AppSec-Prozesse profitieren.
