Mobiles Arbeiten erhöht die Gefahr von Cyberangriffen in Unternehmen
Die Unternehmen bestätigen in der Umfrage, dass mobiles Arbeiten die Wahrscheinlichkeit von IT-Sicherheitsvorfällen erhöht. So stimmten 73 Prozent der Befragten der Aussage zu, dass die Anfälligkeit für Cyberangriffe steigt, wenn Endgeräte des Arbeitgebers auch privat genutzt werden. Sind die Beschäftigten mit den Geräten im heimischen oder in öffentlichen Netzwerken unterwegs, erhöht dies ebenfalls das Risiko eines Angriffs (71 Prozent). Eine wachsende Anzahl an Tools und Anwendungen erhöht für 63 Prozent der Unternehmen die Komplexität und das IT-Sicherheitsrisiko. Und etwas weniger als die Hälfte der Unternehmen (44 Prozent) befürchtet mehr Angriffe durch Social Engineering, weil sich die Mitarbeitenden nicht mehr persönlich kennen. „Remote-Work erweitert die Angriffsfläche für Cyberkriminelle“, sagt Fliehe. „Es ist daher unerlässlich, dass Unternehmen ihre Sicherheitsmaßnahmen verstärken und ihre Mitarbeitenden kontinuierlich für Risiken sensibilisieren." Vielen Unternehmen scheint das nicht zu gelingen: Immerhin ein Drittel (33 Prozent) stimmt der Aussage zu, dass es schwierig ist, das Bewusstsein für Cybersicherheit bei mobil Arbeitenden aufzubauen und aufrechtzuerhalten. Und 23 Prozent geben an, dass es schwierig ist, den mobil arbeitenden Mitarbeiter:innen bei IT-Problemen zu helfen.
Homeoffice und mobiles Arbeiten hat sich in deutschen Unternehmen etabliert
Trotz der IT-Risiken, die mit der Arbeit außerhalb der Büros oder Betriebsstätten des Arbeitgebers verbunden sind, hat die Mehrheit der befragten Unternehmen eine Homeoffice-Regelung: 65 Prozent der Unternehmen ermöglichen ihren Angestellten mobiles Arbeiten. Insbesondere für große Unternehmen (87 Prozent) und mittlere Unternehmen (79 Prozent) ist Homeoffice mittlerweile Standard. Bei kleineren Unternehmen mi 10 bis 49 Mitarbeitenden bietet immerhin rund jedes zweite (53 Prozent) seinen Beschäftigten die Möglichkeit zum mobilen Arbeiten an.
Deutliche Unterschiede zeigen sich aber bei der Frage, wie viel Zeit die Mitarbeitenden außerhalb des Betriebs tätig sein dürfen. Bei knapp einem Drittel (29 Prozent) sind nur ein bis zwei Tage Homeoffice pro Woche erlaubt. Drei bis vier Tage sind es bei 12 Prozent und zeitlich unbegrenzte Telearbeit ist ebenfalls bei 12 Prozent der Unternehmen möglich. In den meisten Fällen gibt es keine unternehmensweite Vereinbarung, sondern die einzelnen Abteilungen regeln, wie viele Tage pro Woche Homeoffice möglich sind (45 Prozent).
Fast jeder dritte Arbeitgeber ermöglicht Workation
Deutlich weniger Zustimmung als das Homeoffice erhält die sogenannte Workation, also die Möglichkeit, für einen längeren Zeitraum fernab des eigentlichen Standortes in einer anderen Stadt innerhalb Deutschlands oder auch im Ausland zu arbeiten. Immerhin knapp jedes dritte Unternehmen (29 Prozent) ermöglicht seinen Beschäftigten einen längerfristigen Arbeitsplatzwechsel innerhalb des Landes. Bei einem Fünftel ist das Arbeiten in einem anderen Land sogar für längere Zeit möglich (20 Prozent). Zwei Drittel der Unternehmen (69 Prozent) hingegen erlauben ihren Angestellten nicht, aus einer anderen Stadt oder einem anderen Land zu arbeiten (2 Prozent machen keine Angabe).
Hinweise für hohe Cybersicherheit beim mobilen Arbeiten
Mit den folgenden Tipps können Arbeitgeber und Arbeitnehmer die Cybersicherheit beim mobilen Arbeiten verbessern:
- Sicherheitsrichtlinie festlegen und befolgen: Um die Informationssicherheit zu gewährleisten, sollten Arbeitgeber explizite Regelungen für mobiles Arbeiten aufstellen und schriftlich festhalten. Es muss festgelegt werden, welche Aufgaben und Informationen außerhalb des Unternehmens bearbeitet und transportiert werden dürfen. Hierfür sind Sicherheitsmaßnahmen zu treffen, die von den Mitarbeitenden einzuhalten sind. Darüber hinaus muss festgelegt werden, welche Kommunikationskanäle unter welchen Bedingungen bei der mobilen Arbeit genutzt werden dürfen.
- Arbeitnehmer sensibilisieren: Mobil arbeitende Beschäftige müssen für Cybersicherheit sensibilisiert und mit den geltenden Sicherheitsrichtlinien vertraut gemacht werden. Dazu gehören zum Beispiel der Umgang mit sensiblen Informationen, die fachgerechte Vernichtung von Daten und Datenträgern, der sachgemäße Transport von Arbeitsmaterialien und die sichere Kommunikation. Schulungen helfen, die Mitarbeitenden in die Sicherheitsmaßnahmen einzuweisen und beispielsweise für gezielte Cyberangriffe wie Phishing-Attacken zu sensibilisieren.
- Sicheren Remote-Zugriff durch VPN ermöglichen: Um ihre Aufgaben zu erledigen, müssen Mitarbeitende regelmäßig auf interne Ressourcen des Unternehmens zugreifen. Werden dabei unsichere Protokolle genutzt, kann es zu so genannten MITM-Angriffen (Man-in-the-Middle) kommen, bei denen sensible Informationen abgegriffen und manipuliert werden. Damit mobil Arbeitende sicher auf das Unternehmensnetzwerk zugreifen können, muss der Arbeitgeber einen sicheren Fernzugriff einrichten zum Beispiel durch kryptografisch abgesicherte „Virtual Private Networks“ (VPN). So genannte VPN-Tunnel sorgen dafür, dass Daten verschlüsselt übertragen werden.
- IT-Systeme und Datenträger verschlüsseln: Werden firmeninterne Informationen unbefugt gelesen, gestohlen oder veröffentlicht, kann dies schwerwiegende Folgen für das Unternehmen haben. Daher muss der mobile Arbeitsplatz und damit der Zugriff auf vertrauliche Informationen bestmöglich abgesichert werden. Tragbare IT-Systeme wie Laptops oder Diensthandys sollten deshalb unbedingt verschlüsselt werden. Zudem sollten die Mitarbeitenden dafür sorgen, dass vertrauliche Dokumente und Unterlagen nicht in die Hände Dritter gelangen können.
- Bildschirmschutzfolien verwenden: Mobiles Arbeiten bedeutet oft auch Arbeiten im Zug, am Flughafen oder an anderen öffentlichen Orten. Dabei besteht die Gefahr, dass Dritte an vertrauliche Daten wie Kundendaten oder Passwörter gelangen können, indem sie den Mitarbeitenden „über die Schulter schauen“. Auch videoüberwachte Bereiche können ein Problem darstellen. Mitarbeitende sollten daher Bildschirmschutzfolien nutzen, die den seitlichen Einblick auf den Monitor verhindern. Trotzdem sollten sie immer abwägen, welche Tätigkeiten an öffentlichen Orten durchgeführt werden sollten und welche nicht.
Methodik-Hinweis: Grundlage der Studienergebnisse ist eine repräsentative Umfrage des Marktforschungsunternehmens Ipsos im Auftrag des TÜV-Verbands unter 501 Unternehmen ab 10 Mitarbeitenden in Deutschland. Befragt wurden Verantwortliche für IT-Sicherheit, darunter leitende Cybersecurity-Expert:innen, IT-Leiter:innen und Mitglieder der Geschäftsleitung.
Die Fragen lauteten: Im Vergleich zur Arbeit im Büro bzw. in den Gebäuden des Unternehmens: Führt mobiles Arbeiten Ihrer Meinung nach zu (eher) großen oder eher kleinen / keinen IT-Sicherheitsproblemen? Inwiefern stimmen Sie den Aussagen zur Cybersicherheit beim mobilen Arbeiten zu? Bietet Ihr Unternehmen Ihren Mitarbeitenden mobiles Arbeiten an? An wie vielen Tagen dürfen die Mitarbeitenden innerhalb einer Woche mobil arbeiten? Ist es in ihrem Unternehmen möglich, dass Mitarbeitende auch abseits ihres eigentlichen Standorts für längere Zeit in einer anderen Stadt und/oder in einem anderen Land arbeiten?
Als TÜV-Verband e.V. vertreten wir die politischen Interessen der TÜV-Prüforganisationen und fördern den fachlichen Austausch unserer Mitglieder. Wir setzen uns für die technische und digitale Sicherheit sowie die Nachhaltigkeit von Fahrzeugen, Produkten, Anlagen und Dienstleistungen ein. Grundlage dafür sind allgemeingültige Standards, unabhängige Prüfungen und qualifizierte Weiterbildung. Unser Ziel ist es, das hohe Niveau der technischen Sicherheit zu wahren, Vertrauen in die digitale Welt zu schaffen und unsere Lebensgrundlagen zu erhalten. Dafür sind wir im regelmäßigen Austausch mit Politik, Behörden, Medien, Unternehmen und Verbraucher:innen.
TÜV-Verband e.V.
Friedrichstraße 136
10117 Berlin
Telefon: +49 (30) 760095-400
Telefax: +49 (30) 760095-401
https://www.tuev-verband.de
Leiter Kommunikation & Pressesprecher
Telefon: +49 (30) 760095-320
E-Mail: maurice.shahd@vdtuev.de