HomeOffice – Ein gefährlicher Luxus

Eine gründliche Awareness durch den Sicherheitsverantwortlichen hat auch für das Unternehmen den Vorteil, dass sich niemand auf Unkenntnis berufen kann.

Lesezeit: 7 Min.

13.06.2019

Meist fehlen die notwendigen vertraglichen Regelungen: Vernichtung von Malware

Der vielerorts beklagte Arbeitskräftemangel zwingt Unternehmen, potenziellen Mitarbeitern Angebote zu machen, die sich manchmal auch als suboptimal herausstellen können. „Die virtuelle Firma ohne eigene Büroräume wird innerhalb der nächsten zehn Jahre Realität“, prophezeit die Bonner Wirtschafts Akademie. Das Zauberwort heißt Homeoffice. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) gebraucht dafür den Begriff „Telearbeit“ und erläutert, dass unter diesem Terminus „jede auf die Informations- und Kommunikationstechnik gestützte Tätigkeit“ verstanden werde, „die ausschließlich oder zeitweise außerhalb der Gebäude des Arbeit- bzw. Auftraggebers verrichtet wird. Die Erledigung der Tätigkeiten wird durch eine kommunikationstechnische Anbindung an die IT des Arbeit- bzw. Auftraggebers unterstützt.“ Die Zustimmung zur Telearbeit ist bei Unternehmen wie bei Beschäftigten groß. 40 Prozent aller Jobs könnten im Homeoffice respektive Telearbeit ausgeführt werden, schätzen Fachleute. Viele Vorteile scheinen auf der Hand zu liegen. Wenn es in Unternehmen Widerstand gegen diese Form der Arbeit gibt, wird sie schnell als „Präsenzkult der Bürohengste“ („Süddeutsche Zeitung“) verächtlich gemacht. Zu Unrecht, denn der Trend zum Homeoffice ist eine Entwicklung mit Schattenseiten. Dadurch sind beide Seiten Malware ausgesetzt.

WLAN kann zum Sündenfall werden

Homeoffice wäre sicher zu eng definiert, wenn man darunter nur das Tippen und Surfen am eigenen Rechner im heimischen Arbeitszimmer verstehen würde. Wer an einem Werktag zu früher Morgenstunde in einen ICE der Bahn steigt, dem bietet sich fast immer dasselbe Bild. Rund die Hälfte der Zugestiegenen greift – nachdem sie sich des Mantels entledigt hat – zu ihrem Laptop.

Wie viele unter ihnen dann das Passwort „WIFIonICE“ eingeben (oder schon gespeichert haben) ist zwar nicht bekannt, bekannt aber sind Kritiken am Waggon-WLAN der Bahn. Geht man davon aus, dass viele der IT-Frühaufsteher im Sinne ihrer Firma aktiv sind, ist Stirnrunzeln berechtigt. Der Chaos Computer Club (CCC) hatte schon vor einiger Zeit moniert, dass von Unbefugten sensible Angaben wie der Standort, die Mac-Adresse von Endgeräten oder das beanspruchte Datenvolumen der Nutzer auszulesen wären. Malware wartet dann auf uns.

Ein Sprecher der Bahn hat daraufhin betont, es seien „außer den Bewegungsdaten des Endgeräts zu keiner Zeit persönliche Daten des Nutzers wie zum Beispiel das Adressbuch oder Fotos zugänglich“ gewesen. Wie dem auch sei, vielleicht tangieren schon die Bewegungsdaten die betriebliche Sicherheit.

Dieses Exempel lässt sich natürlich auch auf andere Örtlichkeiten anwenden. Für viele Hotels, Cafés oder Restaurants ist es inzwischen selbstverständlich, Gäste mit freiem Internetzugang mittels WLAN zu locken. Doch auch das kann zum Fallstrick werden. Wer die Kontrolle über den Router hat, hat eben auch die Kontrolle über die Daten – und kann die im Zweifelsfall für illegale Zwecke nutzen, schreibt die „WirtschaftsWoche“ und zitiert Stefan Middendorf, Hauptkommissar beim Landeskriminalamt Baden-Württemberg, Fachgebiet Mediensicherheit:

„Wenn ein ‚Böser‘ hinter dem Router steht, eröffnen sich ihm sehr viele Möglichkeiten.“ Kriminelle Datensammler beschäftigen uns fast täglich und scheinen mittlerweile omnipräsent zu sein. Homeoffice-Arbeiter sind ein gefundenes Fressen für Kriminelle, die die erbeuteten Daten später für weitergehende, gezielte Angriffe des Unternehmens nutzen wollen. Wir müssen dann sehr vorsichtig sein, um Malware besser zu vermeiden.

Sicherheitslecks nicht nur in der IT

Jetzt soll niemandem die Nutzung seines Laptops in der Bahn oder im Café vermiest werden, aber wenn es um Arbeit im Homeoffice geht, sind noch andere Beteiligte gefragt. Dabei ist die IT-Sicherheit nur ein Aspekt. Der Ausfall von Mitarbeitern durch Krankheit, Unfall oder Tod kann bei Beschäftigten, die in den Räumen des Unternehmens tätig sind leichter überbrückt werden, als bei einem Kollegen, der im Homeoffice tätig ist. Viele Firmen versäumen es, für einen solchen Personalausfall entsprechende Vorsorge zu treffen.

Dazu würde gehören, eine Vertrauensperson zu bestimmen, die in einem solchen Fall Zugang zu den Unternehmensunterlagen hat, die der Mitarbeiter bei sich zuhause aufbewahrt. Außerdem: Was geschieht mit dem Laptop oder der Computer-Festplatte eines Kollegen, der dauerhaft ausfällt? Das Vorgehen in solchen und ähnlichen Fällen sollte zwingender Weise vor Antritt der Tätigkeit im Homeoffice schriftlich fixiert und vereinbart werden.

Der Sicherheitsverantwortliche des Unternehmens ist bei der Ausarbeitung solcher schriftlichen Vereinbarungen unbedingt hinzuzuziehen. Er muss den Grad an Sicherheitsvorkehrungen bestimmen, die der Mitarbeiter im Homeoffice einzuhalten hat. Dazu gehören beispielsweise die Frage, können Firmenunterlagen sicher, das heißt gut verschlossen in der Wohnung aufbewahrt werden, so dass Unbefugte keinen Zugriff haben? Wie geht der Mitarbeiter mit Dokumenten um, die er nicht mehr benötigt?

Untersuchungen haben ergeben, dass oftmals brisante Schriftstücke völlig frei einsehbar in der häuslichen Papiertonne landen. Um solchen Fahrlässigkeiten von vornherein zu begegnen, sind eine Reihe von Vorsichtsmaßnahmen verbindlich zu vereinbaren, an die sich die Kollegen, die ihre Tätigkeit ganz oder teilweise im Homeoffice ausüben, zu halten haben.

Klare Maßgaben notwendig : Insbesondere gegen Malware

Einer der Kardinalfehler bei der Arbeit im Homeoffice ist die Benutzung ein und desselben Gerätes für private wie für unternehmensbezogene Anwendungen. Noch eklatanter wird dieser Fehler, wenn mehrere Personen – also auch firmenfremde – sich dieses Laptops oder Computers bedienen können. Es ist kaum anzunehmen, dass der Mitarbeiter seine betrieblichen Daten auf dem Rechner in einem besonders passwortgeschützten Bereich verwaltet. Hier ist die Vorgabe, die einzelnen Anwendungen auch durch verschiedene Geräte zu trennen, so gut wie unabdingbar.

Den privaten wie den geschäftlichen E-Mail-Verkehr über einen Computer laufen zu lassen, birgt die zusätzliche Gefahr, sich auf diese Art und Weise Malware im Firmennetzwerk einzufangen. Ebenso ist es von höchster Wichtigkeit, die Frage des Eigentums am Laptop oder Computer zu klären. Damit vermeidet man die unangenehme Situation, dass nach einer Beendigung des Arbeitsverhältnisses das Gerät plus Betriebsinternas auf dem virtuellen Flohmarkt verhökert werden und schnell in falsche Hände geraten können.

Aber auch ganz alltägliche Probleme erscheinen unter dem Aspekt Homeoffice unter einem ganz anderen Licht. Hat ein Kollege im Betrieb Schwierigkeiten mit seiner Hard- bzw. Software, kann er meist auf den hausinternen IT-Systemspezialisten zurückgreifen. Der Kollege oder die Kollegin im Homeoffice wird ihr Gerät nebst den darauf enthaltenen Daten – vor allem wenn das Unternehmen weit entfernt liegt – eher in eine Billigwerkstatt um die Ecke bringen. Was dort dann mit den Informationen gemacht wird, entzieht sich jeder Kontrolle. Und sei es „nur“ das abfischen aller E-Mail-Accounts.

Ganz abgesehen von diesem Datenleck, führt ein Systemausfall zuhause meist zu weit größeren zeitlichen Verzögerungen, als dies bei IT-Havarien im Unternehmen der Fall ist. Ein weiterer Punkt, der auf jeden Fall geregelt sein muss, ist die Frage einer Fernwartung. Bei der Fernwartung erlaubt der PC-Besitzer einem (vielleicht nur angeblichen) Spezialisten den Zugriff auf den eigenen Rechner.

Dieses an sich praktische Supportangebot wird von vielen Fachleuten kritisch gesehen, da betriebsfremden der Zugang zum Computer geöffnet wird. Die Gefahr des Missbrauchs ist dabei virulent. Hinzu kommt, dass bei Schäden die Haftungsfrage äußerst kompliziert werden kann. Daher ist mit dem Arbeitgeber unbedingt zu klären, wer bei auftretenden Problemen hilft.

Die Vielzahl der Risiken im Homeoffice ist für den Mitarbeiter alleine kaum durchschaubar. Eine gründliche Awareness durch den Sicherheitsverantwortlichen hat auch für das Unternehmen den Vorteil, dass sich niemand auf Unkenntnis berufen kann. Eine Unterweisung sollte protokolliert und von beiden Seiten unterzeichnet sein, die für beide Seiten eine sichere Grundlage für spätere Auseinandersetzungen bietet.

Marissa Mayer hat als Yahoo-Chefin alle zurück in die Firma beordert, weil bei ihr der Verdacht aufgekommen war, dass es der eine oder andere mit der Selbstbestimmtheit ein wenig übertrieben hatte. Auch wenn der Verdacht nicht zuträfe, er belastet das Arbeitsklima – und das ist auch beim Homeoffice nicht unwichtig.

 

Beitrag teilen

Über den Autor: Peter Niggl

Peter Niggl, Journalist und Chefredakteur der Fachzeitschrift Security Insight