Sicherheitsrisiko Remote Work – so schützen KMU Ihre Unternehmensdaten
Einer Harvard-Studie von 2015 zufolge hat das ortsunabhängige Arbeiten (Remote Work) riesiges Potential. Die Callcenter-Angestellten, die in der Studie untersucht wurden, waren ausserhalb des Büros 13% produktiver. Aber es ist nicht nur die gesteigerte Produktivität, die Unternehmen dazu führt, Remote Worker einzustellen. Arbeitgeber können aus einem weitaus grösseren Pool an möglichen Arbeitnehmern auswählen, wenn sie sich geografisch nicht einschränken. Zudem werden Kosten wie die Büromiete minimiert (Forbes, 2019).
Demnach ist es kaum verwunderlich, dass mittlerweile 16% aller globalen Unternehmen vollständig auf Remote Work setzen und 52% der Angestellten mindestens einen Tag pro Woche von zu Hause aus arbeiten (OwlLabs, 2019).
Neben den viel versprechenden Vorteilen solch flexibel gestalteter Arbeitsverhältnisse ergeben sich aber auch Herausforderungen. Dazu zählen unter anderem erschwerte Kommunikation und der Schutz sensibler Unternehmensdaten. 58% der Cyberattacken richten sich an KMU (Verizon, 2019) und gemäss den Ergebnissen einer global durchgeführten Studie liegen die durchschnittlichen Kosten einer Datenpanne liegen bei 120'000 US-Dollar (Kaspersky Lab, 2018).
Auf folgende fünf Aspekte sollten Sie achten, damit die Vorteile von Remote Work auch wirklich die Risiken überwiegen.
1. Planung und Dokumentation rund um Cybersecurity sind ein Muss
“Für zwei Drittel der kleinen KMU hat IT-Sicherheit zwar eine hohe Bedeutung, aber nur in etwa 20 Prozent von ihnen wurde eine IT-Sicherheitsanalyse durchgeführt.” - so heisst es in der Studie “Aktuelle Lage der IT-Sicherheit in KMU (2017)” des Wissenschaftlichen Instituts für Infrastruktur und Kommunikationsdienste.Ganz oben auf der “To Do”-Liste sollte für viele KMU die Sicherheitsanalyse und anschliessende Ausarbeitung eines Cybersecurity-Plans stehen. Nicht nur gilt es zu analysieren, welche Daten wie vertraulich sind, wer Zugriff auf welche Systeme benötigt und welche rechtlichen Rahmenbedingungen erfüllt werden müssen (Stichwort DSGVO). Darüber hinaus gehört zum Thema Netzwerksicherheit immer ein Abwägen, denn die absolute Sicherheit gibt es nicht. Insbesondere dann, wenn Teams standortunabhängig auf Daten zugreifen müssen.
Ebenfalls ist der Prozess der Ausarbeitung und Dokumentation eines Plans zur Datensicherung keine einmalige Aufgabe. Höchst wahrscheinlich verändern sich Software, Hardware und Mitarbeiter ständig - genauso wie die Gefahren für Angriffe.
Um gegen die immer häufiger auftretenden Cyberattacken geschützt zu sein sollten Verantwortliche für die IT-Sicherheit und deren genaue Funktion benannt und bei Bedarf externe Fachleute und Berater hinzugezogen werden.
2. Schützen Sie mobile Endgeräte
Während das Monitoring von Arbeitsgeräten wie Laptops und Telefonen schon innerhalb des Bürogebäudes nicht immer ganz einfach ist, erschweren die Nutzung privater Smartphones und öffentlicher WLAN Netze die Gewährleistung von Datensicherheit.
Firmen-Smartphones
Zunächst einmal ist es eine Überlegung wert, Ihren Angestellten mobile Endgeräte zur Verfügung zu stellen und die Nutzung dieser auf berufliche Aufgaben (und Apps) zu beschränken. So vermeiden Sie, dass sich sensible Unternehmensdaten und private Apps auf einem Smartphone mischen. Zudem erlaubt das zweite Telefon Ihren Angestellten das “Abschalten” ausserhalb der Arbeitszeit.
Neben den Apps können Sie ebenfalls Encryption-Software und Thread Protection-Software vorinstallieren und die Geräte somit zusätzlich schützen.
MDM Software
Computerworld empfiehlt ausdrücklich den Einsatz einer Mobile Device Management (MDM) Software. Eine solche Lösung ermöglicht Ihnen den Überblick und das Management über alle mobilen Endgeräte - theoretisch selbst über die privaten Smartphones Ihrer Mitarbeiter, sollten Sie sich gegen Firmenhandys entscheiden.
Verschlüsselung und Dokumentenmanagement auf mobilen Endgeräten sind nur einige der Themen, die Sie durch eine MDM Software abdecken können. Gerade deshalb bietet die Modern Workplace Lösung neben einer integrierten Endpoint-Security auch eine führende MDM Lösung.
3. Speichern Sie Backups in der Cloud
Sollten doch einmal Daten verloren gehen - entweder durch Diebstahl oder einfach durch das Versagen beziehungsweise Abhandenkommen eines von Mitarbeitern verwendeten Gerätes, sind regelmässige Backups Ihre Rettung. Nicht selten verwenden Remote Worker ihre Geräte nicht ausschliesslich für geschäftliche Aufgaben.
Landet doch einmal ein fragwürdiges Download (beispielsweise ein illegal heruntergeladener Film) auf der Festplatte, sind Ihre Firmendaten in Gefahr. Es gibt SaaS-Lösungen, die Sie auf diesen Fall vorbereiten und sich um das Backup Ihrer Unternehmensdaten kümmern.
Laut DSGVO müssen personenbezogene Daten bei Datenverlust verfügbar und rasch wiederherstellbar sein. Ohne regelmässige und vollständige Backups lässt sich diese Forderung nicht abdecken. Gleichzeitig müssen Backups ebenfalls geschützt sein - und das permanente Löschen personenbezogener Daten zulassen.
4. Nutzen Sie Zwei-Faktor Authentifizierung
Neben sicheren Verbindungen und aktivem Angriffs- und Virenschutz gehört auch der Einsatz einer Zwei-Faktor-Authentifizierung zum Einmaleins des Cybersecurity. Während Hacker (oder Angriffssoftware) Passwörter mit Hilfe diverser Tricks recht schnell knacken können ist es weitaus schwieriger, noch eine zweite Hürde zu nehmen. Diese kann eine SMS, ein Anruf oder die Verifizierung über eine App, ein physisches Token oder ein biometrischer Abgleich sein. In vielen Fällen ist das sicherste dieser Methoden das physische Token (Security Intelligence, 2017). Dies kann zum Beispiel ein USB-Stick oder eine Karte (sog. Smartcards) für ein Lesegerät sein. Ein Hacker müsste zum einen das Token stehlen und gleichzeitig das Passwort kennen. Geld Abheben am Automaten ist hier ein gutes Beispiel - benötigt werden PIN und Karte. Geknackt werden kann das System dann, wenn Passwort und Token am selben Ort aufbewahrt werden. Das ist auch der Grund, warum Apps beziehungsweise Anrufe oder SMS nicht vor jedem Agriff schützen. Speichert der Nutzer Login-Daten auf dem Gerät hat der Hacker nach Diebstahl des Smartphones gegebenenfalls Zugang zu beiden Faktoren. Auch bei der Zwei-Faktor-Authentifizierung gilt also: die Sicherheit hängt grundsätzlich immer auch vom Nutzer ab. Das bringt uns zu Punkt fünf.
5. Trainings, Trainings, Trainings
Letztendlich ist das schwächste Glied beim Datenschutz der Endnutzer. Damit Ihre Mitarbeiter über die Gefahren für das Unternehmen und die zur Verfügung stehenden Schutzmassnahmen Bescheid wissen, sind regelmässige Trainings unabdingbar.
Durch den Einsatz von Phishing E-Mails, Ransomware und Social Engineering Attacken finden Hacker immer neue Wege, gerade Remote Worker anzugreifen. Um die Mitarbeiter auf solche Szenarien vorzubereiten, können Sie mit der Modern Workplace Lösung Angriffe simulieren und damit Ihre Mitarbeiter sensibilisieren.
Die drei grössten Fehler, die Ihre Mitarbeiter unbedingt vermeiden sollten sind:
- Den Laptop an Dritte ausleihen
- Ungesicherte WLAN Netzwerke verwenden
- E-Mails unüberlegt öffnen bzw. Links in diesen folgen
Aber damit ist es nicht unbedingt getan. Da sich die Sicherheitsanforderungen ständig ändern und Hacker sich täglich neue Tricks einfallen lassen, sollten Trainings ständig adaptiert und wiederholt werden.
Zusammenfassung
Während die absolute Sicherheit nie erzielt werden kann, haben KMU schon viele der Hausaufgaben auf dem Weg zum hinreichenden Datenschutz nicht gemacht. Leider gibt es keine Standardlösung für den Rundum-Schutz für Ihr Unternehmen. Wenn das Thema Datensicherheit Sie fordert, sind Sie nicht alleine - denn 62% der KMU fehlen die notwendigen internen Ressourcen zum Umgang mit Cybersecurity.
Die oben stehenden Punkte stellen einen guten Ausgangspunkt dar - gerne beraten wir Sie aber auch persönlich hinsichtlich unserer Lösungen zur holistischen IT Security in Unternehmen. Ausgehend von der Analyse Ihrer Anforderungen und Sicherheitsbedürfnissen, helfen wir bei der Priorisierung und technischen Umsetzung Ihrer IT Security.