Digitalexperten macht vor allem Sorge, dass viele Unternehmen in Deutschland die mit der Ausweitung des Homeoffice verbundenen Cyberrisiken vernachlässigen. In der Pandemie wechselten allein Deutschland nach Angaben des Digitalverbandes Bitkom zwölf Millionen Berufstätige ins Homeoffice.
Das Arbeiten im Homeoffice stelle für die Cyber-Sicherheit der Unternehmen aber eine besondere Herausforderung dar, betonte BSI-Präsident Arne Schönbohm. Denn zusätzlich zu den IT-Lösungen im Unternehmen müssten auch die Systeme im Homeoffice und die Verbindungen zwischen ihnen geschützt werden.
Trotz der erhöhten Angriffsfläche plant nach einer repräsentativen Umfrage des BSI unter 1.000 Unternehmen jedoch nicht einmal jedes zehnte Unternehmen weitere Sicherheitsmaßnahmen zur Absicherung der Homeoffice-Arbeitsplätze. „Zu viele Unternehmen vernachlässigen Cyber-Sicherheitsmaßnahmen“, klagte die BSI-Expertin Agnieszka Pawlowska.
Während einfache Maßnahmen wie der Passwortschutz der Umfrage zufolge meist noch umgesetzt würden, unterblieben oft andere empfohlene Schutzmechanismen wie die Mehr-Faktor-Authentisierung, die Nutzung von Virtual Private Networks (VPN) oder ein Sicherheitsmanagement der mobilen Endgeräte durch das Unternehmen. Besonders kleinere Firmen hätten hier Nachholbedarf.
Dabei sind die Risiken für die Firmen beträchtlich. Von den befragten Unternehmen gaben acht Prozent an, dass sie sich in der Corona-Krise schon mit Cyber-Attacken auseinandersetzen mussten. Etwa ein Viertel davon erlitt nach eigenen Angaben existenzbedrohende oder sehr schwere Schäden. Das Spektrum der Angriffe reicht nach Angaben des Digtalverbandes Bitkom vom sogenannten CEO-Fraud, bei dem sich ein Cyber-Krimineller in einer E-Mail als Unternehmenschef ausgibt und unter hohem Zeitdruck die Überweisung eines hohen Betrags vom Firmenkonto verlangt, bis zum Einsatz von Ransom-Ware, bei der mit einem eingeschleusten Virus alle Firmendaten verschlüsselt und damit unzugänglich gemacht werden, um Lösegeld zu erpressen.
„Homeoffice ist gekommen, um zu bleiben“, betonte BSI-Chef Schönbohm. Die Mehrheit der Unternehmen (58 Prozent) wolle das Homeoffice-Angebot auch nach der Pandemie im momentanen Umfang aufrechterhalten oder sogar ausweiten. Nur jedes sechste Unternehmen plane die Homeoffice-Angebote nach der Pandemie einzustellen. Deshalb müssten nun auch die Budgets für die IT-Sicherheit und die Abläufe in den Firmen angepasst werden, um ein angemessenes Sicherheitsniveau zu garantieren.
„In der Pandemie sind allein in Deutschland zwölf Millionen Berufstätige ins Home-Office gewechselt. Das ist keine Momentaufnahme, sondern bestimmt dauerhaft die neue Normalität. Beim für viele spontanen Wechsel ins Home-Office spielte IT-Sicherheit zu oft keine Rolle. Für mobiles Arbeiten bedarf es einer richtigen Balance zwischen dem benutzerfreundlichen Zugriff auf Unternehmensdaten und dem Schutz der IT. Gefordert sind ein robustes und risikobasiertes IT-Sicherheitsmanagement, Mitarbeiterschulungen und gut durchdachte Notfallkonzepte. Sicherheit ist kein einmaliges Projekt, Sicherheit ist ein kontinuierlicher Prozess
„, ergänzt Achim Berg, Präsident des Bitkom e.V. Weiter Ergebnisse im Überblick
- Durch Corona hat sich das Angebot von Home-Office-Arbeitsplätzen mehr als verdoppelt. 58 % der befragten Unternehmen wollen das Angebot auch nach der Pandemie aufrechterhalten bzw. ausweiten.
- Die Unternehmen, die Homeoffice etablieren wollen, ziehen Digitalisierungsprojekte vor.
- 2/3 der Großunternehmen nehmen die Pandemie als Digitalisierungsturbo wahr.
- Angriffsfläche private IT: Nur 42 % der Unternehmen nutzen ausschließlich eigene IT.
- Über 50 % der Unternehmen investieren weniger als 10 % der IT-Ausgaben in Cyber-Sicherheit. Das BSI empfiehlt, bis 20 % des IT-Budgets in Sicherheit zu investieren.
- Je kleiner die Firma, desto schwerwiegender die Folgen. Für Kleinst- und Kleinunternehmen mit weniger als 50 Mitarbeitenden hat eine von vier Cyberattacken existenzbedrohende Folgen.
- Obwohl kostengünstig, werden einfache Sicherheitsmaßnahmen wie Mobil Device Management, Notfallübungen oder der Grundsatz „IT-Sicherheit ist Chefsache“ nicht genügend umgesetzt. (Mit dpa-AFX)
