Das Homeoffice ist vor allen anderen Dingen bequem. Aber einfach nur zu Hause den Laptop einzuschalten, das ist zu wenig. Über Sicherheitsfragen und -herausforderungen haben wir mit Thorsten Urbanski vom europäischen IT-Sicherheitshersteller Eset gesprochen.
Herr Urbanski, was ist der grundlegende Unterschied zwischen Büro und Homeoffice?
Das grundlegende Problem ist, dass oftmals im Homeoffice nicht die Sicherheitsstandards einer normalen Büroumgebung gelten. Zum Teil werden Privatgeräte betrieben. Bestes Beispiel: Der Router ist immer ein privater, das kann man als Arbeitgeber nicht beeinflussen. In einem privaten Netzwerk habe ich immer noch Geräte, die Einfallstore über Angreifer sein können.
Das ist ein Problem der Hardware vor Ort, gibt es weitere Probleme?
Ein anderes großes Problem sind Passwörter. Es gibt eine Durchmischung von privaten und beruflichen Passwörtern und wie die verteilt werden. Es kann sich ja jeder einmal durchrechnen, wie viele Kombinationen es aus privaten und beruflichen Passwörtern geben müsste, damit man sicher ist. Was passiert: Berufliche und private Passwörter werden vermischt. Was aus professioneller Sicht deutlich wirksamer ist: Zwei-Faktor-Authentifizierung. Wir haben die Erfahrung gesammelt: Das ist in einer Mittagspause in einem ganzen Unternehmen für alle Mitarbeitergeräte ausgerollt.
Im besten Falle gibt es also eine Sicherheit zwischen dem Server und dem Homeoffice-Arbeitsplatz. Gibt es Sicherheitsbedenken dazwischen?
Wir wissen, dass nicht einmal die Hälfte aller Zugriffe auf ein Firmennetzwerk über eine gesicherte Verbindung, also ein VPN laufen. Das ist natürlich sträflich, weil zum Beispiel sensible Daten von der heimischen Umgebung so sehr unsicher zu einem Server geschickt werden. Um nicht zu sagen: grob fahrlässig.
Geht es hier also um den Aspekt, dass Daten „ausspioniert“ werden können?
Es gibt aktuell noch eine konkrete Herausforderung und die heißt Datenschutzgrundverordnung. Es macht ja keinen Unterschied, von wo man mit personenbezogenen Daten arbeitet, man muss aus dem Homeoffice dieselben Datenschutzauflagen bedenken, die sonst auch in der Firma gelten.
Wenn man also die drei Punkte lokaler Arbeitsplatz, die Internetverbindung und den Server abgesichert hätte: Gäbe es weitere Probleme?
Ja, das größte Problem beginnt wie gesagt immer noch dort, wo vielleicht auch nur für den Übergang private Geräte eingesetzt werden. Dann kann man nichts mehr zentral managen, Themen wie Sicherheitsupdates und die Aktualisierung von Virenscannern und Firewalls liegt dann im schlimmsten Fall auf Seiten der User.
Foto: Unsplash / Privat