Mit der Corona-Pandemie sind viele Menschen ins Homeoffice gegangen, um Ansteckungen der Belegschaft zu vermeiden. Auch nach der Pandemie ist weiterhin ein bedeutender Teil der Arbeitnehmer, zumindest ein paar Tage die Woche im Homeoffice. Laut den Zahlen des statistischen Bundesamtes hat sich die Anzahl der im Homeoffice arbeitenden von 2019 von 12,8 % auf 25 % im Dezember 2022 fast verdoppelt. Mittlerweile ist das Homeoffice als Teil flexibler Arbeitsmodelle in der Beliebtheit sehr gestiegen. Mit der erhöhten Anzahl der im Homeoffice arbeitenden, sind auch die Cyberangriffe auf diese gestiegen. Die Cyberkriminellen setzen darauf, das die Mitarbeiter im Homeoffice weniger geschützt sind. Es werden weniger sichere Passwörter verwendet und die Anfälligkeit für Phishing-Attacken ist höher, warnt Claudia von Pawel vom Spezialversicherer Hiscox.
Es ist üblich, dass man von zu Hause sich per VPN (Virtual Private Network) mit dem Firmennetzwerk verbindet. Vielen meinen, damit wäre ein rundum sicheres digitales Arbeiten möglich, so von Pawel weiter. Aber eine sichere technische Infrastruktur allein ist nicht ausreichend. Es ist mindestens ebenso wichtig, das jeder Einzelne auch bestimmte Verhaltensweisen beachtet. Es müssen konsequent starke Passwörter eingesetzt werden oder sich das Wissen angeeignet werden, um selbst sehr professionell gemachte Phishing-Attacken oder telefonisch durchgeführte Hacking-Versuche zu vereiteln. Hier ist es zwingend notwendig die Mitarbeiter regelmäßig zu schulen und auch die Simulation von Phishing-Attacken kann sehr hilfreich sein, um das Verständnis der Mitarbeiter zu erhöhen.
Bei der Arbeit im Homeoffice ist das Risiko für die vertraulichen Informationen eines Unternehmens erhöht, „die Unternehmen müssen ihren Mitarbeitern erhöhte Sorgfaltspflichten als angemessene Geheimhaltungsmaßnahmen auferlegen“, so der Rechtsanwalt Alexander Leister von der Wirtschaftskanzlei CMS. „Dazu gehören zum Beispiel die Benutzung eines aktuellen Virenscanners, die sichere Verwahrung von Dokumenten und das Ausloggen beim Verlassen des Computers.“, so Leister weiter. Die erhöhte Sorgfaltspflicht sollte in einer eigenständigen Homeoffice-Vereinbarung konkret geregelt werden.
Was auch nicht außer Acht gelassen werden darf, bei der Arbeit im Homeoffice, ist die DSGVO. Man kann davon ausgehen, das nahezu jeder Mitarbeiter mit personenbezogenen Daten umgeht. Neben Namen gehören z.B. auch Telefonnummern, E-Mail-Adressen, Kontodaten, Personalnummern oder IP-Adressen dazu, so Haye Hösel, Geschäftsführer und Gründer des Datenschutz- und IT-Sicherheitsspezialisten HUBIT Datenschutz. Zunächst gilt dann, dass das Arbeitszimmer abschließbar sein muss und Unterlagen in einem abschließbaren Schrank aufbewahrt werden müssen. „Auch Laptops, PCs sowie externe Datenträger wie zum Beispiel USB-Sticks gilt es zu verschlüsseln oder einzuschließen“, so Hösel.
Sollten die Mitarbeiter private Geräte im Homeoffice nutzen, muss festgelegt werden, in welchem Umfang das geschieht. Es muss sichergestellt sein, dass etwa das Betriebssystem und der Virenschutz auf einem aktuellen Stand sind, also die Sicherheitsupdates noch vom Hersteller geliefert werden.
Weitere Regeln, die gelten, sind, dass das Firmennetzwerk für Arbeitnehmer nur über ein sicheres Passwort zugänglich sein darf und die Kommunikation per E-Mail nur über den Server der Firma und damit verschlüsselt ablaufen darf. Um die Sicherheit des Firmennetzwerkes durch Zugriff von außerhalb zu gewährleisten, gibt es neben der gängigen Nutzung von VPN mittlerweile auch eine Weiterentwicklung, den Zero Trust Network Access oder ZTNA. Dort wird nicht auf das gesamte Firmennetz zugegriffen, wie bei einem VPN, sondern nur auf bestimmte Anwendungen oder Ressourcen. Der Zugriff wird erst dann gewährt, wenn Anwender vom ZTNA-Service authentifiziert wurden. Nach der Authentifizierung können Anwender über einen sicheren, verschlüsselten Tunnel auf die jeweiligen Anwendungen zugreifen. Wenn Videokonferenzen anstelle von herkömmlichen Meetings gemacht werden, gilt es natürlich auch hier, für eine professionelle Verschlüsselung zu sorgen, damit keine vertraulichen Informationen nach außen dringen können.