Immer wieder liest man, die IT-Sicherheit in Unternehmen habe durch die Covid-19-Epidemie und die häufigere Arbeit im Homeoffice gelitten. Doch dem ist nicht so.
Stellvertretend zwei Zitate vorab: “Homeoffice bietet Einfallstor für Cyberkriminelle” (ZDF), “Einladung für Cyberkriminelle: Sie greifen sensible Daten ab und verlangen Geld. Gerade durch das Arbeiten zu Hause haben Hacker leichtes Spiel” (Süddeutsche Zeitung). Mit Verlaub, das ist grober Unfug und fügt dem wertvollen Werkzeug mobiler und flexibler Arbeitsplatz langfristigen Schaden zu. Denn auch hier gilt wie in vielen anderen Bereichen der Gesellschaft und der Wirtschaft: Die Pandemie legt lediglich gnadenlos alle Schwächen offen, die bereits vorher existierten.
Worum geht es? Beginnen wir mit einem Definitionsversuch. Wikipedia schreibt: “Die Telearbeit (umgangssprachlich Homeoffice) ist eine Arbeitsorganisation, bei der Arbeitnehmer ihre Arbeitsaufgaben ganz oder teilweise außerhalb der Geschäftsräume oder Betriebsstätten des Arbeitgebers überwiegend durch Telekommunikation ausüben. Der Arbeitsort liegt dabei meist in der eigenen Wohnung des Beschäftigten, bei mobiler Arbeit auch an dritten Orten.” Der Duden liefert die Definition “[mit Kommunikationstechnik ausgestatteter] Arbeitsplatz im privaten Wohnraum”.
Was unterscheidet also einen Arbeitsplatz im Homeoffice von einem Büro? Der Vermieter. Sonst hat der Arbeitgeber die Pflicht, die Ausstattung gemäß der auch im Büro üblichen Standards bereitzustellen. Homeoffice meint also nicht die Möglichkeit, am Küchentisch mit dem privaten PC über ein Port Forwarding im Router auf die dienstliche E-Mail zuzugreifen.
So etwas wie “ich schicke mir mal die Excel-Datei an meine private Dropbox, damit ich die zu Hause auf meinem ungepatchten XP-Rechner bearbeiten kann” darf es ebenfalls nicht geben. Im Homeoffice gelten dieselben Anforderungen an den Arbeitsplatz wie im Büro. Das Unternehmen muss seine Mitarbeiter angemessen schulen, Clean Desk Policies müssen eingehalten werden, und es gilt, die PCs zentral zu pflegen und zu verwalten. Der Zugriff auf interne Daten geschieht wie zwischen Standorten einer Firma über ein VPN.
Auch den häufig erwähnten Flurfunk als Alarmierung vor Phishing- oder Trojanerangriffen lasse ich nicht gelten. Keine Firma sollte in einer derart kritischen Frage auf Flurfunk angewiesen sein – das geht mit Sicherheit schief.
Ich räume ein, dass alles bis hierhin lediglich meine persönliche Meinung widerspiegelt. Wie lauten denn offizielle Empfehlungen? Sieht man sich die Empfehlungen des BSI zum Absichern von Heimarbeitsplätzen an, findet man dort nichts, was man nicht ohnehin schon lange in Firmennetzwerken praktizieren sollte: Die Richtlinien fordern Virtual Private Network (VPNs), Mehrfaktorauthentifizierung (MFA), Mobile Device Management, regelmäßige Aktualisierung und qualifizierte Dienstleister.
Eine aktuelle Umfrage des BSI zur IT-Sicherheit im Homeoffice im Jahr 2020 unter besonderer Berücksichtigung der Covid-19-Pandemie zeigt allerdings einen eher erschütternden Sachstand (Abbildung 1). Zwischen einem Viertel und der Hälfte der Befragten haben keine Planungen für Homeoffice-relevante technische Sicherheitsmaßnahmen. Und da handelt es sich ja nicht um Aufgaben für das Homeoffice, sondern um grundlegende Sicherheitsmaßnahmen, die in jedem Informationssicherheitsmanagementsystem (ISMS) die Basis für Informationssicherheit bilden.

Abbildung 1: Ein größerer Teil der vom BSI befragten Unternehmen hat maximal eine Sicherheitsmaßnahme geplant, oft noch nicht einmal das. Quelle: BSI
Lassen Sie uns also bitte aufhören, vom Sicherheitsrisiko Homeoffice zu reden. Ein korrekt eingerichteter Homeoffice-Arbeitsplatz ist genauso sicher wie einer im Büro. Oder andersherum: Ist ein Arbeitsplatz im Homeoffice schlecht gesichert, dann dürfte das auch für den Arbeitsplatz im Büro gelten.
Mit der derzeitigen unsäglichen Diskussion verunsichern wir lediglich Firmenleitungen und fügen dem sinnvollen Arbeitsmodell des Homeoffice langfristig Schaden zu. Und das ist schlecht für Firmen, Mitarbeiter, Umwelt und die Gesellschaft. (jcb)
Der Autor
Der technikverliebte Hagen Bauer – berufstätiger Vater, Ehemann, Naturliebhaber, Läufer und Zelter – bloggt unter »https://www.hagen-bauer.de« seit 2010 regelmäßig über Open Source, Datenschutz, IT und IT-Security, aber auch über allgemeine gesellschaftliche Themen.







Bei Remote-Desktop-Lösungen greift werden ja erstmal nur Bildschirminhalt und Tastatur-und-Mauseingaben weitegeben. Die Datei selbst müssen da gar nicht auf dem PC sein der zuhause steht. Natürlcih ist es trotzdem besser, wenn dieser ein PC ist, den die Admins der Firma aufgesetzt haben als die oft von IT-Laien aufgesetzten Privat-PCs. Dieser PC kann übrigens bei vielen Lösungen auch ein Linux-PC sei. Dafür reicht dann auch ein älterer und leistungschwächerer PC. Man hätte also am Anfang der Pandemie gut noch die PCs dafür hernehmen können, die wegen des Windows-7-Szupportende bei den Unternehmen raus geflogen sind. Dass man am Anfang kaum noch Laptops… Mehr »