Datensicherheit muss sich bei Remote Work auf den Menschen konzentrieren
Alle ausgefeilten technischen Sicherheitsmaßnahmen nützen nicht viel, wenn der Faktor Mensch außer Acht gelassen wird. Wenn es darum geht, sicheres Verhalten zu motivieren und zu fördern, sollten Unternehmenskultur und Umfeld miteinbezogen werden.
Telearbeit und mobile Arbeit haben in Deutschland mit Beginn der Pandemie an Bedeutung gewonnen. Die Arbeit von zu Hause hat den Arbeitsmarkt nachhaltig verändert, sodass Arbeitnehmer auch in Zukunft eine hohe Flexibilität bei der Wahl des Arbeitsorts erwarten. Drei Viertel aller Beschäftigten, die während der Corona-Pandemie von zu Hause aus arbeiteten, wollen das weiterhin wenigstens teilweise tun, wie Daten einer Studie der Hans Böckler Stiftung belegen.
Die Perspektive des Menschen ist entscheidend für die das Remote-Work-Konzept.
Viele deutsche Unternehmen sind sich der geänderten Lage am Arbeitsmarkt bewusst und ergreifen notwendige Schritte. Flexibles Arbeiten, Desk-Sharing und andere Formate sollen die Bedürfnisse der Arbeitnehmer adressieren. Dafür gilt es jedoch nicht nur arbeitsrechtliche Fragen zu klären und organisatorische Prozesse zu etablieren, sondern auch die IT – vor allem in Bezug auf Datenschutz und Sicherheit – auf den aktuellen Stand der Technik zu bringen.
Zeit für neue Sicherheitsarchitekturen
Bei der Planung von Remote Work ist es wichtig, Menschen, Prozesse und Technologie zu berücksichtigen. Unternehmen müssen immer den Menschen in den Mittelpunkt stellen und die Welt mit seinen Augen sehen, damit die Arbeit aus der Ferne funktioniert. Andernfalls laufen sie Gefahr, dass ihre Mitarbeiter die Compliance-Prozesse unterlaufen und Schatten-IT nutzen, nur weil sie ihre Arbeit nicht anders erledigen können. Die Perspektive des Menschen ist also entscheidend für die das Remote-Work-Konzept.
Ebenso ist es von entscheidender Bedeutung, die Grundlagen der IT-Sicherheit abzudecken, unabhängig davon, wo die Mitarbeiter arbeiten:
- Sicherheitsrichtlinien müssen aktualisiert werden, um die Prozesse der Fernarbeit zu reflektieren.
- Sichere Kommunikationskanäle müssen sich auch auf entfernte Standorte erstrecken.
- Der Zugang zu sensiblen Informationen sollte so weit wie möglich eingeschränkt werden.
- Es sollten regelmäßige Schulungen durchgeführt werden, um die Mitarbeiter an wichtige Compliance- und Sicherheitsanforderungen zu erinnern.
- Vor allem müssen Überwachung und Audit aktualisiert werden.
Unternehmen gehen ein hohes Risiko einer Kompromittierung von Daten ein, wenn sie diese Prozesse und Richtlinien für die Fernarbeit nicht aktualisieren.
In letzter Zeit wird viel über Zero Trust gesprochen. Vom Konzept her ist Zero Trust das Gegenteil der Philosophie des Castle & Moat, die die IT-Sicherheit so lange beherrscht hat – das Unternehmensnetzwerk ist eine Burg, und alle Angreifer werden an den Mauern aufgehalten. Mit der Verbreitung von Cloud-Computing und der Zunahme von Cyberangriffen in der Lieferkette lässt sich diese einst fest etablierte Grenze nicht mehr klar abgrenzen. Jedes System innerhalb des Netzes muss nun als eigene Festung betrachtet werden, für die alle geeigneten Sicherheitsmaßnahmen ergriffen werden müssen. Dies ist der Paradigmenwechsel von Zero Trust, und dieser Ansatz bietet eine bessere Sicherheit als ein traditionelles Modell mit VPN-Verbindungen für Remote-Mitarbeiter.
Den Finger am Puls des Unternehmens
Hier sollte die Berücksichtigung des Menschen und der Unternehmenskultur nicht unterschätzt werden. Nicht jedes Unternehmen ist möglicherweise bereit, Zero Trust einzuführen. Die technologische Umstellung erfordert Zeit und Geld, die möglicherweise nicht ohne Weiteres zur Verfügung stehen. Das Wichtigste für jedes Unternehmen ist es, die Grundlagen zu schaffen und die Mitarbeiter in Bezug auf die Einhaltung von Vorschriften und Sicherheitsschulungen auf den neuesten Stand zu bringen.
Die kulturelle Kluft zwischen Büro- und Homeoffice-Arbeitenden wird sich auf das Sicherheitsverhalten aus.
Neben den technischen Herausforderungen gibt es auch eine kulturelle Kluft zwischen entfernten Arbeitsorten und dem Büro. Es gibt einfach weniger soziale Bindungen, da die Möglichkeiten, persönlich Kontakte zu knüpfen, andere bei ihrer Arbeit zu beobachten und den Finger am Puls des Unternehmens zu haben, abnehmen. Diese Faktoren wirken sich direkt auf die Motivation, die Security Awareness und das Sicherheitsverhalten ihrer Mitarbeiter aus. Daher ist es von entscheidender Bedeutung, Brücken zwischen den Mitarbeitern vor Ort und denen an anderen Standorten zu bauen.
Gemeinsame Verantwortung für den Schutz von personenbezogenen Daten
All diese Überlegungen sind für Unternehmen, die ihre eigenen Daten und die Daten ihrer Kunden im neuen Arbeitszeitalter schützen müssen, von großer Bedeutung. Das Unternehmen ist für den Schutz der Daten verantwortlich und haftbar.
Im Allgemeinen ist das Unternehmen für den Datenschutz verantwortlich, und das gilt sowohl für Firmen in den USA als auch in Europa. Aber die Unternehmen werden ihre Mitarbeiter an dieser Verantwortung teilhaben lassen, um die lokalen Gesetze und branchenspezifischen Vorschriften einzuhalten. Je nach Branche und Rechtsprechung unterliegen Unternehmen Meldepflichten für Datenschutzverletzungen. Um diese einzuhalten und Rechtsstreitigkeiten zu vermeiden, werden die Unternehmen dafür sorgen, dass ihre Mitarbeiter die gesetzlichen und regulatorischen Anforderungen kennen und unterschreiben. Die Unternehmen werden ihre Mitarbeiter für die Einhaltung des Datenschutzes zur Rechenschaft ziehen. Aus diesem Grund müssen viele von ihnen jährliche Compliance-Schulungen absolvieren.
Die Nichteinhaltung der Unternehmensrichtlinien kann unterschiedliche Ursachen und Konsequenzen haben. Je nach Rechtsprechung und Beschäftigungsbedingungen können Mitarbeiter für vorsätzliche und versehentliche Datenschutzverletzungen bestraft werden. Handelt es sich um einen versehentlichen Verstoß, der im Rahmen der Tätigkeiten erfolgt ist, die der Mitarbeiter vernünftigerweise im Rahmen seiner Arbeit ausführen sollte, ist das Unternehmen höchstwahrscheinlich haftbar. Auch wenn Arbeitgeber geneigt sein könnten, Geldstrafen und andere Verweise einzuführen, müssen sie vermeiden, eine Kultur der Angst und der Schuldzuweisung zu schaffen, die die Produktivität beeinträchtigt.
Die Verantwortung der Mitarbeiter
Ganz anders verhält es sich bei Arbeitnehmern, die vorsätzlich Datenverletzungen verursachen. Es ist sehr wahrscheinlich, dass Arbeitgeber dies als grobes Fehlverhalten betrachten und Mitarbeiter fristlos und ohne Bezahlung entlassen. So entschied der Oberste Gerichtshof der USA zu Gunsten der Arbeitgeber und stellte fest, dass es keine stellvertretende Haftung für Datenschutzverletzungen durch skrupellose Mitarbeiter geben kann. Ähnlich verhält es sich in Großbritannien, wo Angestellte von den Datenschutzbehörden wegen vorsätzlicher Datenverstöße zu Geldstrafen verurteilt wurden, z. B. für die gemeinsame Nutzung von Daten mit persönlichen E-Mail-Konten. Ein weiteres Beispiel ist Litauen, wo Arbeitnehmer gemäß dem Arbeitsgesetzbuch zu Schadenersatz aufgefordert werden können. Verträge können sogar wegen Fahrlässigkeit oder böser Absicht gekündigt werden.
In Deutschland haften Arbeitnehmer für den Schutz persönlicher Daten am Arbeitsplatz.
Deutschland stellt eine besonders interessante Fallstudie dar, da das Land für seine strengen Arbeits- und Datenschutzgesetze bekannt ist. Die lokale Gesetzgebung legt ausdrücklich fest, dass Arbeitnehmer für den Schutz persönlicher Daten am Arbeitsplatz verantwortlich sind. Die Nichteinhaltung stellt einen Verstoß gegen das Arbeitsrecht und das Strafrecht dar. In einem Fall wurde einer 55-jährigen Frau nach 34 Jahren im Job gekündigt, weil sie wiederholt ohne triftigen Grund auf persönliche Daten von Freunden zugegriffen hatte (LAG Berlin-Brandenburg Az. 10 SA 192/16). Auch wenn der Arbeitgeber für die Einhaltung der Vorschriften verantwortlich ist, müssen die Beschäftigten im Umgang mit personenbezogenen Daten Sorgfalt walten lassen.
Die Folgen aus Sicht der Mitarbeiter
Ein häufig übersehenes Problem ist die psychische Gesundheit der Mitarbeiter innerhalb der Organisation. Dazu gehören diejenigen, die den Vorfall entschärfen sowie die Mitarbeiter, die ihn möglicherweise verursacht haben. Als Verteidiger haben die IT-Sicherheitsteams möglicherweise das Gefühl, dass sie ständig im Hintertreffen sind. Ein guter Tag ist ein Tag ohne einen IT-Sicherheitsverstoß. Aufgrund des Mangels an positiven Ereignissen und der allgemein düsteren Aussichten wird die Langzeitmotivation von IT-Sicherheitsteams zu einer Herausforderung.
Die Mitarbeiterbindung ist auch ein Problem bei Opfern von Cyberangriffen, z. B. bei Mitarbeitern, die versehentlich Datenverletzungen verursacht haben. Die Aufrechterhaltung einer klaren Kommunikation und einer positiven Kultur in Bezug auf die Meldung von Cyber-Vorfällen ist von größter Bedeutung. Die Chancen stehen gut, dass Unternehmen auf irgendeine Weise gehackt werden, die Social Engineering beinhaltet. Eine gute Kommunikation legt den Schwerpunkt sowohl auf die Maßnahmen, die vor einem Angriff ergriffen werden, um ihn zu verhindern, als auch auf die Emotionen, die Mitarbeiter nach einem Angriff durchleben. Vorbereitung ist in dieser Hinsicht der Schlüssel und muss auch Informationen über Verfahren beinhalten, die im Falle eines Angriffs befolgt werden sollten.
Risikoabschätzung
Die Risiken der Fernarbeit hängen in hohem Maße von der IT-Architektur und der Sicherheitsreife eines Unternehmens ab. Bei Zero Trust würde man davon ausgehen, dass es kaum einen Unterschied im Risiko gibt, wenn es um den Schutz der Systeme geht. In einer Realität ohne Zero Trust-Setup müssen die Mitarbeiter gezwungen sein, VPN für die Arbeit zu nutzen, um hinter die Firewalls zu gelangen. Umfragen nach der durch die Coronakrise ausgelösten Verlagerung der Arbeit von zu Hause aus sind für die Sicherheitsabteilungen besorgniserregend. „Bring-your-own-device“-Richtlinien und veraltete Software waren einige der Herausforderungen. Die Mitarbeiter verzögerten Aktualisierungen und hielten sich nicht mehr an die Richtlinien.
Die Zahl der Social-Engineering-Angriffe stieg um 270 Prozent an.
Unternehmenskultur und Umfeld sind wichtige Faktoren, wenn es darum geht, sicheres Verhalten zu motivieren und zu fördern. Es ist daher naheliegend anzunehmen, dass Mitarbeiter, die von zu Hause aus arbeiten, eher Opfer von Phishing-Angriffen werden. Das Urteil hierüber steht allerdings noch aus. Anders verhält es sich bei physisch gespeicherten Informationen, die an einem zentralen physischen Ort, an dem routinemäßig Maßnahmen und Verfahren angewandt werden, besser geschützt sind. Es ist eine gute Praxis, zu verbieten, dass Unterlagen und physische Datenträger aus dem Büro entfernt werden.
Fazit
Die Frage stellt sich, welche Mindestmaßnahmen Organisationen ergreifen müssen, um die Sicherheit für Remote Work zu gewährleisten. Es gibt eine Reihe von Schritten, die Organisationen befolgen sollten:
- Sicherstellen der Einhaltung von Gesetzen und Vorschriften
- Implementieren von Industriestandards wie ISO 27001 oder dem NIST-Framework
- Regelmäßige Audits und Überwachungen durchführen
- Mitarbeiter dazu zu befähigen, intelligente Sicherheitsentscheidungen zu treffen
Wenn es um die Absicherung von Daten und den Schutz der Kunden geht, sind die Mitarbeiter – vor Ort und an anderen Standorten – das wertvollste Kapital einer Organisation. Als letzte Verteidigungslinie treffen sie jeden Tag wichtige Sicherheitsentscheidungen. Sie stehen häufig zwischen einer Datenschutzverletzung und der erfolgreichen Abwehr einer Cyberattacke.