Wir dürfen gespannt sein, wie sich Corona diesen Herbst und Winter entwickeln wird – auch mit Blick auf die Homeoffice-Regelungen in deutschen Firmen. Denn zuletzt sind Unternehmen wieder dazu übergegangen, mehr Präsenz von ihren Belegschaften zu fordern. Wobei das Homeoffice jetzt noch aus einer anderen Richtung Aufwind bekommt. Denn auch die Energiekrise macht das Arbeiten in den heimischen vier Wänden für Unternehmen wieder attraktiver. So hat beispielsweise die Otto Group angekündigt, vom 1. Oktober 2022 bis Ende März 2023 nur noch ausgewählte Gebäude in Gänze mit einer Temperatur von 20 Grad Celsius zu beheizen. Der Rest bleibe kalt – zwischen 15 und sechs Grad Celsius. Deshalb seien für das halbe Jahr dort keine Arbeitsaktivitäten erlaubt. Für den Großteil der Belegschaft heißt es deshalb: Homeoffice.
Petra Scharner-Wolff, Konzernvorständin für Finanzen, Controlling und Personal bei Otto, verspricht sich davon einerseits neue Arbeitskonstellationen, wenn die Kolleginnen und Kollegen in den verbleibenden Büros räumlich enger zusammenrücken. Anderseits helfe das Teilen von Arbeitsplätzen und die Verfügbarkeit aller Informationen in der Cloud bei der Umsetzung der Energiesparmaßnahmen enorm.
Mit einem hohen Digitalisierungsgrad durch den Winter ist tatsächlich einmal ein ganz neuer Ansatz – jedoch auch einer, der Fragen aufwirft. Denn streng genommen verlagert ein Konzern, der die Belegschaft aus Kostengründen ins Homeoffice schickt, die finanzielle Belastung durch hohe Energiepreise auf die Mitarbeitenden. Gleichzeitig erhöht vor allem die Heimarbeit das IT-Sicherheitsrisiko der Unternehmen immens.
Und genau das ist ein zweischneidiges Schwert, wie der Digitalisierungsindex Mittelstand 2021/2022 der Telekom aufzeigt. So ist „New Work“ in Form digitaler Zusammenarbeit inzwischen von vielen Unternehmen praktiziert. Entsprechend verbreitet sind Homeoffice und digitale Anwendungen: 57 Prozent nutzen Web- und Videokonferenzen. Digitale Kommunikationstechnologien und -tools gehören heute mit 81 Prozent für die Mehrheit zum Arbeitsalltag. Gleichzeitig rechnet gerade der Mittelstand mit noch mehr Cyberangriffen – insbesondere durch die Verlagerung ins Homeoffice. Weshalb man, wenn denn überhaupt Budget zur Verfügung steht, in diesem Bereich investieren will. Mitarbeitende der von der Telekom befragten Unternehmen werden nach der Pandemie im Schnitt 11 Prozent mehr Arbeitszeit im Homeoffice verbringen – und das war vor der Energiekrise. Für ausreichend gesichert halten jedoch nur 43 Prozent ihre mobilen Arbeitsplätze. Vor allem die Sicherheit bei E-Mails und Technologien zur Verschlüsselung will der Mittelstand künftig ausbauen, ebenso Lösungen zum Identitätsmanagement und zur Authentifizierung.
Aber die insgesamt volatile Wirtschaftslage sorgt dafür, dass Unternehmen ihre Zukunftsinvestitionen überdenken. Laut einer aktuellen Bitkom-Umfrage will jedes dritte Unternehmen im kommenden Jahr seine Digitalinvestitionen zurückfahren – und das, obwohl sich nach wie vor zwei Drittel (66 Prozent, 2021 waren es 65 Prozent) der Unternehmen eher als Nachzügler bei der Digitalisierung sehen. Nach einer Schulnote für den Stand der Digitalisierung des eigenen Unternehmens gefragt, geben sich die Verantwortlichen gerade einmal die Note „befriedigend“ (3,1).
»Im Schnitt dauert es 100 Tage, bis Unternehmen den Angriff überhaupt bemerken.«
Wie also gelingt der Spagat, die IT-Sicherheit im Homeoffice erhöhen zu müssen, wenn gleichzeitig die finanziellen Ressourcen knapp sind? Sicherheitsexperten raten unisono, zunächst bei dem „Problem“ anzufangen, das vor dem Rechner sitzt. Und das ist keinesfalls despektierlich gemeint. Denn mittlerweile sind die sogenannten Phishing-Attacken, also Angriffe, bei denen Kriminelle versuchen, Nutzern ihre Passwörter zu entlocken, so professionell, dass sie selbst für Experten nicht immer sofort zu erkennen sind. „Awareness“ bei der Belegschaft für Risiken, Fallen und Einfallsvektoren zu schaffen, sei deshalb auch ein wichtiger erster Abwehrschritt, rät beispielsweise Prof. Dr. Norbert Pohlmann, Informatikprofessor für Informationssicherheit an der Westfälischen Hochschule sowie Geschäftsführender Direktor des Instituts für Internet-Sicherheit – if(is).
Auch wird laut Pohlmann der Aufwand immer größer, den Angreifer etwa vor einem Ransomeware-Angriff betreiben. Dabei werden Daten verschlüsselt und erst gegen Bezahlung wieder für das Unternehmen freigegeben: „Die Angreifer bereiten sich in der Regel gut und lange mit Analysen vor: Welche Unternehmen greifen sie an, was ist über deren Mitarbeiter in den sozialen Netzwerken an Informationen verfügbar und wie sind die Umsätze des Unternehmens – wichtig für die Lösegeldsumme.“ Die Angriffe seien in der Regel von langer Hand professionell geplant und vorbereitet.
Umso wichtiger, dass die IT-Verantwortlichen in den Unternehmen auch im Homeoffice möglichst viel Kontrolle über die Hardware der Mitarbeitenden haben. Kommen im Homeoffice eigene Rechner zum Einsatz, die auch privat genutzt werden, ist das Angriffsrisiko beispielsweise deutlich erhöht. Und dann gilt auch: Weniger ist mehr. Je weniger Anwendungen auf einem Rechner installiert sind und je weniger Zugriffsrechte ein Mitarbeiter oder eine Mitarbeiterin hat, desto kleiner die Einfallsvektoren.
Und Vorsicht: Wer auf cloudbasierte Dienste setzt, wiegt sich oft auf der sicheren Seite, weil die IT-Sicherheit vermeintlich Aufgabe des Cloud-Anbieters ist. Doch hier verhält es sich wie beim Autofahren. Die Hersteller statten ihre PKW zwar serienmäßig mit gewissen Sicherheits-Features aus, die das Unfallrisiko reduzieren, jedoch nicht verschwinden lassen. Wer hinters Steuer steigt, hat eben auch Verantwortung. Das unterstreicht auch die aktuelle IDG-Studie „Cloud Security 2021“, wonach 39 Prozent der Firmen mit 500 bis 999 Beschäftigten und cloudbasierten Diensten im Einsatz wirtschaftliche Schäden durch Hacker erlitten haben. Im Schnitt dauert es 100 Tage, bis Unternehmen den Angriff überhaupt bemerken und bis dahin ist der angerichtete Schaden oftmals groß.
