Homeoffice erhöht Gefahr für IT-Sicherheit drastisch
Das Verlegen der Arbeit in heimische Büros oder an Küchentische sorgt für mehr Angriffsflächen für Hacker. Diese Auswirkungen des Trends hin zum Homeoffice sind für jedes vierte kleine Unternehmen existenzbedrohend, das zeigt jetzt eine repräsentative Studie des Bundesamts für Sicherheit in der Informationstechnik.
Foto: panthermedia.net/SIphotography
Die Situation des Homeoffice in Pandemiezeiten vergrößert die Angriffsfläche für Cyberkriminelle und nimmt damit Einfluss auf die IT-Sicherheit von Wirtschaftsunternehmen in Deutschland. Das ist ein deutliches Ergebnis einer umfangreichen, repräsentativen Umfrage unter 1000 Unternehmen und Betrieben, die das Bundesamt für Sicherheit in der Informationstechnik (BSI) heute auf einer digitalen Pressekonferenz in Bonn vorgestellt hat.
„Homeoffice ist gekommen, um zu bleiben“
Kein Zweifel: Durch Corona hat sich das Angebot von Homeoffice-Arbeitsplätzen mehr als verdoppelt. 58 % der befragten Unternehmen wollen das Angebot auch nach der Pandemie aufrechterhalten bzw. ausweiten. „In der Pandemie sind allein in Deutschland 12 Mio. Berufstätige ins Homeoffice gewechselt“, weiß Achim Berg. Für den Präsidenten des Branchenverbands Bitkom, der auch an der Vorstellung der Studie teilnahm, ist das „keine Momentaufnahme, sondern bestimmt dauerhaft die neue Normalität“. Während vor der Pandemie 3 % aller Beschäftigten dauerhaft zu Hause arbeiteten, dürften das in der Nach-Corona-Zeit 8 % sein. 28 % würden dann zumindest teilweise im heimischen Büro oder am Küchentisch bleiben.
Viele Unternehmen wollen das Homeoffice etablieren und sie haben ihre Digitalisierungsprojekte vorgezogen, attestiert die Studie. BSI-Chef Arne Schönbohm formuliert es so: „Homeoffice ist gekommen, um zu bleiben.“ Mehr noch: Zwei Drittel aller Großunternehmen nehmen die Pandemie als Digitalisierungsturbo wahr.
Zu wenig Engagement für IT-Sicherheit
Doch Agnieszka Pawlowska, Referentin im BSI, warnt: „Obwohl das Homeoffice auch künftig eine maßgebliche Rolle einnehmen wird, werden viel zu wenig Maßnahmen unternommen, um es abzusichern.“ Nur die Hälfte aller Unternehmen würde auf VPN-Sicherheit oder Mehrfaktor-Authentifizierung setzen. Noch schlimmer sieht es nach Ansicht der Wissenschaftlerin bei dem Thema Verschlüsselung oder dem Mobile-Devise-Management aus.
Dabei stellt gerade die private IT – und damit nur allzu oft auch private Smartphones – eine entscheidende Angriffsfläche dar. Noch immer nutzen nur 42 % der Unternehmen ausschließlich eigene IT.
Notfallübungen nur bei 2 % aller Firmen
Neben der Technik gibt es auch organisatorisch deutlichen Nachholbedarf. Notfallübungen, bei denen einmal durchgespielt wird, wie die Abläufe bei einer Attacke auszusehen haben, finden nur in 2 % aller befragten Unternehmen statt – mehrheitlich bei den großen. Über die Hälfte der Firmen investiert weniger als 10 % der IT-Ausgaben in Cybersicherheit. Das BSI empfiehlt dagegen Investitionen bis 20 % des IT-Budgets in Sicherheit.
„Der Grundsatz ‚IT-Sicherheit ist Chefsache‘ wird noch viel zu wenig umgesetzt“, kritisiert Schönbohm. Und der Branchenvertreter Berg ergänzt: „Gefordert sind ein robustes und risikobasiertes IT-Sicherheitsmanagement, Mitarbeiterschulungen und gut durchdachte Notfallkonzepte.“ Schließlich sei Sicherheit kein einmaliges Projekt, sondern ein kontinuierlicher Prozess.
Hochprofessionelle Banden unterwegs
Die Bedrohungslage ist derweil bekannt und sie hat in der Pandemie erheblich zugenommen. 329 000 Schadprogramme kommen aktuell täglich hinzu. CEO-Frauds, eine Betrugsmasche, bei der Firmen unter Verwendung der falschen Identitäten von Führungskräften zur Überweisung von Geld aufgefordert werden, haben massiv zugenommen. Ransomware, also Erpressungstrojaner, aber auch die Schwachstellen in Microsofts Exchange beschäftigen Firmen, weiß der Bitkom-Präsident. „Da sind hochprofessionelle Banden unterwegs“, berichtet Berg. Pro Jahr verursachen Sabotage, Datendiebstahl und Spionage in deutschen Unternehmen Schäden in Höhe von mehr als 100 Mrd. €.
Für kleine Firmen existenzbedrohend
Laut BSI-Studie mussten in der Corona-Homeoffice-Zeit 8 % der Unternehmen aktiv auf Cyberangriffe reagieren, von den Großunternehmen waren sogar 24 % betroffen. Fest steht jedoch: Je kleiner die Firma, desto schwerwiegender die Folgen. Für Kleinst- und Kleinunternehmen mit weniger als 50 Mitarbeitenden hat eine von vier Cyberattacken schwere, teils sogar existenzbedrohende Folgen. Und auch mittlere Unternehmen mit bis zu 250 Mitarbeitern verzeichneten schwere Schäden.
Die Konsequenzen sind für BSI-Präsident Schönbohm klar. Nur, wer IT-Sicherheit und Digitalisierung als Einheit denke und umsetze, sei für künftig gerüstet: „Wer jetzt die Weichen für eine solide Informationssicherheit seiner Infrastruktur legt, der sichert seine Zukunft – in schweren Pandemiezeiten und darüber hinaus.“
