HOME 5 Data Law 5 „Remote Workforce“: Cybersecurity und Datenschutz sind Pflicht
„Remote Workforce“: Cybersecurity und Datenschutz sind Pflicht

Das Risiko von Cyberangriffen steigt weltweit. Sowohl Gesetzgeber und Behörden als auch Unternehmen und Individuen sind daher gefordert, ein Bewusstsein für Risiken zu entwickeln und Vorkehrungen zu treffen.

Covid-19 hat die Arbeitswelt rapide verändert. War Telearbeit vor der Pandemie üblicherweise nur eine Option für einige wenige Mitarbeiter, wurde sie innerhalb kürzester Zeit für viele Unternehmen zum neuen Standard, um eine Ausbreitung des Coronavirus zu verhindern. Neben den organisatorischen und arbeitsrechtlichen Herausforderungen, die das Management einer „Remote Workforce“ mit sich bringt, hat sich auch das Gefahrenpotenzial in Bezug auf Cybersecurity und Datenschutz erhöht. Durch die Dezentralisie- rung der von der Belegschaft genutz- ten Informationstechnologien und die Veränderung der Kommunikationswege sind neue Angriffsflächen entstanden, die sich Cyberkriminelle weltweit zu Nutze machen. Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) warnte daher bereits im April vor einer massiven Zunahme von Cyber- angriffen im Zuge der Coronavirus-Pandemie.
Für die Unternehmen bedeutet dies zweierlei: Sie müssen Maßnahmen treffen, um Cyberattacken vorzubeu- gen, sowie Aktionspläne entwerfen und geschultes Personal bereitstellen, um im Angriffsfall damit umzugehen. Zugleich müssen sie darauf achten, dass auch bei der Telearbeit datenschutzrechtliche Anforderungen eingehalten werden.

Cyberattacken und erhöhte Anforde- rungen an die IT-Infrastruktur
Durch die Dezentralisierung des Arbeits- umfeldes sind die Angriffsflächen für Cyberattacken größer geworden. Umso wichtiger ist es für Unternehmen, bei ihrem Personal ein entsprechendes Bewusstsein für die Risiken zu wecken. Denn in der Regel wählen Cyberkrimi- nelle einzelne Angestellte als Ziel für den Angriff aus. Eine gerne genutzte, da rela- tiv einfache Methode ist das sogenannte „Spear Phishing“. Hierbei handelt es sich um E-Mails, in denen ein Mitarbeiter scheinbar von einer Führungsperson und unter Zeitdruck dazu aufgefordert wird, hohe Geldbeträge auf Auslandskonten zu überweisen oder wichtige Informationen wie Zugangsdaten zu übermitteln. Diese Methode ist umso erfolgreicher, je wei- ter die direkte Kommunikation inner- halb des Unternehmens eingeschränkt ist – was oftmals bei einer dezentralem Arbeitsumgebung der Fall ist. Auch Malware und Trojaner-Software kön- nen in einem solchen Umfeld leichter in Unternehmensnetzwerke eindringen, etwa über ungesicherte Netzwerke im Homeoffice oder private Laptops, die nicht ausreichend geschützt sind.
Ein zusätzliches Problem ist der bei der Arbeit zu Hause üblicherweise uneingeschränkte Zugang zu Applikati- onen, die über Cloud-Services oder all- gemein über das Internet verfügbar sind. Solche Programme und Open-Source- Services sind jedoch womöglich nicht in den aufeinander aufbauenden Soft- warekomponenten („Software Stack“) des Unternehmens aufgeführt und auf- grund möglicher Risiken nicht für die Arbeit freigegeben. Dies könnte zu einer „Schatten-IT“ mit Problemen für die IT-Verwaltung und den Datenschutz führen. In einem Worst-Case-Szenario würden dort ohne Kenntnis des Unter- nehmens auch persönliche Daten verar- beitet, die somit nicht erfasst wären und die Einhaltung von Datenschutzvorgaben gefährden könnten.
Solche Gefahren sind nicht zu unter- schätzen. Wie die Wirtschaftszeitung „Nikkei“ Ende August berichtete, hatten knapp 40 große japanische Unterneh- men unauthorisierte VPN-Verbindungen registriert oder waren Opfer von Dieb- stählen von Zugangsdaten geworden. Auch wenn die Schwachstelle zügig auf- gedeckt wird, kann es dennoch sein, dass bereits Schadsoftware installiert oder sogar Daten gestohlen wurden.

 

Continue Reading (PDF)

INTERESTED IN A CONSULTATION?

MENU