4Max - stock.adobe.com
BSI: Wie das Home-Office die IT-Sicherheit beeinflusst
Durch die Pandemie hat sich die Zahl der Home-Office-Arbeitsplätze mehr als verdoppelt. Das hat Folgen für die IT-Sicherheit von Unternehmen, wie das BSI in einer Umfrage zeigt.
Durch die Pandemie haben sich vielerorts die Arbeitssituation und damit auch die IT-Umgebungen verändert. Das ist nicht ohne Auswirkungen auf die Angriffsfläche von Unternehmen und die IT-Sicherheit geblieben. Sowohl bei technischen als auch bei organisatorischen Maßnahmen herrscht vielerorts offensichtlich noch Handlungsbedarf. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat eine Umfrage zur Lage der IT-Sicherheit in der deutschen Wirtschaft durchgeführt. Demnach hat sich die Anzahl der angebotenen Home-Office-Arbeitsplätze mehr als verdoppelt. Im Gesamtdurchschnitt seien jetzt 64 Prozent der Beschäftigten voll oder teilweise im Home-Office. Unter Berücksichtigung von Unternehmen, bei denen Mitarbeiter im Home-Office agieren.
In der nach Angaben des BSI bundesweit repräsentativen Umfrage wurden insgesamt 1000 Unternehmen aller Größen befragt. Voraussetzung waren, dass mindestens drei Mitarbeitende beschäftigt werden und zum Zeitpunkt der Befragung Mitarbeiter aus dem Home-Office agieren. Die Umfrage wurde im Zeitraum Oktober/November 2020 durchgeführt.
Home-Office bleibt oder wird ausgebaut
So ist dann das Arbeiten im Home-Office kein kurzfristiger Trend. Insgesamt 58 Prozent der befragten Unternehmen wollen das Home-Office-Angebot im aktuellen Umfang aufrechterhalten oder sogar noch ausweiten. Und 24 Prozent der Befragten geben an, sie werden das Modell voraussichtlich im geringeren Umfang beibehalten. Geht es um die Ausstattung der Mitarbeiter in Sachen IT, zeigen sich deutliche Unterschiede hinsichtlich der Unternehmensgröße. Bei Großunternehmen (hier als Organisationen mit mehr als 250 Mitarbeiter eingestuft) arbeiten 29 Prozent ausschließlich mit unternehmenseigener IT und 47 Prozent überwiegend mit der firmeneigenen Ausstattung. Bei Kleinstunternehmen arbeiten 43 Prozent der Befragten ausschließlich mit Unternehmens-IT. Ausschließlich private Geräte werden bei allen Teilnehmern nur zu einem geringen Anteil eingesetzt.
Cyberangriffe während der Home-Office-Zeit
Kriminelle sind flexibel, wenn es darum geht, ihre Strategien anzupassen und haben sich schnell auf die neue Situation eingestellt. Von allen befragten Unternehmen mussten acht Prozent auf Cyberangriffe reagieren. Bei den Großunternehmen hatten 24 Prozent diesbezüglichen Handlungsbedarf. Dafür sind die Folgen für Unternehmen augenscheinlich je schwerwiegender, desto kleiner. So habe für Unternehmen mit weniger als 50 Beschäftigten eine von vier Cyberattacken sehr schwere oder sogar existenzbedrohende Folgen.
Bei den Security-Maßnahmen herrscht Handlungsbedarf
Bei der Vorstellung der Umfrage auf einer digitalen Pressekonferenz merkte Agnieszka Pawlowska vom BSI an, dass die IT-Maßnahmen mit der Einführung von Home-Office nicht ausreichend nachgezogen worden sind. Das gilt angesichts der Umfrageergebnisse wohl sowohl für technische als auch für organisatorische Maßnahmen.
Die gute Nachricht: Das Mitarbeiter ein echter Aktivposten in der IT-Sicherheit sind, scheint auf breiter Basis Konsens zu sein. So haben 64 Prozent der Befragten das Thema Mitarbeitersensibilisierung bereits vor der Pandemie umgesetzt und weitere 17 Prozent während der Krise (siehe auch Kostenloser E-Guide: Tipps für Security-Schulungen).
Eher düster sieht es hingegen im Bereich Notfallübungen aus: Lediglich 24 Prozent der Unternehmen üben mit der Belegschaft regelmäßig, was im Falle eines Falles zu tun ist. Dabei zeigen sich große Unterschiede hinsichtlich der Unternehmensgröße, in großen Betrieben finden Notfallübungen häufiger statt als in kleinen. Und auch, dass IT-Sicherheit in jedem Unternehmen Chefsache sein muss, ist bei rund 40 Prozent der Befragten augenscheinlich noch kein dringendes Thema.
Bei den technischen Maßnahmen haben ebenfalls insbesondere die kleineren Unternehmen Handlungsbedarf. So gibt es vielerorts auch bei elementaren Themen wie VPN, Verschlüsselung von Datenträgern oder Multifaktor-Authentifizierung noch Nachholbedarf. Und auch bei diesen Themen geben noch mehr als 20 Prozent der Befragten an eine Umsetzung auch nicht geplant zu haben. Die Verwaltung mobiler Geräte, Stichwort MDM (Mobile Device Management) ist in vielen Unternehmen offensichtlich kein Thema. Nur 38 Prozent der Befragten verwalten die Sicherheit der mobilen Endgeräte, die Kontakt zum Firmennetzwerk aufnehmen.
Stellenwert der IT-Sicherheit ist ausbaufähig
„Home-Office ist gekommen, um zu bleiben. IT-Sicherheit ist jedoch noch zu wenig in Budgets, Abläufen und Köpfen der Unternehmen angekommen. Wer jetzt die Weichen für eine solide Informationssicherheit seiner Infrastruktur legt, der sichert seine Zukunft -in schweren Pandemiezeiten und darüber hinaus“, so Arne Schönbohm, Präsident des BSI.
So geben rund die Hälfte der befragten Unternehmen nur rund zehn Prozent ihres IT-Budgets für IT-Sicherheit aus. Ganze 16 Prozent investieren zwischen 26 bis 50 Prozent des Budgets in Security. Und elf Prozent der Teilnehmer geben an, während der verstärkten Home-Office-Nutzung ihr Sicherheitsbudget aufgrund der Security-Lage erhöht zu haben.
In der Umfrage wurde auch das allgemeine Thema der Digitalisierung berücksichtigt. So habe etwa ein Drittel der Unternehmen aufgrund der Pandemie Digitalisierungsprojekte vorgezogen. Betrachtet man die IT-Lösungen mit Home-Office-Bezug so ist vor allem die Nutzung von Videokonferenzsystemen stark angestiegen. Allerdings ist bei neuen Vorhaben das Thema IT-Sicherheit nicht so grundlegend verankert, wie es Voraussetzung wäre. Nur 51 Prozent der Befragten geben an, dass IT-Sicherheit von Anfang an mitgedacht wird. „Sicherheit ist kein einmaliges Projekt, Sicherheit ist ein kontinuierlicher Prozess“, so Achim Berg, Präsident des Branchenverbandes Bitkom. Gefordert seien ein robustes und risikobasiertes IT-Sicherheitsmanagement, Mitarbeiterschulungen und gut durchdachte Notfallkonzepte.