Nach fast zwei Jahren Pandemie geht der Blick nach vorne, gen „Neue Normalität“. Dazu gehört auch Remote Work. Doch die Coronazeit hat hier manche IT-Schwäche in Unternehmen offenbart. Vor allen Dingen die Sicherheit der Daten gilt es verstärkt in den Blick zu nehmen. Hier wird es über kurz oder lang ein Plattformangebot für Informationssicherheit-as-a-Service geben.

Von den Erwerbstätigen in Deutschland haben 24 % im Januar 2021 ausschließlich von zu Hause aus gearbeitet. Vor der Coronakrise taten dies nur vier Prozent. Das belegt die Erwerbspersonenbefragung der Hans-Böckler-Stiftung, die Forscher des Wirtschafts- und Sozialwissenschaftlichen Instituts (WSI) und des Instituts für Mitbestimmung und Unternehmensführung (I.M.U.) ausgewertet haben. Die Untersuchung beruht auf den Angaben von mehr als 4600 abhängig Beschäftigten, die im April, Juni und November 2020 sowie im Januar 2021 befragt wurden, ergänzt durch eine Analyse von 67 Betriebs- und Dienstvereinbarungen, die in Betrieben und Verwaltungen mobile Arbeit regeln. Sie zeigt: Corona ist der Katalysator für die Entwicklung hin zur Remote Work. Mit allen Chancen und Risiken, die in einem solchen Wechsel liegen. Hier gilt es, Chancen zu nutzen und Risiken zu mindern.

In Rekordtempo auf Remote Work umstellen

Die größten Herausforderungen durch Remote Work wurden sicherlich an die IT gestellt. Die IT-Dienstleister waren gefordert, innerhalb kürzester Zeit nicht nur die eigenen Prozesse auf Remote Work umzustellen, sondern auch die IT ihrer Kunden für die massenhafte Arbeit von zu Hause zu enablen. Diese Herkulesaufgabe ist sehr gut gelungen. Durch die Verbreitung des Remote Working rückt zugleich das Thema IT- und Datensicherheit verstärkt in den Fokus. So ist es nur folgerichtig, dass das Bundesamt für Sicherheit in der Informationstechnik (BSI) im Frühjahr 2021 einen Ergebnisbericht zur „IT-Sicherheit im Home-Office“ vorgelegt hat.

Remote Work als neuer Angriffsvektor

Die BSI-Experten betonen in diesem Bericht, welche Bedeutung funktionierende und sichere IT-Infrastrukturen haben. Das Homeoffice oder Remote Work böte eine spezielle Angriffsfläche. Der Bericht zeichnet deshalb ein Bild von der Lage der IT-Sicherheit im Homeoffice vor und während der Pandemie. Dazu wurden bundesweit 1000 kleinere und mittlere Unternehmen (KMU) sowie Großunternehmen zur ihrer Homeofficesituation durch das Umfrageinstitut „INFO GmbH Markt- und Meinungsforschung“ befragt. Kaum überraschend geben die Unternehmen an, ihr Homeofficeangebot im Umfragezeitraum aufgrund von Corona mehr als verdoppelt zu haben. Insgesamt waren beziehungsweise sind 64 % der Beschäftigten voll oder teilweise im Homeoffice. Besonders Großunternehmen planen, perspektivisch das Arbeiten im Homeoffice im gleichen Maße zu erhalten oder sogar noch auszuweiten.

Pandemie ändert die Arbeitswelt langfristig

Die COVID-19-Pandemie hat somit das Potenzial, die Arbeitswelt nachhaltig zu verändern. Unternehmen stellten Teile des Arbeitens auf Homeoffice um und beschleunigten Digitalisierungsprozesse, um weiterhin arbeits- und wettbewerbsfähig zu bleiben. So gaben bei der BSI-Umfrage ein Drittel der Kleinstunternehmen und zwei Drittel der Großunternehmen an, die COVID-19-Pandemie als Digitalisierungsturbo wahrzunehmen. Es zeigt sich: Rund ein Drittel der Unternehmen hat aufgrund der Coronakrise Digitalisierungsprojekte zeitlich vorgezogen oder neu geplant und implementiert. Dabei wurden IT-Lösungen mit Homeofficebezug wie Videokonferenzsysteme häufig neu eingeführt. Bei diesen Digitalisierungsmaßnahmen zeigt sich, dass passgenaue Sicherheitslösungen für das Homeoffice eine wichtige Managementaufgabe sind. Denn zusätzlich zu den IT-Lösungen im Unternehmen müssen auch Systeme im Homeoffice und die Verbindung der Systeme geschützt werden. Hier sind nicht nur technische, sondern auch organisatorische Sicherheitsmaßnahmen gefragt.

Sicherheit von Anfang an mitdenken

Aber häufig wird bei der Einführung von Geschäftsprozessen die Cybersicherheit nicht von vornherein mitbedacht. Sie ist aber entscheidend. Mehr als die Hälfte der vom BSI befragten Unternehmen berücksichtigt Cybersicherheitsmaßnahmen, wenn überhaupt, erst später. Dies betrifft nach Beobachtung des BSI vor allem Unternehmen, die sich selbst einen schlechten Stand der IT-Entwicklung und Digitalisierung attestieren. Das Fazit der BSI-Experten: „Eine erfolgreiche Digitalisierung ohne Cybersicherheit kann und wird es nicht geben.“ Den benötigten Rundumschutz für Unternehmen bietet nur ein professioneller IT-Betrieb. Dieser trägt dafür Sorge, dass Daten und Anwendungen sicher und zuverlässig zur Verfügung stehen. In den Bereichen Technik und Betrieb kann die Verantwortung für IT-Sicherheit vollständig auf IT-Dienstleister übertragen werden. Das ist für viele Unternehmen sogar ratsam. Denn um bei der immensen Dynamik neuer Bedrohungsszenarien stets auf der Höhe der Zeit zu bleiben, haben Dienstleister oftmals mehr Experten, Spezialwissen und Erfahrung. Zudem können Servicedienstleister die Kosten der aufwendigen Sicherheitssysteme und -organisation des IT-Betriebs auf viele Kunden umlegen. So können sie Skaleneffekte heben und diese an ihre Kunden weitergeben.

Angebot ermöglicht passgenaue Lösungen

Die IT-Dienstleister stehen ihren Kunden zudem partnerschaftlich und auf Augenhöhe für alle Fragen rund um das Thema IT als zentrale Ansprechpartner zur Verfügung. Dank ihrer technologischen Expertise können sie die Prozesse der Unternehmen und die technologischen Lösungen optimal miteinander verknüpfen. Dabei treten sie auch als Vermittler in Richtung der großen Hyperscaler wie Microsoft oder Amazon auf. Denn auch an dem Thema Public Cloud führt heutzutage kaum noch ein Weg vorbei. Hyperscaler bieten viele Möglichkeiten an Komponenten für Informationssicherheit an. Diese zusammenzuführen, ist jedoch nicht einfach. Moderne Cloudlösungen sind vielfältig und komplex. So ist es ohne Erfahrung im Bereich der Hyperscaler für Unternehmen nicht leicht, die richtigen Komponenten für die eigenen Geschäftsprozesse auszuwählen. Viele Unternehmen setzen hierbei aus unterschiedlichen Überlegungen auf hybride Modelle und eine Mischung aus Private und Public Cloud.

Die Gefahr im Inneren

Doch auch wenn der IT-Betrieb in hybride Cloudlösungen ausgelagert werden kann und dort starke Komponenten für die Informationssicherheit zur Verfügung stehen, lässt sich der größten Gefahr für IT-Systeme nur innerhalb der Unternehmen begegnen. Denn diese geht von den Mitarbeitern im Unternehmen aus. Der wissentliche und vorsätzliche Raub von Daten ist eher die Ausnahme. Falsche Bedienung, die private Nutzung von firmeneigener Hard- und/oder Software sowie der fahrlässige Umgang mit vertraulichen Informationen sind mindestens ebenso große Gefahren für die IT-Sicherheit wie Bedrohungen von außen. Und diese Gefahren sind durch die Verbreitung des Homeoffice deutlich gestiegen. Unternehmen brauchen hier IT-Sicherheitsstrukturen, die in der Organisation wirken. Die Sensibilisierung für Risiken und das Durchsetzen von Sicherheitsrichtlinien wie -strukturen unter den Mitarbeitern sind zentrale Managementaufgaben. Den eigenen Mitarbeitern muss die Bedeutung der IT-Sicherheit vermittelt werden. Sie gilt es im Umgang mit Sicherheitsrichtlinien zu schulen und sie gilt es auf die verbindliche Einhaltung der Regeln zu verpflichten. Egal wo sie für das Unternehmen tätig sind, ob im Büro oder im Homeoffice. Voraussetzung dafür sind definierte Sicherheitsziele und eine klare Organisationsstruktur für Sicherheitsthemen.

IT-Sicherheit ist Chefsache

Um IT-Sicherheit im Unternehmen zu erreichen, muss sie in der Organisationsstruktur verankert sein. Hier ist eine klare Aussage der Unternehmensleitung von entscheidender Bedeutung: Diese soll den Stellenwert von IT-Sicherheit für den Geschäftserfolg signalisieren. Das verschafft den verantwortlichen Mitarbeitern die nötige Durchsetzungskraft für Regeln und Maßnahmen im Unternehmen. So bereiten sich Unternehmen für den Notfall vor. Die Vielzahl an Attacken, die durch die Medien bekannt gemacht werden, senden hier ein deutliches Signal. Statt teurer und mitunter sogar existenzbedrohender Sicherheitsvorfälle gilt es präventiv tätig zu werden. Hier bewährt sich die Zusammenarbeit mit einem vertrauensvollen IT-Partner, welcher die notwendige Expertise mitbringt. Bei der Auswahl ist darauf zu achten, dass IT-Dienstleister in Bezug auf IT-Sicherheit technologisch versiert sein müssen, um sicherzustellen, dass die Unternehmenssysteme möglichst wenig Angriffsfläche bieten. Und sie müssen über fundiertes Wissen über gesetzliche und branchenspezifische Anforderungen an die Informationssicherheit verfügen.

Daten als Blutkreislauf der Wirtschaft

Klar ist: An der Digitalisierung führt aufgrund der immensen Chancen kein Weg vorbei. Das zeigt schon die riesige Menge an Daten, die mittlerweile um den Globus bewegt wird. Unternehmen müssen die Verwaltung von Daten und die Sicherheit der gespeicherten Daten meistern. Denn diese bilden den „Blutkreislauf“ der Wirtschaft. Informationen werden zwischen Kunden und Unternehmen, Unternehmen und Partnern und Lieferanten ausgetauscht. Sie sind damit die Grundlage für strategische Entscheidungen, die den Unterschied zwischen Erfolg und Misserfolg ausmachen. Die Anzahl an Daten steigt mit jedem Jahr weiter an und lag laut der International Data Corporation (IDC) 2020 bei 64 Zettabytes (ein Zettabyte ist eine Zahl mit 21 Nullen). Und die IDC geht davon aus, dass sich diese gewaltige Datenmenge bis 2025 noch einmal fast verdreifacht, auf 175 Zettabyte. Die Rede von einer Zettabyte-Ära ist also keinesfalls leichtfertig.

Cyberattacken auf Daten steigen

Und diese schier unglaubliche Datenfülle bringt zahlreiche Herausforderungen für Unternehmen mit sich. Denn egal wie groß die Datenflut ist: Auch für diese gelten gesetzliche Vorgaben wie die Datenschutz-Grundverordnung (DSGVO). Hier gilt es entsprechende Prozesse einzuhalten oder zu implementieren: zum einen, um Kunden gegenüber jederzeit auskunftsfähig zu sein und zum anderen, um Löschfristen einzuhalten. Und: Diese sensiblen, personenbezogenen Daten müssen besonders geschützt werden. Denn im Bereich der Datensicherheit hat die Zahl an Cyberattacken, bei denen Daten das Ziel sind, deutlich zugenommen. Diese werden illegal kopiert und/oder verschlüsselt – und damit zur Erpressung genutzt. Durch spektakuläre und häufige Attacken sind Unternehmen und ihre Kunden für das Thema nochmals sensibilisiert worden. Dass die Cyberkriminellen auf die Coronamaßnahmen blitzschnell mit einer wahren Spam-Mail-Welle reagiert haben, ist dabei nicht das größte Problem. Es geht um weitaus schwerwiegendere Konsequenzen. Cyberkriminelle verfeinern ihre Attacken immer weiter und nutzen jede Schwachstelle – ob technologisch oder menschlich – gnadenlos aus.

Zukunft: Plattformlösung für Datensicherheit

Mittelfristig werden die reine Datenmenge, die Anforderungen an Informationssicherheit und die Cyberangriffe auf Daten wohl nur durch einen durchgängigen neuen Serviceansatz zu bewältigen sein. Eine Service-Plattform, auf der hinterlegt ist, welche Unternehmen aktuell welche Daten haben und welche Dienste genutzt werden. Diese muss für Kunden einsehbar und verwaltbar sein. So können sie die Berechtigung für Daten mit einem Klick entziehen – oder erteilen. Unternehmen werden durch eine solche Plattform bei der Verwaltung sensibler, personenbezogener Daten unterstützt und sie ermöglicht, diese Daten stets aktuell und gemäß den gesetzlichen Einwilligungsverpflichtungen entsprechend vorzuhalten. Außerdem helfen KI-gestützte Algorithmen, den Missbrauch dieser Daten zu identifizieren und rechtzeitig Gegenmaßnahmen einzuleiten. Solch eine Informationssicherheit-as-a-Service über Metaplattformen ist aktuell noch Zukunftsmusik. Doch die Schritte, die Unternehmen schon heute gemeinsam mit IT-Dienstleistern in Richtung Informationssicherheit gehen können, sind bereits weitreichend. So lassen sich auch heute schon die neuen Herausforderungen durch Remote Work meistern und die Chancen der Digitalisierung nutzen.

Handlungsempfehlungen

  • IT-Sicherheit: in der Unternehmensorganisationsstruktur verankern

  • IT-Sicherheit: Besser mit IT-Dienstleistern. Diese haben mehr Experten, Spezialwissen und Erfahrung und liefern mit Services einen Schutz gegen sich laufend verändernde Angriffsszenarien

Zusammenfassung

  • Remote Work birgt durch Digitalisierungsturbo Chancen und Risiken.

  • Präventive Informationssicherheit ist das Gebot der Stunde.

  • Schon heute gibt es umfassenden Sicherheitslösungen – aber in Sachen Datensicherheit wird es zukünftig Metaplattformen für Informationssicherheit-as-a-Service geben.