von Redaktion IT-A…
Lesezeit
4 Minuten
Datenklau im Home Office – so schützen sich Unternehmen
Das Arbeiten im Home Office ist nicht zuletzt durch die Corona-Pandemie für viele Arbeitnehmer mittlerweile zu einer Selbstverständlichkeit im Job geworden. Remote Work bringt aber auch viele Schwachstellen in Sachen Datenschutz und Zusammenarbeit im Team mit sich. Doch moderne Werkzeuge können beide Probleme umgehen.
Die Corona-Krise zwang selbst Skeptiker ins Home Office. Dabei zeigte sich aber: Remote Work, also das ortsunabhängige Arbeiten, ist zwar bequem und praktisch, kommt aber nicht ohne Komplikationen. Zum einen erfordert es die richtigen Systeme und Werkzeuge, um als Team weiterhin zusammenarbeiten zu können. Zum anderen öffnet ortsunabhängiges Arbeiten die Türen für Hacker, Malware und diverse Datenschutzprobleme. Zu Beginn der Kontaktbeschränkungen musste es schnell gehen: Unternehmen haben oft im Hauruck-Stil neue Tools integriert. Soll Home Office nachhaltig und sicher Einzug erhalten, ist ein Umdenken angebracht.
Schmaler Grat zwischen Sicherheit und Benutzerfreundlichkeit
Die Herausforderung für Unternehmen ist es, ihren Mitarbeitern einerseits möglichst unkomplizierten Zugriff zu relevanten Anwendungen und Informationen zu bieten, die die Kommunikation so einfach wie möglich machen. Gleichzeitig gilt es aber auch, die höchsten Sicherheitsstandards zu gewährleisten – ein Spagat, der gerade durch den spontanen Umzug ins Home Office eine schwer lösbare Aufgabe darstellte. Anbieter und Optionen gibt es zu Hauf, doch an Transparenz bei Sicherheitsaspekten mangelt es an vielen Stellen. Vor allem kleine Firmen ohne entsprechendes IT Know müssen so zwangsläufig blind vertrauen.
Die einfachste Möglichkeit ist die Nutzung von Clouddiensten. Eine Internetverbindung reicht, um auf in der Cloud gespeicherte Dokumente zuzugreifen und diese mit Kollegen zu teilen. Die Bandbreite der Möglichkeiten von entsprechenden Diensten scheint endlos und reicht von Videokonferenzen bis zur Verwaltung von Zugangsdaten in einem Passwortmanager. Das Problem ist dabei jedoch immer das Gleiche: Die Nutzung einer Cloud birgt Risiken, die sich im schlimmsten Fall in hohen Bußgeldern oder Datenklau von Betriebsgeheimnissen manifestieren.
Viele Angriffsvektoren bei VPN
Bevor viele Firmen in der Corona-Krise Hals über Kopf kostenlose Clouddienste eingeführt haben, war VPN die meistgenutzte Option, um Mitarbeiter im Home Office an das Firmennetz anzubinden. Ein Virtual Private Network baut eine verschlüsselte Verbindung ins auf, sodass sich der Rechner des Mitarbeiters verhält, als wäre er vor Ort – und auf alle Ressourcen zugreifen kann.
Hier zeigt sich das erste, ganz große Problem: Der VPN-Zugang jedes Mitarbeiters kann Zugang zum gesamten Firmen-Netzwerk verschaffen. Jedoch sind die Ressourcen im Netzwerk meist nicht weiter geschützt. Wird also nur einem einzigen Mitarbeiter der VPN-Zugang entwendet, sind die Firma und ihre Daten dem Hacker schutzlos ausgeliefert. Dazu genügt allein ein falscher Klick auf einer bösartigen Website oder in einer E-Mail.
Viele weitere Probleme reihen sich ein: Die Einrichtung eines VPN ist kompliziert und die Verbindung ist häufig langsam und instabil. Zudem muss die Schlüsselverteilung organisiert werden, wobei die Schlüssel äußerst schwer zu schützen sind. Aus diesen Gründen sind VPN weder in Bezug auf Sicherheit noch bezüglich Produktivität zu empfehlen.
Datenschutz in der Cloud nicht erst seit Privacy-Schild-Ende kritisch
Bei Cloudanwendungen ist das anders: Jeder Benutzer bekommt ein eigenes Passwort und die Zugriffsmöglichkeiten lassen sich fein regeln. So hat jeder Mitarbeiter nur auf das Zugriff, was er oder sie braucht. Clouddienste werden zentral verwaltet, sodass sie in der Regel eine bessere Sicherheitsskonfiguration aufweisen. Das Problem der Cloud liegt stattdessen anderswo: beim Datenschutz. Denn wenn die Dienste im Rechenzentrum des Anbieters bereitstehen, hat dieser Zugriff auf alle dort gespeicherten Daten. Pannen von Sabotage bis Industriespionage gibt es dabei immer wieder.
Vor allem beim Thema datenschutzkonforme Videokonferenzen ist die Stimmung derzeit aufgeladen. Die meisten Anbieter stehen mit dem Urteil "nicht rechtssicher in Bezug auf Bestimmungen der DSGVO" in der Kritik. Das heißt: Die Nutzung ist rechtswidrig und es drohen Bußgelder für Firmen, die den Clouddienst einsetzen – denn die Unternehmen als Nutzer stehen in der Verantwortung.
Im Juli 2020 hat der EuGH dann die Bombe platzen lassen: Das EU-US Privacy-Shield-Abkommen ist ungültig. Damit ist nicht mehr nur die Nutzung von Videokonferenzdiensten wie Zoom, Skype oder Microsoft Teams unter Umständen rechtswidrig. Auch wegen der Nutzung vieler weiterer amerikanischer Clouddienste wie zum Beispiel Salesforce können Unternehmen möglicherweise zur Kasse gebeten werden.
Am besten Ende-zu-Ende verschlüsseln
Die positive Nachricht ist, dass es Tools gibt, um diese Schwachstellen zu umgehen und trotzdem unkompliziert und bequem Remote Work anbieten zu können. Wer auf VPN setzt, sollte auf professionelle Konfiguration und Betreuung der Remote-Arbeitsplätze achten, also keine eigenen Geräte erlauben. Wenn es nicht unbedingt ein VPN sein muss, dann sind Clouddienste meist die produktivere Wahl, da sie zuverlässiger sind und modernere Software bieten, die die Zusammenarbeit besser unterstützt. Für die Speicherung von Dokumenten in der Cloud empfiehlt es sich, auf Dienste mit Ende-zu-Ende-Verschlüsselung zurückzugreifen. Dadurch kann der Dienstleister die Informationen nicht mehr einsehen.
Cloud-Services, die nicht nur mit Dateien arbeiten, wie beispielsweise die typischen Tools zur agilen Teamzusammenarbeit, lassen sich allerdings in der Regel nicht verschlüsseln. Hier ist es deshalb entscheidend, sich von Anfang an mit den jeweiligen Anbietern zu beschäftigen, um beispielsweise herauszufinden, wo die Unternehmen ihren Sitz haben, wo die Server stehen und welche Sicherheitsmaßstäbe sie ansetzen. Mittlerweile gibt es eine Reihe von Tools und Apps, die sichere Alternativen zu den großen Marktführern aus den USA darstellen. Gerade Open-Source-Software kann hier punkten. Dazu gehören zum Beispiel:
Der große Unterschied: Das Unternehmen weiß, wo die Daten liegen und wer darauf Zugriff hat. Statt in einem externen Rechenzentrum sind sie nämlich auf dem eigenen Server im Büro verschlüsselt gespeichert. Mitarbeiter in remote können ganz einfach auf die Daten zugreifen und benötigen nicht einmal eine sichere Internetverbindung – denn die Private Cloud ist bereits sicher verschlüsselt.
Fazit
Es wird sie immer geben, die Home-Office-Gegner. Einige Gründe sprechen natürlich auch gegen Remote Work. Doch Corona hat gezeigt, dass Unternehmen bis zu einem gewissen Grad offen sein müssen für agile Methoden und ihren Mitarbeitern die notwendigen digitalen Mittel dafür bereitstellen sollten. Mit der richtigen Strategie müssen sich Arbeitgeber in puncto Datenschutz und Datenhoheit auch keine Sorgen mehr machen, denn damit ist das Arbeiten von zuhause aus genauso sicher und unkompliziert wie die Arbeit im Büro.
ln/Matthias Bollwein, Gründer und Geschäftsführer von Uniki
Schmaler Grat zwischen Sicherheit und Benutzerfreundlichkeit
Die Herausforderung für Unternehmen ist es, ihren Mitarbeitern einerseits möglichst unkomplizierten Zugriff zu relevanten Anwendungen und Informationen zu bieten, die die Kommunikation so einfach wie möglich machen. Gleichzeitig gilt es aber auch, die höchsten Sicherheitsstandards zu gewährleisten – ein Spagat, der gerade durch den spontanen Umzug ins Home Office eine schwer lösbare Aufgabe darstellte. Anbieter und Optionen gibt es zu Hauf, doch an Transparenz bei Sicherheitsaspekten mangelt es an vielen Stellen. Vor allem kleine Firmen ohne entsprechendes IT Know müssen so zwangsläufig blind vertrauen.
Die einfachste Möglichkeit ist die Nutzung von Clouddiensten. Eine Internetverbindung reicht, um auf in der Cloud gespeicherte Dokumente zuzugreifen und diese mit Kollegen zu teilen. Die Bandbreite der Möglichkeiten von entsprechenden Diensten scheint endlos und reicht von Videokonferenzen bis zur Verwaltung von Zugangsdaten in einem Passwortmanager. Das Problem ist dabei jedoch immer das Gleiche: Die Nutzung einer Cloud birgt Risiken, die sich im schlimmsten Fall in hohen Bußgeldern oder Datenklau von Betriebsgeheimnissen manifestieren.
Viele Angriffsvektoren bei VPN
Bevor viele Firmen in der Corona-Krise Hals über Kopf kostenlose Clouddienste eingeführt haben, war VPN die meistgenutzte Option, um Mitarbeiter im Home Office an das Firmennetz anzubinden. Ein Virtual Private Network baut eine verschlüsselte Verbindung ins auf, sodass sich der Rechner des Mitarbeiters verhält, als wäre er vor Ort – und auf alle Ressourcen zugreifen kann.
Hier zeigt sich das erste, ganz große Problem: Der VPN-Zugang jedes Mitarbeiters kann Zugang zum gesamten Firmen-Netzwerk verschaffen. Jedoch sind die Ressourcen im Netzwerk meist nicht weiter geschützt. Wird also nur einem einzigen Mitarbeiter der VPN-Zugang entwendet, sind die Firma und ihre Daten dem Hacker schutzlos ausgeliefert. Dazu genügt allein ein falscher Klick auf einer bösartigen Website oder in einer E-Mail.
Viele weitere Probleme reihen sich ein: Die Einrichtung eines VPN ist kompliziert und die Verbindung ist häufig langsam und instabil. Zudem muss die Schlüsselverteilung organisiert werden, wobei die Schlüssel äußerst schwer zu schützen sind. Aus diesen Gründen sind VPN weder in Bezug auf Sicherheit noch bezüglich Produktivität zu empfehlen.
Datenschutz in der Cloud nicht erst seit Privacy-Schild-Ende kritisch
Bei Cloudanwendungen ist das anders: Jeder Benutzer bekommt ein eigenes Passwort und die Zugriffsmöglichkeiten lassen sich fein regeln. So hat jeder Mitarbeiter nur auf das Zugriff, was er oder sie braucht. Clouddienste werden zentral verwaltet, sodass sie in der Regel eine bessere Sicherheitsskonfiguration aufweisen. Das Problem der Cloud liegt stattdessen anderswo: beim Datenschutz. Denn wenn die Dienste im Rechenzentrum des Anbieters bereitstehen, hat dieser Zugriff auf alle dort gespeicherten Daten. Pannen von Sabotage bis Industriespionage gibt es dabei immer wieder.
Vor allem beim Thema datenschutzkonforme Videokonferenzen ist die Stimmung derzeit aufgeladen. Die meisten Anbieter stehen mit dem Urteil "nicht rechtssicher in Bezug auf Bestimmungen der DSGVO" in der Kritik. Das heißt: Die Nutzung ist rechtswidrig und es drohen Bußgelder für Firmen, die den Clouddienst einsetzen – denn die Unternehmen als Nutzer stehen in der Verantwortung.
Im Juli 2020 hat der EuGH dann die Bombe platzen lassen: Das EU-US Privacy-Shield-Abkommen ist ungültig. Damit ist nicht mehr nur die Nutzung von Videokonferenzdiensten wie Zoom, Skype oder Microsoft Teams unter Umständen rechtswidrig. Auch wegen der Nutzung vieler weiterer amerikanischer Clouddienste wie zum Beispiel Salesforce können Unternehmen möglicherweise zur Kasse gebeten werden.
Am besten Ende-zu-Ende verschlüsseln
Die positive Nachricht ist, dass es Tools gibt, um diese Schwachstellen zu umgehen und trotzdem unkompliziert und bequem Remote Work anbieten zu können. Wer auf VPN setzt, sollte auf professionelle Konfiguration und Betreuung der Remote-Arbeitsplätze achten, also keine eigenen Geräte erlauben. Wenn es nicht unbedingt ein VPN sein muss, dann sind Clouddienste meist die produktivere Wahl, da sie zuverlässiger sind und modernere Software bieten, die die Zusammenarbeit besser unterstützt. Für die Speicherung von Dokumenten in der Cloud empfiehlt es sich, auf Dienste mit Ende-zu-Ende-Verschlüsselung zurückzugreifen. Dadurch kann der Dienstleister die Informationen nicht mehr einsehen.
Cloud-Services, die nicht nur mit Dateien arbeiten, wie beispielsweise die typischen Tools zur agilen Teamzusammenarbeit, lassen sich allerdings in der Regel nicht verschlüsseln. Hier ist es deshalb entscheidend, sich von Anfang an mit den jeweiligen Anbietern zu beschäftigen, um beispielsweise herauszufinden, wo die Unternehmen ihren Sitz haben, wo die Server stehen und welche Sicherheitsmaßstäbe sie ansetzen. Mittlerweile gibt es eine Reihe von Tools und Apps, die sichere Alternativen zu den großen Marktführern aus den USA darstellen. Gerade Open-Source-Software kann hier punkten. Dazu gehören zum Beispiel:
- Jitsi Meet für rechtssichere Videokonferenzen
- Seafile zum Speichern und Austauschen von Dateien
- Rocketchat für die einfache Kommunikation im Team
- Bitwarden als Passwortmanager für Teams
- Kopano als Mailserver
- Wekan für sicheres Projektmanagement
- Kimai für die Zeiterfassung
- Humhub als Plattform für das Intranet
Der große Unterschied: Das Unternehmen weiß, wo die Daten liegen und wer darauf Zugriff hat. Statt in einem externen Rechenzentrum sind sie nämlich auf dem eigenen Server im Büro verschlüsselt gespeichert. Mitarbeiter in remote können ganz einfach auf die Daten zugreifen und benötigen nicht einmal eine sichere Internetverbindung – denn die Private Cloud ist bereits sicher verschlüsselt.
Fazit
Es wird sie immer geben, die Home-Office-Gegner. Einige Gründe sprechen natürlich auch gegen Remote Work. Doch Corona hat gezeigt, dass Unternehmen bis zu einem gewissen Grad offen sein müssen für agile Methoden und ihren Mitarbeitern die notwendigen digitalen Mittel dafür bereitstellen sollten. Mit der richtigen Strategie müssen sich Arbeitgeber in puncto Datenschutz und Datenhoheit auch keine Sorgen mehr machen, denn damit ist das Arbeiten von zuhause aus genauso sicher und unkompliziert wie die Arbeit im Büro.
ln/Matthias Bollwein, Gründer und Geschäftsführer von Uniki
