Das erhöhte Aufkommen von Home Office durch die Corona-Krise bringt sowohl für Unternehmen als auch Mitarbeiter viele Herausforderungen mit sich. Eine aktuelle Studie von Deloitte und SORA zeigt nun: Gerade bei der Cyber Security tun sich hier einige neue Sicherheitslücken auf. Arbeitnehmer gehen oft leichtfertig mit sensiblen beruflichen Informationen um. Seitens der Arbeitgeber mangelt es aber an Information und Aufklärung.

Deloitte Österreich und SORA erheben jährlich den Status quo österreichischer Unternehmen beim Thema Cyber Security. Nachdem im Laufe des letzten Jahres viele Unternehmen ihren Betrieb zumindest phasenweise ins Home Office verlagern mussten, liegt der Fokus der aktuellen Studie vor allem auf der Arbeitssituation und Awareness der Mitarbeiter.

500 Arbeitnehmer aus ganz Österreich, die seit Beginn der Corona-Pandemie mindestens teilweise im Home Office gearbeitet haben, nahmen dafür an einer repräsentativen Umfrage teil. Das Ergebnis: Obwohl das Thema Remote Working viele Befragte schon mehr als ein Jahr begleitet, wurden auf Unternehmensseite nicht selten nur unzureichende Sicherheitsmaßnahmen getroffen.

„Die Arbeitsgeräte sind ein echtes Risiko: Zwar wurden die Laptops und PCs bei knapp der Hälfte der Befragten regelmäßig auf Software-Updates und Virenschutz überprüft, bei einem besorgniserregend hohen Anteil von 36 % wurde eine solche Prüfung aber gar nicht durchgeführt. Das müsste aber gerade im Home Office zum Standard zählen“, erklärt Alexander Ruzicka, Partner bei Deloitte Österreich.

Mangelnde Awareness für Cyber Security zu Hause
Auch bei der Mitarbeitersensibilisierung gibt es Defizite: 29 % der Angestellten geben an, von ihrem Arbeitgeber nie über Informationssicherheit oder Datenschutz im Home Office aufgeklärt worden zu sein. Wenn informiert wurde, so fand das in 63 % der Fälle per E-Mail statt. Effektivere Maßnahmen wie Schulungen (36 %) und E-Learnings (34 %) wurden viel seltener angeboten.

„Aufgrund des Informationsmangels kommt es seitens der Mitarbeiter häufig zu Wissenslücken und Fehleinschätzungen. Über ein Fünftel der Befragten glaubt etwa, dass die Cyber-Risiken in den eigenen vier Wänden geringer sind als im Büro“, so Alexander Ruzicka. „Viele verfallen auch einfach aufgrund der schlechten Datenverbindungen daheim in alte Muster: Laut Umfrage speichern 36 % sensible Daten zu Hause häufiger lokal auf der Festplatte ab – davon ist klar abzuraten.“

Leichtfertiger Umgang mit Arbeitsinformationen
Die mangelnde Vorsicht zieht sich durch den gesamten Home-Office-Alltag. Laut Umfrage leben 84 % der Studienteilnehmer zumindest mit einer anderen Person im selben Haushalt. Dementsprechend müssen sich 29 % ihren Arbeitsplatz immer oder oft mit anderen Mitbewohnern teilen. Dadurch entstehen Sicherheitslücken: So werden die für das Remote Working gebrauchten Geräte bei 37 % auch von anderen Personen mitverwendet. Bei 54 % der Befragten können die Haushaltsmitglieder außerdem häufig bis manchmal bei beruflichen Telefonaten sowie Videokonferenzen mithören oder -sehen.

Auch haushaltsfremden Personen werden heikle Einblicke gewährt. 30 % der Studienteilnehmer räumen ihre Arbeitsunterlagen selten oder gar nie weg, bevor Besucher oder die Reinigungskraft den Wohnraum betreten, 18 % tun dies nur manchmal. Bei 19 % der Befragten sind auch jobbezogene Calls und virtuelle Meetings vor haushaltsfremden Personen häufig oder manchmal nicht geschützt.

„Unternehmen können im privaten Umfeld ihrer Mitarbeiter natürlich keine Kontrollen durchführen, wie das zum Beispiel mit einer Clean-Desk-Policy im Büro möglich wäre. Trotzdem sollten klare Regeln für den sicheren Umgang mit arbeitsbezogenen Daten im Home Office festgelegt und kommuniziert werden“, betont Andreas Niederbacher, Senior Manager bei Deloitte Österreich.

Unsichere Praktiken im beruflichen Alltag
Obwohl von Messaging-Diensten wie WhatsApp oder Telegram im Arbeitskontext abgeraten wird, sind diese nach wie vor regelmäßig im Einsatz: Über zwei Drittel der Befragten (69 %) verwenden diese Apps häufig oder zumindest manchmal für den beruflichen Austausch mit Kolleginnen und Kollegen. Dabei sind sensible Unternehmensinformationen jedoch nicht geschützt und es kann unter anderem zu Verstößen gegen die EU-DSGVO kommen. Ähnliches gilt für externe Cloud-Services wie Dropbox, GoogleDrive, OneDrive und iCloud, die immerhin von 40 % genutzt werden.

Ein weiteres Sicherheitsleck offenbart sich bei den Netzwerkverbindungen: Während 71 % in der Regel über ein privates, passwortgeschütztes W-LAN einsteigen, verwenden 19 % bisweilen bei der Arbeit auch ein öffentliches W-LAN ohne Passwort. „In ungeschützten Netzen können sich Angreifer ganz leicht zwischen Gerät und Wireless-Access-Point schalten. Dadurch erhalten sie Zugriff auf sensible Informationen wie vertrauliche E-Mails, Zugangsdaten und Kreditkarteninformationen“, warnt Andreas Niederbacher. „Es kann nicht oft genug betont werden: Mitarbeiter-Awareness ist und bleibt das zentrale Instrument im Kampf gegen Malware und Cyber Crime.“

Wir bieten Datenschutzberatungen und Mitarbeiterschulungen an. Mehr Infos zu den Schulungen finden Sie hier.

 

Quellen und Links:
OTS-Presseaussendung von Deloitte www.deloitte.at
Deloitte Cyber Security Report 2021: hier