Home-Office halt selbst die konservativste Arbeitshaltung verdrängt. Erzwungerermassen. Oder doch eine Chance, Arbeit weiterhin anders zu gestalten? Sophos Principal Researcher Chester Wisniewski teilt Überlegungen, wie vermehrtes Home-Office Sinn macht und vor allem wie man die geleistete Home-Office-Arbeit wieder sicher ins Firmennetzwerk einbringt.
Nur eines von vier Unternehmen ermöglichte seinen Mitarbeitern vor der Corona Situation von ausserhalb des Büros zu arbeiten (Quelle: Institut für Arbeitsmarkt- und Berufsforschung). Davon machte nur jeder Fünfte Gebrauch. Doch mit Beginn des pandemiebedingten Lockdowns sass plötzlich die Hälfte der Berufstätigen (49 Prozent) am heimischen PC (Quelle: Bitkom). Ein positiver Aspekt: Unternehmen lernen rasant, welche Möglichkeiten entstehen, indem Arbeitsprozesse neu und vielleicht besser organisiert und strukturiert werden. Allerdings darf bei verteiltem Arbeiten die Sicherheit nicht auf der Strecke bleiben und es geht jetzt vermehrt darum, das schnell etablierte Home-Office mit der gebotenen Sicherheit auszustatten. Mindestens ebenso wichtig: Daten, die während des Lockdowns auf privaten und potenziell unsicheren Geräten erstellt und gespeichert wurden, müssen ihren Weg zurück ins Unternehmensnetzwerk finden und zwar möglichst unkompliziert und sicher.
Corona gab den Startschuss zum Run ins Home-Office
Der ungeplante Übergang zur Heimarbeit überraschte viele IT-Abteilungen eiskalt und führte unweigerlich zu essenziellen Fragen: Sind genug VPN Kapazitäten vorhanden? Hat jeder Mitarbeiter sein Laptop zuhause? Können wir Software-Updates mit Geräten im hauseigenen WiFi-Netzwerk umsetzen? Wie stellen wir die nötigen Ressourcen bereit? Viele Unternehmen haben während der letzten Wochen sehr viel geleistet, um die Arbeit am Laufen zu halten – teils mit viel Mut und teils auf Basis der Initiative von den Mitarbeitern. Ohne detailliert durchdachte Sicherheitsstrategie machte jeder einfach das, was zu tun war.
Die schrittweise Rückkehr ins Büro
War die erste Phase des Lockdowns von viel schneller Improvisation geprägt, ist es jetzt an der Zeit, sich mit Phase zwei auseinandersetzen: der Wiedereingliederung von Teilen der Belegschaft. Damit einhergehend werden viele Arbeitsgeräte erstmals wieder mit dem Firmennetz verbunden sein, möglicherweise ohne Sicherheits-Updates. Noch spannender sind Daten, die nicht auf firmeneigenen Geräten erstellt wurden. Auch diese müssen entweder von fremder Hardware oder von unterschiedlichsten Datenträgern und Cloud-Speicherplätzen zurück in das Unternehmen. An dieser Stelle bekommt Zero Trust vielleicht eine ganz neue Bedeutung.
Man muss den Einfallsreichtum der Mitarbeiter bewundern, die in Krisenzeiten tun, was sie können, um ihre Arbeit zu erledigen. Die Folge: Schatten-IT erfolgte während der letzten Wochen vermutlich in erhöhtem Masse, insbesondere bei den Mitarbeitern, die über keine sichere VPN-Verbindung ins Unternehmen verfügen. Eine gute Praxis bei der Rückkehr ist es, die Mitarbeiter um die Nennung der Tools zu bitten, die sie während ihrer Abwesenheit benutzen haben. So lassen sich bereits viele Gefahrenpotenziale ausfindig machen.
Eine weitere Schutzmassnahme wäre, ein eingeschränktes Quarantäne-LAN/ WLAN zu implementieren, um fremde Geräte und Daten zu isolieren. Zeitgleich führt dann die IT-Abteilung die Verfahren zur Sicherheitsüberprüfung vor Wiedereintritt in die internen Netze des Unternehmens durch.
Die Chance aus der Krise nutzen
Die derzeitige Situation, hauptsächlich begründet auf der Corona-Krise, bringt aber auch sehr gute Chancen mit sich. Es besteht jetzt eine ausgezeichnete Gelegenheit, neue Richtlinien zu implementieren sowie sicherere und modernere Werkzeuge einzusetzen. Es ist davon auszugehen, dass die Fernarbeit sich so bald nicht wieder auf den Stand vor Corona zurücksetzen lässt. Für Unternehmen eine Chance, die Vorteile daraus zu nutzen. Vielerorts ist bis heute noch kein regulärer Arbeitsbetrieb möglich, aber es geht voran und alle gewöhnen sich an neue Prozesse und Möglichkeiten. Wichtig dabei ist, dass die Geschäftsleitungen und IT-Verantwortlichen jetzt die Weichen stellen, um die Chance auch sicher zu nutzen und dabei nicht den Cyberkriminellen Tür und Tor öffnen.