Mitarbeiter-Zugriff: 45% nutzen Privatgeräte für Unternehmensdaten

Studie von Trend Micro: Über 13.000 Remote-Mitarbeiter in 27 Ländern befragt

[datensicherheit.de, 14.09.2020] Das Arbeiten im sogenannten Home-Office und das Internet der Dinge (IoT) verändern offensichtlich den Umgang mit geschäftlichen Daten und deren Sicherheit. Trend Micro hat nach eigenen Angaben am 14. September 2020 Umfrageergebnisse zur Arbeit im Home-Office veröffentlicht. Diese zeigen demnach, dass Smart-Home-Geräte und ihre Apps eine wesentliche Schwachstelle in der Cyber-Sicherheit von Unternehmen darstellen können. Für die Studie „Head in the Clouds“ von Trend Micro seien über 13.000 Remote-Mitarbeiter in 27 Ländern weltweit (davon 504 in Deutschland) befragt worden, um mehr über die Gewohnheiten von Arbeitnehmern im Home-Office während der „Corona-Pandemie“ zu erfahren. „Da die Grenzen zwischen Arbeits- und Privatleben zunehmend verschwimmen, sollten Unternehmen ihre Sicherheitsrichtlinien überarbeiten, um Geschäftsdaten besser zu schützen.“ Unter anderem habe die Umfrage ergeben, dass 45 Prozent der deutschen Befragten auch von privaten Geräten auf Unternehmensdaten zugriffen.

Foto: Trend Micro

Dr. Linda Kaye: Unternehmen sollten speziell abgestimmte Cyber-Sicherheitsschulungen anbieten

Smartphones, Tablets und Laptops der Mitarbeiter oftmals weniger sicher als entsprechende Firmengeräte

Es habe sich herausgestellt, dass 45 Prozent der befragten Arbeitnehmer in Deutschland (welweit: 39%) private Geräte verwendeten, um auf Unternehmensdaten zuzugreifen. Dies geschehe häufig über in der Cloud gehostete Dienste und Anwendungen. Die genutzten persönlichen Smartphones, Tablets und Laptops seien jedoch oftmals weniger sicher als entsprechende Firmengeräte und zudem potenziell verwundbaren IoT-Anwendungen und -Gadgets im Heimnetzwerk ausgesetzt. Über die Hälfte der Befragten (52% in Deutschland, 36% weltweit) hätten beispielsweise nicht einmal grundlegenden Passwortschutz auf allen persönlichen Geräten.

Mitarbeiter offenbar noch zu oft mit mangelndem Bewusstsein für Sicherheitsrisiken

„Die Tatsache, dass so viele Mitarbeiter private Geräte für den Zugriff auf Unternehmensdaten und -dienste verwenden, deutet auf ein mangelndes Bewusstsein für die damit verbundenen Sicherheitsrisiken hin“, erläutert Dr. Linda K. Kaye, Expertin für Cyber-Psychologie. Um Abhilfe zu schaffen und die Risiken zu mindern, empfiehlt sie Unternehmen, „speziell abgestimmte Cyber-Sicherheitsschulungen anzubieten“. In diesen sollte die Vielfalt der Benutzer und ihre unterschiedlichen Wissensstände und Einstellungen zur IT-Sicherheit berücksichtigt werden.

Bedrohung: Angriff über das Mitarbeiter-Heimnetzwerk ins Firmennetz

Mehr als die Hälfte (68% in Deutschland, 52% weltweit) der Remote-Arbeiter hätten IoT-Geräte mit ihrem Heimnetzwerk verbunden. Dabei verwendeten sieben Prozent (10% weltweit) Geräte weniger bekannte Marken. Viele solcher Geräte – insbesondere von kleineren, weitgehend unbekannten Herstellern – hätten jedoch vielfach dokumentierte Sicherheitslücken, wie nicht gepatchte Firmware-Schwachstellen und unsichere Logins. Diese könnten es Angreifern ermöglichen, im Heimnetzwerk Fuß zu fassen und mit diesem verbundene, ungeschützte private Geräte zu kompromittieren. Bei beruflicher Nutzung könnten diese Geräte dann als Einstiegspunkt in die Unternehmensnetzwerke dienen. Nach der Aufhebung des „Lockdown“ bestehe ein weiteres Risiko für Unternehmensnetzwerke: Bei der Rückkehr ins Büro könnten im Home-Office geschehene Malware-Infektionen über ungesicherte persönliche BYOD-Geräte („Bring Your Own Device“) mit ins Unternehmen gebracht werden.

65% der Mitarbeiter in Deutschland verwenden Firmen-Laptops auch für private Zwecke

Die Studie habe weiterhin ergeben, dass 65 Prozent der in Deutschland tätigen Remote-Mitarbeiter (70% weltweit) Firmen-Laptops mit ihrem Heimnetzwerk verbänden. Obwohl diese Geräte in der Regel besser geschützt seien als private, entstehe daraus noch immer ein Risiko für Unternehmensdaten und -systeme. Dies sei vor allem dann der Fall, wenn es den Benutzern gestattet werde, auch nicht genehmigte Anwendungen auf diesen Geräten zu installieren, um damit auf private IoT-Geräte im Heimnetzwerk zuzugreifen beziehungsweise diese zu steuern.

Öffnen von Hintertüren in IoT-Geräten der Mitarbeiter, um Unternehmensnetzwerke zu kompromittieren

„Zwar wurden durch das IoT auch einfache Geräte mit Rechenleistung und Konnektivitätsfunktionen ausgestattet, jedoch nicht zwingend mit ausreichenden Sicherheitsmaßnahmen“, warnt Richard Werner, „Business Consultant“ bei Trend Micro. Durch das Öffnen von „Hintertüren“ in diesen Geräten, werde es Cyber-Kriminellen erleichtert, Unternehmensnetzwerke zu kompromittieren. Die Bedrohung werde in dem Maße verstärkt, „wie in der heutigen Zeit des massenhaften Remote-Arbeitens die Grenzen zwischen privaten und geschäftlichen Geräten immer mehr verschwimmen“. Dadurch gerieten sowohl persönliche als auch geschäftliche Daten in die Schusslinie von Angreifern. Mehr denn je sei es wichtig, dass jeder einzelne aktiv an der Aufrechterhaltung der Cyber-Sicherheit mitwirke und dass Unternehmen ihre Mitarbeiter weiterhin hinsichtlich richtigem Verhalten schulten.

Unternehmen sollten Regeln für Mitarbeiter präzisieren, um Bedrohungen durch BYOD- und IoT-Geräte sowie -Anwendungen zu begegnen

Trend Micro empfiehlt Arbeitgebern sicherzustellen, „dass ihre Remote-Mitarbeiter die bestehenden Sicherheitsrichtlinien des Unternehmens einhalten“. Falls erforderlich, sollten Unternehmen diese Regeln präzisieren, um die möglichen Bedrohungen durch BYOD- und IoT-Geräte und -Anwendungen zu berücksichtigen. Sie sollten zudem neu bewerten, mit welchen Sicherheitslösungen sie Mitarbeiter schützen, die über Heimnetzwerke auf Firmendaten zugreifen. Der Umstieg auf ein Cloud-basiertes Sicherheitsmodell könne viele Risiken im Home-Office auf kosteneffiziente und effektive Weise mindern.

Weitere Informationen zum Thema:

datensicherheit.de, 01.09.2020
Mitarbeitergeräte: Tickende Zeitbomben nach dem Home-Office / Wechsel vieler Mitarbeiter in das Home-Office zu Beginn der „Corona“-Kontaktbeschränkungen oft überhastet

datensicherheit.de, 21.08.2020
Mitarbeiter im Home-Office: Malwarebytes warnt vor massiven Sicherheitslücken / Malwarebytes veröffentlicht aktuellen Cyber-Sicherheitsberichts zu den Auswirkungen von „Covid-19“ auf die Unternehmenssicherheit

datensicherheit.de, 19.08.2020
Mittelstand im Home-Office: 5 IT-Sicherheits-Tipps / Yuriy Yuzifovich gibt Hinweise, wie auch ohne eigene IT-Abteilung Sicher im Home-Office gearbeitet werden kann

datensicherheit.de, 31.07.2020
Home-Office: McAfee-Sicherheitstipps gegen Schatten-IT / Laut neuer McAfee-Studie hat Cloud-Nutzung während der „Corona“-Krise um 50 Prozent zugenommen – damit wuchs auch Risiko der Schatten-IT

datensicherheit.de, 11.07.2020
Home-Office: Bewusstsein für IT-Sicherheit dauerhaft stärken / Gerald Beuchelt plädiert für zielgruppenorientierte regelmäßige Vermittlung von Grundlagen der IT-Sicherheit