Wie Home Office sicher wird

Der Faktor Mensch

Eine weitere große Schwachstelle ist der Faktor Mensch. Vor allem im Mobile Office muss diesem besondere Aufmerksamkeit gewidmet werden. Aber nicht nur dort, wie die oben erwähnte Studie von PwC zeigt. Beim Thema Informationssicherheit rangiert seit Jahren "the human factor" auf den Hitlisten der Gefahrenquellen ganz oben. So hat beispielsweise die Top Ten der von Cisco im Jahr 2011 identifizierten größten Risiken auch heute nichts an Aktualität eingebüßt:

"People are the biggest risk", fasst es der Global Economic Crime Survey 2014 deshalb treffend zusammen.

Gutes Passwort?

Der Mensch stellt auch deshalb solch ein großes Risiko dar, weil Zugänge immer noch viel zu häufig nur über ein Benutzerkonto und ein Passwort gesichert sind. Das ist nicht nur deswegen unzureichend, weil Mitarbeiter dazu tendieren, sorglos oder unsicher mit ihren Passwörtern umzugehen.

Das Problem ist auch, dass trotz (oder gerade wegen) aller Komplexitätsregeln für Passwörter heutzutage häufig Passwörter korrumpiert werden. Und neben den bekannten unsicheren Passwörtern gibt es noch immer Menschen, die diese notieren und etwa in die Laptop-Tasche stecken oder unter die Tastatur schreiben. Ein weiterer Klassiker: Das gleiche Passwort wird für mehrere Konten benutzt. Schließlich gibt es immer wieder Sicherheitslücken bei großen Unternehmen, bei denen hunderttausende Passwörter in die falschen Hände geraten.

Abhilfe schafft nur eine Zwei-Wege-Authentifizierung mit einem Einmalkennwort (One Time Passwort - OTP). Neben dem Passwort hat der Benutzer hier eine zweite Geheiminformation, die nur für wenige Sekunden gültig ist. Diese wird losgelöst vom eigentlichen Login-Vorgang idealerweise auf einem anderen Gerät generiert oder bereitgestellt, etwa per SMS auf das Smartphone.

Flexibilität braucht ein ISMS

Trotzdem ist sicheres Mobile Office möglich. Dabei gilt es aber, dem Faktor Mensch nicht nur durch Überlegungen zu Zwei-Wege-Authentifizierung zu begegnen. Denn in der Summe der potenziellen Risiken hilft Technologie nur bedingt - es braucht auch viel Management.

Sinnvollerweise implementieren Unternehmen, die ihren Mitarbeitern Mobile Working ermöglichen wollen, ein Informations-Sicherheits-Management-System (ISMS). Unternehmen sollten sich hierbei zumindest an Best Practices wie den Empfehlungen des Bundesamt für Sicherheit in der Informationstechnologie (BSI) oder der Sicherheits-Norm ISO 27001 orientieren. Das hilft, das Thema Informationssicherheit zu strukturieren und über alle Ebenen zu betrachten sowie einen nachhaltigen Regelkreis zum Planen, Etablieren, Prüfen, und Handeln zu etablieren (PDCA-Zyklus).

Das ISMS sollte daher neben anderen Punkten auch verbindlich festlegen, wie Mitarbeiter nicht nur regelmäßig über Sicherheitsthemen informiert und geschult werden, sondern auch, wie die Wirksamkeit der Schulungen überprüft und gemessen wird. Dies muss kontinuierlich geschehen, bei Bedarf ist nachzusteuern. Das kontinuierliche Prüfen, Messen und Verbessern muss also auch für die Menschen und ihr Verhalten etabliert werden - so wie es bei technischen Systemen schon längst der Fall ist.

Am wichtigsten ist dabei nicht nur Regeln und "Do’s" und "Don’ts" zu formulieren, sondern die Aufmerksamkeit der Mitarbeiter zu erhöhen und Verständnis zu wecken: für die Risiken und das Sicherheitsbedürfnis des Unternehmens. Das kann durchaus spielerisch geschehen - zum Beispiel durch einen Life-Hack-Event. Eine Alternative sind immer wieder an die Mitarbeiter versendete Hinweise, die auch im privaten Umfeld hilfreich sind. Wichtig ist, dies nicht einmalig, sondern langfristig geplant und kontinuierlich zu betreiben. Und: Es müssen alle Mitarbeiter erreicht und immer wieder auch das Management involviert werden. Dieses muss ganz besonders die Vorbildfunktion leben.