Die Coronakrise hat dazu geführt, dass Unternehmen ihr Homeoffice-Angebot im vergangenen Jahr mehr als verdoppelt haben. Doch obwohl Homeoffice aktuell und zukünftig eine maßgebliche Rolle in unserem Arbeitsalltag einnimmt, werden zu wenige technische und organisatorische Sicherheitsmaßnahmen getroffen, um die "Angriffsfläche Homeoffice" ausreichend gegen Cyberattacken zu sichern.

Zu diesem Ergebnis kommt das Bundesministerium für Sicherheit in der Informationstechnik (BSI) in einer repräsentativen Umfrage unter 1000 Unternehmen, bei denen aktuell Mitarbeiter im Homeoffice tätig sind. Im Fokus lagen dabei klar kleinere und Kleinstunternehmen ab drei Mitarbeitern. Diese stellen nicht nur 95 Prozent der Teilnehmer in der Ende 2020 durchgeführten Studie. Wie sich in den Ergebnissen zeigt, besteht bei ihnen auch der größte Nachholbedarf bei der Umsetzung technischer und organisatorischer Sicherheitsmaßnahmen.

Nachholbedarf bei Kleinstunternehmen

So ergab die BSI-Umfrage, dass zwar einfache Maßnahmen wie der Passwortschutz meist noch umgesetzt werden. Bei anderen wichtigen Maßnahmen wie Mobile Device Management (MDM) oder Multi-Faktor-Authentifizierung (MFA) sieht es dagegen düster aus. So managen etwa nur 38 Prozent die Sicherheit von Smartphones, Tablets, Notebooks und weiteren mobilen Geräten mit Verbindung zum Firmennetz. MFA zur Absicherung von Zugängen zu geschäftskritischen Daten und Verbindungen wird nur von 52 Prozent eingesetzt. Ein Blick auf die Verteilung zeigt auf, dass Kleinst- und Kleinunternehmen hier besonderen Nachholbedarf haben.

Bei der Umsetzung organisatorischer Sicherheitsmaßnahmen zeichnet sich ein ähnliches Bild ab: Zwar schulen 81 Prozent der Unternehmen ihre Beschäftigten zu Cybersicherheitsrisiken, 60 Prozent haben ein Notfallmanagement in Betrieb und immerhin 59 Prozent verfügen über eine IT-Security-Strategie. Auf der anderen Seite bekundeten beispielsweise weniger als ein Viertel, dass sie regelmäßig üben, was bei einem Angriff zu tun ist.

Wie die BSI-Umfrage ergab, ist ein solches Worst-Case-Szenario keineswegs aus der Luft gegriffen: Acht Prozent der Befragten gaben an, dass sich ihr Unternehmen in der Coronakrise bereits mit Cyberattacken auseinandersetzen musste. Etwa ein Viertel davon erlitten durch diese Angriffe existenzbedrohende oder sehr schwere Schäden.

24 Prozent der Attacken richteten sich dabei gegen Großunternehmen. Diese waren aber offenbar auch besser vorbereitet, weshalb die Angriffe bei ihnen keine existenzbedrohenden und nur bei acht Prozent sehr schwere Schäden verursachten. Im Gegensatz dazu hatte bei den Unternehmen mit weniger als 50 Mitarbeiter jeder vierte Cyberangriff existenzbedrohende oder sehr schwere Folgen.

Die mangelnde Sicherheit - und ihre Konsequenzen - hängt vermutlich auch mit der Höhe der Ausgaben für Cybersicherheit zusammen. So investieren laut BSI mehr als die Hälfte der Unternehmen weniger als zehn Prozent der IT-Ausgaben in Cybersicherheit, empfohlen seien dagegen 20 Prozent. Außerdem haben nur 16 Prozent der Firmen trotz der verstärkten Homeoffice-Nutzung ihr IT-Sicherheitsbudget erhöht. 77 Prozent gaben an, sie planten keine weiteren Maßnahmen zur Verbesserung der Homeoffice-Sicherheit. Auch hier stechen wieder die Kleinstunternehmen hervor, denn obwohl sie offenbar den größten Aufholbedarf haben, planen sie dennoch am seltensten weitere Maßnahmen.

Fünf Tipps für mehr Cybersicherheit im Homeoffice

Das BSI empfiehlt, erste ad hoc getroffene Maßnahmen langfristig durch sichere IT-Lösungen zu ersetzen und, wenn möglich, auf den Einsatz von privater IT zu verzichten. Aktuell nutzen laut Umfrage lediglich 42 Prozent der Unternehmen ausschließlich firmeneigene IT. Um mehr Sicherheit im Homeoffice zu erreichen, raten die Spezialisten den Unternehmen, zuerst fünf einfache Maßnahmen umzusetzen, nämlich:

VPNs einrichten;

Multi-Faktor-Authentisierung (MFA) nutzen;

Mobile Device Management (MDM) einsetzen;

regelmäßig Updates machen; und

qualifizierte Dienstleister fragen.

Dies ist umso wichtiger, da 58 Prozent der Unternehmen angaben, das Homeoffice-Angebot nach der Pandemie aufrechtzuerhalten oder sogar auszuweiten. Von der aktuellen Verpflichtung der Arbeitsnehmer, das Homeoffice-Angebot soweit möglich anzunehmen, einmal ganz abgesehen.

"In der Pandemie sind allein in Deutschland zwölf Millionen Berufstätige ins Homeoffice gewechselt. Das ist keine Momentaufnahme, sondern bestimmt dauerhaft die neue Normalität", erklärte Bitkom-Präsident Achim Berg in einer Stellungnahme. Gefordert seien ein robustes und risikobasiertes IT-Sicherheitsmanagement, Mitarbeiterschulungen und gut durchdachte Notfallkonzepte. "Sicherheit ist kein einmaliges Projekt, Sicherheit ist ein kontinuierlicher Prozess", so Berg.