In den letzten Jahrzehnten haben die Digitalisierungsbestrebungen die Unternehmen gezwungen, immer komplexere Systeme zu bauen, um die steigende Anzahl von Computern und Geräten in den Geschäftsräumen zu verwalten. Diese Firmennetzwerke sind mit der Zeit zur Norm für Unternehmen und große Organisationen geworden und stehen im Mittelpunkt der Bemühungen um Datenschutz und Cybersicherheit. Die COVID-19-Pandemie hat die Dinge jedoch auf den Kopf gestellt.
Als Unternehmen sich Strategien zur Gewährleistung der Fortführung des Geschäftsbetriebs von zu Hause aus einführten, gingen die Arbeitsplatzcomputer aus der Sicherheit der Firmennetzwerke in weniger kontrollierbare Heimumgebungen über. Durch Maßnahmen wie die Verwendung von Virtual Private Networks (VPNs) und Virtual Desktop Infrastructure (VDI) blieben die Endpunkte zwar verbunden und für den Datenzugriff auf Unternehmensnetzwerken nutzbar. Die Unternehmen können die Sicherheit der persönlichen Bereiche jedoch nicht überwachen. Dies war schon immer ein Streitpunkt für Unternehmen, die sich gegen die Einführung von Home Office Arbeitsplätzen aussprechen, insbesondere für solche, die unter die Auswirkungen strengerer Datenschutzbestimmungen und -standards wie PCI DSS, HIPAA oder TISAX fallen.
Die Pandemie hat jedoch alle Unternehmen gezwungen, Home Office Arbeitsplätze einzurichten, und zwar in einem größeren Ausmaß, das selbst die größten Befürworter der Pandemie je erwartet hatten. Schlimmer noch, weil sie so kurzfristig umgesetzt werden musste, sahen sich viele Unternehmen gezwungen, Sicherheitskompromisse oder generische Strategien zu akzeptieren, die sich langfristig als unangemessen erweisen könnten.
Bedenken hinsichtlich der Datensicherheit im Home Office
Obwohl einige Datenschutzbehörden angekündigt haben, dass die Vorschriften aufgrund der außergewöhnlichen Umstände, unter denen Unternehmen arbeiten müssen, gelockert würden, um die Arbeit von zu Hause aus zu ermöglichen, bedeutet dies nicht, dass die Datenschutzanforderungen nicht mehr zwingend vorgeschrieben sind. Die Datenschutzbehörden mögen in diesen Zeiten nachsichtiger sein, aber sie werden nicht die Augen vor der absichtlichen Missachtung des Datenschutzes verschließen.
Die Arbeit von zu Hause aus macht Daten vor allem durch das Fehlen einer kontrollierten Arbeitsumgebung anfälliger. In einem Büro haben nur die Mitarbeiter Zugang zu den Arbeitscomputern und ihren Daten, in Räumen, die mit Firmenausweisen betreten und durch Kameras überwacht werden, sowie das Sicherheitspersonal vor Ort. Unternehmen können nicht kontrollieren, wer in der Wohnung eines Mitarbeiters ein- und ausgeht, ob Dritte Zugang zu einem Arbeitscomputer haben oder ob Mitarbeiter auf Reisen oder an öffentlichen Orten wie Parks oder Cafés unterwegs arbeiten. Dies eröffnet Arbeitscomputern die Möglichkeit des physischen Diebstahls und der Manipulation durch Außenstehende.
Lokal auf Arbeitscomputern gespeicherte Daten sind besonders schutzlos. Wenn ein Mitarbeiter sich mit einem öffentlichen WiFi verbindet, um persönliche E-Mails zu überprüfen, Opfer eines Phishing-Angriffs wird oder ein infiziertes Gerät an den Computer anschließt, können diese Daten leicht von böswilligen Außenstehenden ins Visier genommen und gestohlen werden. Unternehmen können Mitarbeiter nicht daran hindern, persönliche und öffentliche Internet-Netzwerke zu nutzen, und viele tun dies auch, da Lösungen wie VPNs manchmal die Internetverbindungen verlangsamen können, was zu Frustration führt.
Viele Datenschutzrichtlinien können nicht mehr funktionieren, wenn ein Endpunkt nicht mehr mit dem Unternehmensnetzwerk oder dem Internet verbunden ist. Das bedeutet, dass Mitarbeiter alle Einschränkungen, die für sensible Daten gelten, leicht umgehen können, indem sie ihre Geräte vom Netzwerk trennen.
Schutz der Daten am Endpunkt
Unternehmen können zwar die Sicherheitspraktiken in persönlichen Bereichen nicht überwachen, aber sie können die Arbeitscomputer durch Lösungen sichern, die eher auf Endpunkt- als auf Netzwerkebene eingesetzt werden. Auf diese Weise können sie sicherstellen, dass Daten geschützt sind, unabhängig davon, ob ein Computer an das Unternehmensnetzwerk angeschlossen ist oder nicht.
Data Loss Prevention (DLP)-Lösungen können, wenn sie auf der Endpunktebene angewendet werden, dazu beitragen, die Risiken lokal gespeicherter Daten zu mindern, unabhängig davon, ob ein Computer mit dem Internet verbunden ist oder nicht. Mit Hilfe komplexer Scan-Tools, die Daten sowohl inhaltlich als auch kontextbezogen untersuchen, können DLP-Lösungen erkennen, wo Daten lokal auf Arbeitsgeräten gespeichert sind, und sie dort, wo sie gefunden werden, verschlüsseln oder löschen. Sie können auch ihre Übertragung über das Internet oder auf Wechseldatenträger blockieren.
Diese Richtlinien können nicht nur lokal auf Arbeitscomputern angewendet werden, sondern auch in VDI und Desktop-as-a-Service (DaaS), die es den Mitarbeitern ermöglichen, sich von ihren Computern aus mit einem virtuellen Desktop zu verbinden und ihre Arbeit dort und nicht direkt auf ihren Geräten auszuführen. Diese Dienste verringern zwar die Wahrscheinlichkeit, dass Daten lokal gespeichert werden, aber sie haben keine Kontrolle darüber, wie die Mitarbeiter diese Daten außerhalb des virtuellen Desktops nutzen und übertragen.
Unternehmen haben die Möglichkeit, noch einen Schritt weiter zu gehen und durch DLP-Lösungen wie Endpoint Protector Richtlinien für die Nutzung außerhalb des Netzwerks und außerhalb der Geschäftszeiten anzuwenden, die den Schutz sensibler Daten verstärken. Sie können strengere Überwachungs- und Kontrollrichtlinien festlegen, wenn ein Arbeitscomputer außerhalb des Unternehmensnetzwerks oder außerhalb der regulären Arbeitszeiten verwendet wird, wodurch eine zusätzliche Ebene der Datensicherheit hinzugefügt wird.
Zusammengefasst heißt das:
Die aktuelle Pandemie war ein Testfeld für das Arbeiten aus dem Home Office als praktikable Alternative zu Büroumgebungen. Wenn viele Unternehmen früher gegen das Arbeiten von zu Hause aus argumentierten, insbesondere im Zusammenhang mit den Datenschutzbestimmungen, so sind sie nun gezwungen, schnelle Methoden zur Umsetzung zu finden, um ihren Betrieb am Laufen zu halten. Da ihre Durchführbarkeit in großem Maß inzwischen unbestreitbar erwiesen ist, dürfte die Arbeit aus dem Home Office zu einer allgemein akzeptierten Praxis werden. Unternehmen müssen daher den Datenschutz mit all seinen Anforderungen in ihre Pläne für die Arbeit von zu Hause aus aufnehmen, wie sie es in der Vergangenheit bei allen ihren Cybersicherheitsstrategien getan haben.
