Informationssicherheit im Homeoffice (Bachelor-Arbeit) Massnahmen zur Verhinderung von Informationssicherheitsvorfällen bei KMUs im Rahmen von Homeoffice-Tätigkeiten

Spätestens seit Beginn der Coronakrise ist das Thema Homeoffice aktueller denn je. Zahlreiche Unternehmen sahen sich gezwungen, ihre Belegschaft oder zumindest Teile davon praktisch über Nacht ins Homeoffice zu schicken. Eine Auswertung der Melde- und Analysestelle Informationssicherung (MELANI, 2020) zeigt, dass gerade die Coronakrise für Cyberattacken ausgenutzt wurde. Angreifende suchen vermehrt gezielt Schwachstellen im Umfeld von Homeoffice-Tätigkeiten. So hat sich gemäss MELANI (2020, S. 11–13) die Anzahl an Sicherheitsvorfällen während der ersten Pandemiemonaten deutlich erhöht. Dies stellt gerade KMU vor neue Herausforderungen. Denn es sind nicht nur Grossunternehmen, welche Opfer von Angriffen werden. In einer Studie von gfs-zürich gab über ein Drittel aller befragten KMU an, bereits Opfer von Malware, Viren oder Trojanern geworden zu sein (gfs-zürich, 2017). Wie kann also ein KMU im Hinblick auf den Trend zu mehr Homeoffice auch bei einer erhöhten Bedrohungslage die Informationssicherheit gewährleisten? Dieser Frage widmeten wir uns im Rahmen unserer Bachelor-Arbeit an der Kalaidos Fachhochschule.

Die Buchstabensuppe der Informationssicherheits-Frameworks

Zahlreiche Schweizer Unternehmen und öffentliche Organe zierten in der nahen Vergangenheit aufgrund von Cyberattacken die Schlagezeilen. Ob Homeoffice dabei eine Rolle spielte, ist jedoch unbekannt. Klar ist: Homeoffice vergrössert die Angriffsfläche für Cyber-Attacken deutlich. Die Auslagerung von Endgeräten, Daten und isolierte Büroräumlichkeiten spielen dabei eine grosse Rolle. Die Informationssicherheit im Allgemeinen und auch im Homeoffice werden von organisatorischen, reglementarischen und technischen Faktoren geprägt. Die Standards werden in der Regel von Organisationen oder staatlichen Behörden erarbeitet und publiziert. Diese werden in umfassenden Frameworks, wie dem BSI IT-Grundschutz, der ISO 27000er Serie oder dem NIST Cybersecurity Framework erläutert. Für KMUs, welche die Verantwortung für die Informationssicherheit teils nur implizit dem Geschäftsführenden zuteilen, eine schiere Überforderung. Denn dafür sind die meisten nicht ausgebildet.

Ziel und methodisches Vorgehen der Forschungsarbeit

Das Ziel der Bachelor-Arbeit war, einen konkreten Massnahmenkatalog zu erarbeiten, welcher kleinen und mittleren Unternehmen in der Schweiz einen direkten Mehrwert hinsichtlich der Minimierung von Informationssicherheitsrisiken im Homeoffice bieten soll. Eine detaillierte und systematische Literaturrecherche mit wissenschaftlicher Lektüre, Fachbüchern sowie Expertenbeiträgen bildete dabei das Fundament. In einem hybriden empirischen Modell aus qualitativer und quantitativer Forschung wurden Informationssicherheitsverantwortliche aus Schweizer KMUs unterschiedlicher Grössenklassen (Mikrounternehmen, kleine und mittlere Unternehmen) zum Thema Informationssicherheit befragt. Zudem wurde der für KMUs erarbeitete Katalog mit 37 provisorischen Massnahmen auf Akzeptanz und Umsetzbarkeit geprüft.

Vermeintliche Sicherheit durch Unsicherheit – leider Realität

Die qualitativen Interviews zeigen auf, dass die Informationssicherheit im Homeoffice bei den kleinen und mittleren Unternehmen auf das Wesentliche beschränkt ist. Die theoretischen Grundlagen der Informationssicherheit sind bei den Befragten nicht vorhanden und eine strategische Adressierung der Informationssicherheitsrisiken mittels eines Informationssicherheitsmanagementsystems (ISMS) fehlte gänzlich. Organisatorische und reglementarische Massnahmen fehlten bei den Mikrounternehmen beinahe ausnahmslos. Zudem wurden bei den Befragten über alle Grössenklassen hinweg Unsicherheiten bei den Verantwortlichen festgestellt. Dies begründet sich damit, dass die Fragen in den Interviews nur spärlich beantwortet wurden und nur wenige der befragten Unternehmen Massnahmen zur Erhöhung der Informationssicherheit umgesetzt hatten. Ein Drittel der Befragten schätzte das Risiko eines unbemerkten Informationssicherheitsvorfalles gar als gering ein, obwohl manche in der Vergangenheit bereits einen Informationssicherheitsvorfall im Unternehmen hatten.

Dank des hybriden Forschungsmodells deckte die quantitative Datenerhebung im direkten Vergleich zu den qualitativen Interviews diverse Widersprüche der Teilnehmenden auf und unterstreicht somit die vorhandenen Unsicherheiten der Teilnehmenden zum Thema. Als Beispiel: Ein Unternehmen gab im Fragebogen an, ein ISMS im Unternehmen einzusetzen. Im Interview hingegen mussten die Autoren erklären, wofür ISMS steht. Zudem zeigte sich, dass vor allem bei Mikrounternehmen essenzielle organisatorische, reglementarische und technische Massnahmen zum Zeitpunkt der Datenerhebung fehlten. Kleine und mittlere Unternehmen hatten zwar etwa gleich viele Massnahmen implementiert, wobei sich diese im Inhalt unterscheiden – doch fehlte bei beiden eine Standardisierung mitigierender Massnahmen.

Die drei Massnahmenkategorien mit je einem Beispiel

Der finale Massnahmenkatalog setzt sich aus 30 verschiedenen Massnahmen zusammen. Um der Wirtschaftlichkeit Rechnung zu tragen, ist darin ersichtlich, für welche Unternehmensgrössen eine Massnahme zwingend oder nur optional ist. Die folgenden drei Massnahmen bilden einen Auszug aus dem finalen Massnahmenkatalog.

1. Reglementarisch: Homeoffice-Reglement
Über alle Unternehmensgrössen hinweg wird empfohlen, ein eigenes Reglement für das Homeoffice zu führen. Gerade im Homeoffice kann der Arbeitgeber nur bedingt Einfluss auf die Gestaltung des Arbeitsplatzes oder die Konfiguration des lokalen Netzwerkes nehmen. Die Anforderungen sollten zumindest reglementarisch festgehalten werden. Folgende Punkte müssen beachtet werden:

• Sicherheitsanforderungen für die Kommunikation
• Anforderungen an das lokale Heimnetzwerk
• Umgang mit privaten Endgeräten
• Umgang mit Lizenzen
• Anforderungen an Schadsoftwareschutz und Firewall
• Klarheit über den Transport der Infrastruktur vom Büro ins Homeoffice und zurück

2. Organisatorisch: Erarbeitung / Überprüfung des ISMS
Ein Informationssicherheitsmanagementsystem (ISMS) beinhaltet alle relevanten Punkte zum Thema Informationssicherheit des Unternehmens. Diese bestehen aus:

• Sicherheitsziele
• Sicherheitsstrategie
• Leitlinie
• Vorhandene Assets (Informationswerte)
• Risiken
• Sicherheitsmassnahmen und Sicherheitsprozess

Das ISMS ist Kernbestand aller gängigen Sicherheitsstandards und deshalb auch für alle Unternehmensgrössen von Relevanz. Letztlich sind auch sämtliche Massnahmen Teil des ISMS. Das ISMS ist üblicherweise ein Dokument oder eine Sammlung von Teildokumenten. Es muss unternehmensspezifisch, integriert und aktuell sein, sowie von höchster Ebene getragen werden.

3. Technisch: Vereinheitlichung von Authentisierungsmethoden
Damit ein Identitäts- und Berechtigungsmanagement auch wirksam funktionieren kann, soll möglichst ein zentraler Authentisierungsdienst eingesetzt werden. Dieser sollte den aktuellen Sicherheitsanforderungen entsprechen und möglichst eine Vielzahl von Software unterstützen. Es gilt, einem Durcheinander an Benutzern und Rollen vorzubeugen und möglichst alles zentral zu steuern. Wo möglich, soll technisch ebenfalls die Multi-Faktor-Authentisierung (MFA) erzwungen werden. Gemäss Microsoft (2019) kann MFA 99.9 Prozent der Kontokompromittierungen verhindern.

Fazit

Die Interviews zeigten, dass Homeoffice nicht nur aufgrund der Coronakrise ein aktuelles Thema ist. Die Befragten waren sich einig, dass der Trend langfristig anhalten wird. Der Informationssicherheit wurde zwar eine hohe Bedeutung beigemessen, in der Praxis wurde diese jedoch eher als nebensächlich betrachtet. Mit den 30 Massnahmen kann das Risiko, als KMU Opfer eines Cyberangriffs zu werden, auf ein verträgliches Niveau gesenkt werden, ohne dass die Verantwortlichen die teils hundertseitigen Frameworks tiefgründig studieren müssen – ein "Quick Win". So können KMUs die Informationssicherheit im Homeoffice ohne hohen Aufwand nachhaltig stärken und sich auf ihr Kerngeschäft fokussieren. Mit dem ISMS als zentraler Bestandteil lässt sich die Informationssicherheit nicht nur im Homeoffice, sondern auch unternehmensweit stärken.

Quellen und weiterführende Informationen

gfs-zürich. (2017). Cyberrisiken in Schweizer KMUs. Zürich: gfs-zürich. 

MELANI. (2020). Informationssicherung - Lage in der Schweiz und International. Neuchâtel.

Melde- und Analysestelle Informationssicherung MELANI. (2020). Informationssicherung - Lage in der Schweiz und International. Neuchâtel.

Microsoft. (20. 08 2019). Microsoft Security.