Durch die Coronakrise und die angeordneten Arbeitsschutzregeln mussten viele Firmen ihre Beschäftigten von zu Hause aus arbeiten lassen. Homeoffice ist für Arbeitgeber jedoch oft auch mit einem erhöhten Risiko verbunden, Opfer von Cyberattacken zu werden.

Eine aktuelle Umfrage des Gesamtverbands der Deutschen Versicherungswirtschaft e.V. (GDV) zeigt deutliche Sicherheitslücken bei Firmen auf, deren Mitarbeiter mittlerweile auch im Homeoffice mitarbeiten. So lässt beispielsweise jedes zweite Unternehmen seine Mitarbeiter auf privaten Tablets und anderen Endgeräten arbeiten.

Seit der Coronakrise arbeiten nicht zuletzt aufgrund der zeitweisen Homeoffice-Regelung, wie sie in der Sars-CoV-2-Arbeitsschutzverordnung von Ende Januar bis Ende Juni 2021 verankert war, deutlich mehr Beschäftigte im Homeoffice beziehungsweise mobil als vorher. In einer Umfrage wollte der Gesamtverband der Deutschen Versicherungswirtschaft e.V. (GDV) von rund 300 mittelständischen Unternehmen wissen, wie sie sich gegen die Risiken des mobilen Arbeitens gewappnet haben. Durchgeführt wurde die Befragung von dem Marktforschungsinstitut Forsa im Frühjahr 2021.

Ein Ergebnis ist, dass jedes zweite Unternehmen von ihren Beschäftigten mobile Arbeit auf deren privaten Endgeräten wie Smartphones oder Tablets erledigen lässt. Mehr als jede vierte Firma, konkret 28 Prozent, lässt für die Kommunikation allgemeine Messenger-Dienste wie WhatsApp zu und bei jedem 20. Unternehmen nutzen die Mitarbeiter sogar ihre privaten E-Mail-Adressen für die geschäftliche Korrespondenz.

Cyberkriminelle nutzen neue Schwachstellen gezielt

Der GDV-Hauptgeschäftsführer Jörg Asmussen hebt ein weiteres Umfrageergebnis hervor: „Nur acht Prozent der Unternehmen, in denen mobil gearbeitet wird, haben ihre IT-Sicherheits- und Datenschutzregeln überarbeitet. Nur sieben Prozent haben in zusätzliche IT-Sicherheit investiert.“ „Dass zu Beginn der Pandemie viele Sicherheitsroutinen gestört waren, ist noch verständlich. Aber wer seine Prozesse jetzt noch nicht an die neue Situation angepasst hat, handelt fahrlässig und lädt Cyberkriminelle und Betrüger geradezu ein“, warnt Asmussen.

„Cyberkriminelle nutzen die neuen Schwachstellen ganz gezielt für ihre Angriffe aus. So sind etwa private Geräte und E-Mail-Accounts in aller Regel viel schlechter geschützt als die firmeneigene IT. So verlieren Unternehmen die Kontrolle über ihre IT-Sicherheit und damit über die Sicherheit ihrer Daten“, sagt Ole Sieverding, Mitglied der GDV-Projektgruppe Cyberversicherung.

Mehr als jede vierte Firma (26 Prozent) gab bei der Befragung an, dass sich die Zahl der Cyberattacken seit Beginn der Coronapandemie erhöht habe.

Schutzmaßnahmen vor Betrug

Doch es besteht aufgrund der Coronakrise und damit einhergehend der vermehrten Homeoffice- oder sonstigen mobilen Berufstätigkeiten der Beschäftigten bei Firmen nicht nur ein Problem hinsichtlich der IT- und Datensicherheit, sondern auch vor sonstigen Betrügern. In einer YouGov-Umfrage Mitte dieses Jahres unter rund 2.000 Beschäftigten erklärten nur 22 Prozent der über 900 mobil Arbeitenden, dass es von ihren Arbeitgebern angepasste Compliance- und Sicherheitsmaßnahmen zu den mobilen Tätigkeiten gab.

„In manchen Unternehmen scheint die Sicherheit sogar bewusst vernachlässigt zu werden: Immerhin zwölf Prozent sagen, dass sie Compliance- und Sicherheitsregeln beim mobilen Arbeiten nicht vollständig befolgen und sie stattdessen flexibel handhaben könnten“, so der GDV. „Ein solches Umfeld ist für Betrüger ein Eldorado“, warnt Rüdiger Kirsch, Vorsitzender der GDV-Arbeitsgemeinschaft Vertrauensschaden-Versicherung.

„Wenn viele Ansprechpartner schwerer zu erreichen sind, der persönliche Kontakt zu Vertragspartnern und der informelle Austausch mit den Kollegen fehlt, müssen die Compliance-Regeln uneingeschränkt gelten, besser noch verschärft werden“, rät Kirsch. Der GDV empfiehlt Firmen folgende Maßnahmen, um sich vor den Gefahren, die das mobile Arbeiten mit sich bringt, zu schützen:

  • „Sicheren Zugriff auf Unternehmensanwendungen und -daten gewährleisten, zum Beispiel über ein VPN-Netzwerk mit entsprechender Authentifizierung der Nutzer.
  • Berufliches und Privates strikt trennen: Mitarbeiter sollten berufliche Geräte, E-Mail-Adressen und Passwörter nicht für private Zwecke nutzen dürfen. Umgekehrt sollten sie keine privaten Geräte, E-Mail-Adressen und Passwörter für geschäftliche Zwecke verwenden müssen.
  • Auch mobil arbeitende Beschäftigte regelmäßig schulen und für die drohenden Gefahren sensibilisieren; klare Regeln für den Schutz der mobil genutzten Daten aufstellen.
  • Wichtige Vorgänge wie größere Zahlungsanweisungen oder die Änderung der Kontodaten von Kunden und Lieferanten im Vier-Augen-Prinzip und auf zwei Kommunikationswegen prüfen lassen, zum Beispiel durch die telefonische Bestätigung einer E-Mail-Anweisung. Für die Kontaktaufnahme zur Gegenprüfung nur bereits bekannte Telefonnummern und E-Mail-Adressen nutzen: Bei einem Betrugsversuch werden über den ‚Antworten‘-Button oder per Rückruf-Knopf doch wieder nur die Kriminellen erreicht.
  • Offenheit und Ansprechbarkeit sicherstellen: Viele Kriminelle setzen ihre Opfer unter Zeitdruck, die wichtigsten Telefonnummern sollten daher immer griffbereit sein. Zudem sollten alle Mitarbeiter die zuständigen IT-, Datenschutz- und Compliance-Verantwortlichen kennen und problemlos ansprechen können.
  • Um gegen die wachsende Gefahr durch Stimmensimulatoren gewappnet zu sein, sollten Zahlungsanweisungen niemals am Telefon und schon gar nicht per WhatsApp-Sprachnachricht entgegengenommen werden.“

Cyber- und Vertrauensschaden-Versicherung

Da es trotz aller Vorsicht keinen 100-prozentigen Schutz vor Cyberattacken und Betrug gibt, empfehlen Versicherungsexperten eine Cyberversicherung sowie eine Vertrauensschaden-Police. Eine Cyberversicherung übernimmt, nachdem das versicherte Unternehmen Opfer einer Cyberattacke geworden ist, diverse Folgekosten wie die Kosten für die Datenwiederherstellung und Systemkonstruktion. Wenn vereinbart, werden auch die wirtschaftlichen Schäden einer Betriebsunterbrechung nach einer Cyberattacke übernommen.

Viele Cyberversicherer stellen zur Schadenanalyse, Beweissicherung und Schadenbegrenzung nach einem Cyberangriff auch IT-Forensiker, Krisenkommunikations-Spezialisten und Anwälte für IT- und Datenschutzrecht zur Verfügung oder übernehmen die Kosten dafür. Eine bestehende Vertrauensschaden-Versicherung entschädigt laut GDV versicherte Firmen, „wenn interne oder externe Vertrauenspersonen Gelder veruntreuen oder das Unternehmen betrügen“.

Versichert sind hier, wenn vereinbart, die finanziellen Folgen für ein Unternehmen, die durch Betrug wie zum Beispiel durch Geldunterschlagung, Diebstahl, Datensabotage, Geheimnisverrat oder Untreue von Mitarbeitern oder von externen Vertrauenspersonen verursacht wurden. Auch ein Betrug von Kriminellen, bei denen Mitarbeiter mittels gefälschter Anweisungen oder Bestellungen über den wahren Auftraggeber getäuscht werden, um Zahlungen oder Lieferungen zu veranlassen, ist versicherbar. Welcher Versicherungsschutz passend ist, erklärt der Versicherungsvermittler.

Quelle: (verpd)

Cookies erleichtern die Bereitstellung unserer Dienste. Mit der Nutzung unserer Dienste erklären Sie sich damit einverstanden, dass wir Cookies verwenden.
Datenschutzerklärung Verstanden