Während der ersten Corona-Welle musste alles ganz schnell gehen: Mitarbeiter wurden ins Homeoffice geschickt, Präsenzarbeitsplätze wurden reduziert. Das große Ziel der Unternehmen war es, das Kerngeschäft aufrechtzuerhalten. Für Details war wenig Zeit und Kapazität.
Die Experten sind sich aber einig: Jetzt – während der zweiten Welle – können und müssen andere Themen näher betrachtet werden. Der IT-Branchenverband Bitkom fordert nicht von ungefähr, ein größeres Augenmerk auf die IT-Sicherheit zu legen. Nötig sei eine Balance aus benutzerfreundlichem Zugriff auf Unternehmensdaten aus dem Homeoffice heraus und dem angemessenen Schutz der IT-Infrastruktur. Ebenso mahnt das Bundesamt für Sicherheit in der Informationstechnik (BSI), dass IT- und Datensicherheit oft eine untergeordnete Rolle spielen, wenn nun wieder spontan ins Homeoffice umgezogen werden muss.
Auch hat das Hessische Landeskriminalamt darauf hingewiesen, dass sich durch vermehrtes Homeoffice erweiterte und in einzelnen Phänomenen erhöhte Angriffsrisiken ergeben. Social Engineering – also soziale Manipulation – werde im Zuge von räumlicher Trennung erleichtert. Hierbei werden vertrauenserweckende Kontakte genutzt, um sensible Daten, wie z. B. Passwörter abzugreifen. Bekannteste Beispiele sind sogenannte Phishing-Mails.
Der langjährige Informationssicherheits-Experte und UIMC-Geschäftsführer Dr. Jörn Voßbein sieht es ähnlich: „Ich kann mich den Einschätzungen der Behörden nur anschließen. Jedes Unternehmen ist jetzt gut beraten, nach der bestandenen Feuertaufe im Frühjahr einen tieferen Blick in die Details vorzunehmen, gerade auch im Hinblick auf die Informationssicherheit und das Thema Social Engineering.“ Da die Voraussetzungen und Umstände in jedem Unternehmen anders sind, ist ein individuelles Konzept sinnvoll. Besonderes Augenmerk sollte hierbei auch auf die Schulung und Sensibilisierung der Mitarbeiter gelegt werden, um insbesondere die Wahrnehmung für Social Engineering-Attacken zu schärfen und das kritische Misstrauen anzuregen. Gerade beim dezentralen Arbeiten eignen sich hierfür E-Learning-Lösungen. „Lieber jeden Mitarbeiter 1 bis 1,5 Stunden schulen als hinterher Tage nicht arbeiten können, weil das Unternehmensnetzwerk angegriffen wurde.“