Das Arbeiten im Homeoffice ist in vielen Unternehmen das Gebot der Stunde. Andere haben ihre Belegschaft in Büros und Produktionshallen ausgedünnt, um sie vor der Infektion zu schützen. Allerdings sollten Firmen dringend auch für ihren eigenen Schutz sorgen – vor E-Crime, Betrug und anderen Vertrauensschäden.
Angela Merkel ist das wohl prominenteste Beispiel für Menschen, die das drohende Coronavirus kurzerhand ins Homeoffice verbannt hat. Dieses Schicksal teilt die Bundeskanzlerin mit hunderttausenden Angestellten. Allein in der Digitalwirtschaft ordneten laut Branchenverband Bitkom zwei Drittel aller Unternehmen die Arbeit in den eigenen vier Wänden an. Was die einen als Durchbruch von New Work und digitalisiertem Arbeiten feiern, treibt etlichen IT-Profis und Compliance-Experten den Angstschweiß auf die Stirn.
Weil Kontaktverbot, Ausgangsbeschränkungen und Produktionsstopps für viele Unternehmen unerwartet kamen, war der Umzug vom Büro ins Homeoffice oft überstürzt und ohne konkrete Planung. „Damit bieten wir derzeit ein Eldorado für Computerkriminelle”, sagt die IT-Beauftragte eines renommierten Medienhauses, das im März über 1.000 Leute binnen einer Woche ins Homeoffice delegierte. „Unsere Sicherheit ist derzeit nicht so hoch, wie sie sein sollte.” Man habe die hohen Sicherheitsstandards in den ersten beiden Wochen vernachlässigen müssen, „um große Teams überhaupt remotefähig zu machen“.
Gefahren durch Zoombombing & Co
Teams müssen sich austauschen, weshalb nun in vielen zum Büro umfunktionierten Wohnzimmern fröhlich kostenlose Software für Telefonkonferenzen, Video-Meetings, Datentransfers und Webinare auf Rechner geladen wird. Das Problem: Niemand weiß, ob diese oft sehr einfach zu bedienenden Tools dem deutschen Datenschutz entsprechen, wer eigentlich mithören und mitsehen kann und wo die Daten der Teilnehmer letzten Endes landen. So ist beispielsweise das Videokonferenz-Tool Zoom – das dank Corona im März bis zu 200 Millionen Nutzerinnen und Nutzer pro Tag zählte – in die Kritik geraten: Beim sogenannten Zoombombing schalten sich wildfremde Leute unbemerkt in die Videokonferenzen, zudem soll Zoom Daten der Teilnehmer an Facebook weitergegeben haben. Das Unternehmen mit Sitz im kalifornischen San José gelobte Besserung – was man glauben kann. Oder auch nicht.
Mindestens so heikel wie der Download von Software ist der Umstand, dass viele Angestellte im Homeoffice mit ihren privaten digitalen Endgeräten arbeiten. Laut der Deloitte-Studie „Mobile Readiness for Work 2019“ verfügten nur 20 Prozent der Arbeitnehmer, die im Homeoffice arbeiten, über vom Arbeitgeber bereitgestellte Endgeräte. Mag sein, dass sich die Versorgung der Angestellten mit Firmen-Hardware in der Corona-Krise verbessert hat – 100 Prozent werden es aber kaum sein.
Dabei warnen Experten eindringlich vor E-Crime. Die IT-Sicherheitsexperten Markus Schaffrin und Patrick Grihn vom Verband der Internetwirtschaft „eco“ schreiben zum Beispiel: „Nutzen Sie möglichst Ihren Firmen-Laptop, um sich mit den IT-Systemen im Unternehmen zu verbinden. … Umgekehrt sollten Sie Ihre üblichen Unternehmens-Anwendungen auch nicht ohne Zustimmung des Chefs auf einem Privatrechner installieren und nutzen.“ Der laxe Umgang mit Hardware, Daten und Server-Zugängen öffnet findigen Kriminellen gerade Tür und Tor. Ob Diebstahl, Spionage oder Erpressung – die Liste der möglichen Bedrohungen ist lang. Experten warnen vor einem starken Zuwachs an E-Crime-Delikten. Schon jetzt sorgen diverse Spielarten von Phishing-Mails zum Thema Corona für große Schäden. Selbst in Zeiten, in denen die Wirtschaft nicht unter einem Lockdown leidet, können solche E-Crime-Attacken für Unternehmen existenzgefährdend sein.
Vertrauen ist gut, Absichern besser
Nicht zu vernachlässigen – und das ist kein schönes Thema – sind auch jene Schäden, die Angestellte nicht aus Unwissenheit und Leichtfertigkeit verursachen, sondern mit purer Absicht. Gelegenheit macht bekanntlich Diebe und das Arbeiten im Homeoffice eröffnet viele Möglichkeiten, sensible Unternehmensdaten für eigene Zwecke zu nutzen. Zumal das Vier-Augen-Prinzip derzeit vielerorts außer Kraft gesetzt ist.
Auch denjenigen, die noch in weitgehend verwaisten Produktionsstätten oder nahezu leeren Büros arbeiten, stehen buchstäblich alle Türen offen. Die Marktforscher der GfK haben bereits 2016 in einer repräsentativen Studie herausgefunden, dass jeder vierte Arbeitnehmer schon einmal etwas am Arbeitsplatz gestohlen hat, und da ist Toilettenpapier nur ein ganz kleiner Posten. Insgesamt – das hat Allianz Trade im Rahmen der Vertrauensschadenversicherung errechnet – entstehen deutschen Unternehmen schon in „normalen“ Jahren Schäden in Höhe von rund 53 Milliarden Euro durch eigene Mitarbeiter, sei es durch E-Crime, Datenmissbrauch, Veruntreuung oder andere kriminelle Handlungen.
Fakt ist: Es geht nicht nur um diejenigen, die vielleicht mal einen Kugelschreiber einstecken. Sondern auch um die, die ihrem Chef oder ihrer Chefin immer schon mal eins auswischen wollten und nun – unbeaufsichtigt und unkontrolliert – die Gelegenheit dazu bekommen. Oder um die, die in die Kasse greifen, weil sie wegen der Corona-Pandemie finanziell mit dem Rücken an der Wand stehen, etwa wenn ein Familienmitglied auf Kurzarbeit gesetzt ist. Oder um die, die sich schlicht persönlich bereichern wollen.
All diese Fälle sind auch unter Compliance-Gesichtspunkten sehr heikel: Vorstände und Geschäftsführer haben eine gesetzlich verankerte Sorgfaltspflicht und tragen ein Haftungsrisiko. Diese Vertrauensdelikte bergen also nicht nur Gefahren für die Firma, sondern auch für jeden Entscheider persönlich. Die Risiken durch die neue Arbeitssituation sind für Unternehmen und Führungskräfte vielfältig. Es bleibt abzuwarten, wie sich die Schäden durch die Homeoffice-Welle während der Corona-Pandemie entwickeln. Wichtig ist in jedem Fall, sich gut vor ihnen zu schützen.
Angela Merkel ist das wohl prominenteste Beispiel für Menschen, die das drohende Coronavirus kurzerhand ins Homeoffice verbannt hat. Dieses Schicksal teilt die Bundeskanzlerin mit hunderttausenden Angestellten. Allein in der Digitalwirtschaft ordneten laut Branchenverband Bitkom zwei Drittel aller Unternehmen die Arbeit in den eigenen vier Wänden an. Was die einen als Durchbruch von New Work und digitalisiertem Arbeiten feiern, treibt etlichen IT-Profis und Compliance-Experten den Angstschweiß auf die Stirn.
Weil Kontaktverbot, Ausgangsbeschränkungen und Produktionsstopps für viele Unternehmen unerwartet kamen, war der Umzug vom Büro ins Homeoffice oft überstürzt und ohne konkrete Planung. „Damit bieten wir derzeit ein Eldorado für Computerkriminelle”, sagt die IT-Beauftragte eines renommierten Medienhauses, das im März über 1.000 Leute binnen einer Woche ins Homeoffice delegierte. „Unsere Sicherheit ist derzeit nicht so hoch, wie sie sein sollte.” Man habe die hohen Sicherheitsstandards in den ersten beiden Wochen vernachlässigen müssen, „um große Teams überhaupt remotefähig zu machen“.
Gefahren durch Zoombombing & Co
Teams müssen sich austauschen, weshalb nun in vielen zum Büro umfunktionierten Wohnzimmern fröhlich kostenlose Software für Telefonkonferenzen, Video-Meetings, Datentransfers und Webinare auf Rechner geladen wird. Das Problem: Niemand weiß, ob diese oft sehr einfach zu bedienenden Tools dem deutschen Datenschutz entsprechen, wer eigentlich mithören und mitsehen kann und wo die Daten der Teilnehmer letzten Endes landen. So ist beispielsweise das Videokonferenz-Tool Zoom – das dank Corona im März bis zu 200 Millionen Nutzerinnen und Nutzer pro Tag zählte – in die Kritik geraten: Beim sogenannten Zoombombing schalten sich wildfremde Leute unbemerkt in die Videokonferenzen, zudem soll Zoom Daten der Teilnehmer an Facebook weitergegeben haben. Das Unternehmen mit Sitz im kalifornischen San José gelobte Besserung – was man glauben kann. Oder auch nicht.
Mindestens so heikel wie der Download von Software ist der Umstand, dass viele Angestellte im Homeoffice mit ihren privaten digitalen Endgeräten arbeiten. Laut der Deloitte-Studie „Mobile Readiness for Work 2019“ verfügten nur 20 Prozent der Arbeitnehmer, die im Homeoffice arbeiten, über vom Arbeitgeber bereitgestellte Endgeräte. Mag sein, dass sich die Versorgung der Angestellten mit Firmen-Hardware in der Corona-Krise verbessert hat – 100 Prozent werden es aber kaum sein.
Dabei warnen Experten eindringlich vor E-Crime. Die IT-Sicherheitsexperten Markus Schaffrin und Patrick Grihn vom Verband der Internetwirtschaft „eco“ schreiben zum Beispiel: „Nutzen Sie möglichst Ihren Firmen-Laptop, um sich mit den IT-Systemen im Unternehmen zu verbinden. … Umgekehrt sollten Sie Ihre üblichen Unternehmens-Anwendungen auch nicht ohne Zustimmung des Chefs auf einem Privatrechner installieren und nutzen.“ Der laxe Umgang mit Hardware, Daten und Server-Zugängen öffnet findigen Kriminellen gerade Tür und Tor. Ob Diebstahl, Spionage oder Erpressung – die Liste der möglichen Bedrohungen ist lang. Experten warnen vor einem starken Zuwachs an E-Crime-Delikten. Schon jetzt sorgen diverse Spielarten von Phishing-Mails zum Thema Corona für große Schäden. Selbst in Zeiten, in denen die Wirtschaft nicht unter einem Lockdown leidet, können solche E-Crime-Attacken für Unternehmen existenzgefährdend sein.
Vertrauen ist gut, Absichern besser
Nicht zu vernachlässigen – und das ist kein schönes Thema – sind auch jene Schäden, die Angestellte nicht aus Unwissenheit und Leichtfertigkeit verursachen, sondern mit purer Absicht. Gelegenheit macht bekanntlich Diebe und das Arbeiten im Homeoffice eröffnet viele Möglichkeiten, sensible Unternehmensdaten für eigene Zwecke zu nutzen. Zumal das Vier-Augen-Prinzip derzeit vielerorts außer Kraft gesetzt ist.
Auch denjenigen, die noch in weitgehend verwaisten Produktionsstätten oder nahezu leeren Büros arbeiten, stehen buchstäblich alle Türen offen. Die Marktforscher der GfK haben bereits 2016 in einer repräsentativen Studie herausgefunden, dass jeder vierte Arbeitnehmer schon einmal etwas am Arbeitsplatz gestohlen hat, und da ist Toilettenpapier nur ein ganz kleiner Posten. Insgesamt – das hat Allianz Trade im Rahmen der Vertrauensschadenversicherung errechnet – entstehen deutschen Unternehmen schon in „normalen“ Jahren Schäden in Höhe von rund 53 Milliarden Euro durch eigene Mitarbeiter, sei es durch E-Crime, Datenmissbrauch, Veruntreuung oder andere kriminelle Handlungen.
Fakt ist: Es geht nicht nur um diejenigen, die vielleicht mal einen Kugelschreiber einstecken. Sondern auch um die, die ihrem Chef oder ihrer Chefin immer schon mal eins auswischen wollten und nun – unbeaufsichtigt und unkontrolliert – die Gelegenheit dazu bekommen. Oder um die, die in die Kasse greifen, weil sie wegen der Corona-Pandemie finanziell mit dem Rücken an der Wand stehen, etwa wenn ein Familienmitglied auf Kurzarbeit gesetzt ist. Oder um die, die sich schlicht persönlich bereichern wollen.
All diese Fälle sind auch unter Compliance-Gesichtspunkten sehr heikel: Vorstände und Geschäftsführer haben eine gesetzlich verankerte Sorgfaltspflicht und tragen ein Haftungsrisiko. Diese Vertrauensdelikte bergen also nicht nur Gefahren für die Firma, sondern auch für jeden Entscheider persönlich. Die Risiken durch die neue Arbeitssituation sind für Unternehmen und Führungskräfte vielfältig. Es bleibt abzuwarten, wie sich die Schäden durch die Homeoffice-Welle während der Corona-Pandemie entwickeln. Wichtig ist in jedem Fall, sich gut vor ihnen zu schützen.