Das Interesse an Home Office ist größer denn je, und auch das mobile Arbeiten von unterwegs gewinnt an Bedeutung. Das gilt nicht nur für die "digitalen Nomaden" und die sogenannten Cloudworker, die bewaffnet mit einem Tablet-PC und dem Smartphone von überall arbeiten können. Heutzutage möchte fast jeder Mitarbeiter die neue Freiheit flexibler Arbeitszeiten und -orte nutzen: einmal eben vom Hotel oder dem eigenen Arbeitszimmer aus nicht nur die Mails beantworten, sondern auch den am Nachmittag besprochenen Vertrag fertig machen. Lautete das Prinzip noch vor Jahren Telearbeitsplatz oder Home Office, sind nun Mobile Working und Mobile Office gleichermaßen im Fokus.
Gerade junge Arbeitnehmer erwarten diese Flexibilität von einem Unternehmen - für die oftmals händeringend gesuchten Fachkräfte ist sie ein entscheidender Faktor, um sich für einen Arbeitgeber zu begeistern. Und in vielen Fällen ist sie auch ein wesentlicher Baustein, um überhaupt Familie und Beruf unter einen Hut bringen zu können.
Allerdings gibt es auch viele Bedenken gegenüber Mobile Working. Und diese beschränken sich nicht nur auf arbeitspsychologische Aspekte, sondern es geht vor allem um die mittlerweile auch bei mittelständischen Unternehmen hohen Sicherheitsbedürfnisse.
Security ist mehr als eine Pflichtübung
Zwar setzt sich die Erkenntnis durch, dass Informationssicherheit weit mehr ist als Virenscanner auf den Arbeitsplätzen und eine aktive Firewall - nämlich eine wichtige Disziplin für IT-Verantwortliche und das Management. Doch noch immer folgen auf diese Erkenntnisse zu wenige Taten, wie eine Studie von PwC vom Juni 2014 ermittelt hat:
Ein Blick in die Studie lässt erkennen, dass gerade im Umfeld Risikoanalyse, Dokumentation und vor allem nachhaltiger Schulung von Mitarbeitern in Europas Firmen große Lücken klaffen. Dabei lohnt es sich, hier zu investieren. Denn genau das sind die Elemente einer ganzheitlichen Informationssicherheits-Strategie, die sich auch ohne großen technischen Aufwand realisieren lassen.
Die Risiken des mobilen Arbeitens
Mobile Working lässt sich auf vier unterschiedliche Weisen umsetzen, die jeweils unterschiedliche Risiken mit sich bringen:
-
Vollständig von der Firma losgelöstes Arbeiten: Der Mobile Worker nimmt seine relevanten Daten mit. Diese müssen über ein sicheres Medium transportiert werden (beispielsweise auf verschlüsselten Festplatten, USB-Sticks oder direkt auf einem mobilen Arbeitsgerät). Hier sind neben den Sicherheitsbedenken und natürlich den vielen Fehlermöglichkeiten durch unachtsamen Umgang mit den Medien und Daten auch Probleme mit asynchronen Dateien offensichtlich.
-
Anbindung nur an bestimmte firmeninterne Systeme: Der Mitarbeiter erhält nur Zugriff auf zum Beispiel E-Mail und Kalender über Mechanismen wie Microsoft Exchange Web Services. Alternativ können ihm auch Teile des Intranets als passwortgeschütztes Extranet zur Verfügung gestellt werden.Neben eventuell unverschlüsselten Kommunikationsverbindungen etwa über ungeschützte WLAN-Strecken ist hier ein weiteres Sicherheitsproblem, dass von außerhalb relativ leicht auf Daten zugegriffen werden könnte. Selbst die von außen verfügbaren Systeme in separate Sicherheitszonen wie DMZ auszulagern, hilft hier nur bedingt.
-
Arbeiten in der Public Cloud: Hier geht es beispielsweise um ein CRM-System, das in der Cloud liegt oder um Dokumente auf Cloud-Plattformen wie SharePoint (oneDrive) oder Dropbox.Die Problematik mit dem Zugriff von außen auf interne Systeme besteht hier nicht. Allerdings sollten besonders deutsche Unternehmen bei dieser Variante genau hinsehen. Sobald personenbezogene Daten involviert sind, verstößt man schnell gegen das Bundesdatenschutzgesetz. Auch der Abschluss eines Auftragsdatenverarbeitungsvertrags mit dem Cloud-Anbieter hilft nur, wenn sichergestellt ist, dass die Daten nicht ins außereuropäische Ausland gelangen können (siehe auch nachfolgende Bilderstrecke zu den wichtigsten Änderungen im Zuge der in Arbeit befindlichen EU-Datenschutzreform). Und das ist bei vielen der bekannten Cloud-Anbietern leider der Fall. Ganz zu schweigen von den Möglichkeiten amerikanischer Behörden, die aufgrund des Patriot Acts bei amerikanischen Cloud-Anbietern uneingeschränkte Einsicht in die Daten bekommen können.
-
Zugriff per VPN/Remote Desktop: Hier geht es um transparentes Arbeiten im Firmennetzwerk entweder über virtuelle Private Netzwerke (VPN) oder Remote-Desktop-Varianten (Citrix Lösungen, Microsoft Terminal Server und ähnliche Techniken). Die Arbeit erfolgt nach dem Login über ein entsprechendes Gateway. Hier bestehen wieder die Risiken, die ein direkter Zugriff auf Ressourcen des Firmennetzwerkes birgt, auch wenn dabei die Kommunikation wenigstens gesichert (weil verschlüsselt) abläuft.
Schwachstelle Endgeräte
Eine große Sicherheitslücke in allen vier Fällen stellen das Endgerät des Anwenders und die Netzwerkstrecke dar. Kann die IT noch relativ einfach bei firmeninternen Geräten bestimmte Sicherheitsmindestanforderungen auch technologisch durchsetzen und sicherstellen, so fällt das bei den vorgestellten Mobile-Working-Varianten schwer.
Dieser Schutz des Endgerätes (Device Protection) ist naturgemäß nur teilweise möglich. Zwar gibt es verschiedene Ansätze, um die Risiken in den Griff zu bekommen. Dazu zählen etwa gerätspezifische Policies, die sicherstellen, dass wenigstens die wichtigsten Sicherheitskomponenten auf den Clients installiert und aktiviert sind - beispielsweise automatische Sperre, Entsperren nur durch Passwort, Malware-Scanner und Firewalls. Zudem helfen Outer-Perimeter-Defence-Maßnahmen wie Network-Access-Control (NAC)-Mechanismen. Mit diesen haben nur zugelassene Geräte Zugriff auf das Firmennetz und es kann sichergestellt werden, dass die sicherheitsrelevanten Komponenten aktiv sind. Auch der Einsatz von Unified-Thread-Management (UTM)-Lösungen oder kompletten Next-Generation-Firewall-Strukturen in Kombination mit den anderen Techniken können die Sicherheit weiter erhöhen.
Allerdings sind diese Technologien relativ teuer und müssen intensiv betreut werden. Zudem lassen sich damit vor allem nur bekannte Geräte oder Geräte, auf denen Zertifikate eingespielt wurden, sinnvoll absichern. Andere Geräte bleiben außen vor.
Der Faktor Mensch
Eine weitere große Schwachstelle ist der Faktor Mensch. Vor allem im Mobile Office muss diesem besondere Aufmerksamkeit gewidmet werden. Aber nicht nur dort, wie die oben erwähnte Studie von PwC zeigt. Beim Thema Informationssicherheit rangiert seit Jahren "the human factor" auf den Hitlisten der Gefahrenquellen ganz oben. So hat beispielsweise die Top Ten der von Cisco im Jahr 2011 identifizierten größten Risiken auch heute nichts an Aktualität eingebüßt:
"People are the biggest risk", fasst es der Global Economic Crime Survey 2014 deshalb treffend zusammen.
Gutes Passwort?
Der Mensch stellt auch deshalb solch ein großes Risiko dar, weil Zugänge immer noch viel zu häufig nur über ein Benutzerkonto und ein Passwort gesichert sind. Das ist nicht nur deswegen unzureichend, weil Mitarbeiter dazu tendieren, sorglos oder unsicher mit ihren Passwörtern umzugehen.
Das Problem ist auch, dass trotz (oder gerade wegen) aller Komplexitätsregeln für Passwörter heutzutage häufig Passwörter korrumpiert werden. Und neben den bekannten unsicheren Passwörtern gibt es noch immer Menschen, die diese notieren und etwa in die Laptop-Tasche stecken oder unter die Tastatur schreiben. Ein weiterer Klassiker: Das gleiche Passwort wird für mehrere Konten benutzt. Schließlich gibt es immer wieder Sicherheitslücken bei großen Unternehmen, bei denen hunderttausende Passwörter in die falschen Hände geraten.
Abhilfe schafft nur eine Zwei-Wege-Authentifizierung mit einem Einmalkennwort (One Time Passwort - OTP). Neben dem Passwort hat der Benutzer hier eine zweite Geheiminformation, die nur für wenige Sekunden gültig ist. Diese wird losgelöst vom eigentlichen Login-Vorgang idealerweise auf einem anderen Gerät generiert oder bereitgestellt, etwa per SMS auf das Smartphone.
Flexibilität braucht ein ISMS
Trotzdem ist sicheres Mobile Office möglich. Dabei gilt es aber, dem Faktor Mensch nicht nur durch Überlegungen zu Zwei-Wege-Authentifizierung zu begegnen. Denn in der Summe der potenziellen Risiken hilft Technologie nur bedingt - es braucht auch viel Management.
Sinnvollerweise implementieren Unternehmen, die ihren Mitarbeitern Mobile Working ermöglichen wollen, ein Informations-Sicherheits-Management-System (ISMS). Unternehmen sollten sich hierbei zumindest an Best Practices wie den Empfehlungen des Bundesamt für Sicherheit in der Informationstechnologie (BSI) oder der Sicherheits-Norm ISO 27001 orientieren. Das hilft, das Thema Informationssicherheit zu strukturieren und über alle Ebenen zu betrachten sowie einen nachhaltigen Regelkreis zum Planen, Etablieren, Prüfen, und Handeln zu etablieren (PDCA-Zyklus).
Das ISMS sollte daher neben anderen Punkten auch verbindlich festlegen, wie Mitarbeiter nicht nur regelmäßig über Sicherheitsthemen informiert und geschult werden, sondern auch, wie die Wirksamkeit der Schulungen überprüft und gemessen wird. Dies muss kontinuierlich geschehen, bei Bedarf ist nachzusteuern. Das kontinuierliche Prüfen, Messen und Verbessern muss also auch für die Menschen und ihr Verhalten etabliert werden - so wie es bei technischen Systemen schon längst der Fall ist.
Am wichtigsten ist dabei nicht nur Regeln und "Do’s" und "Don’ts" zu formulieren, sondern die Aufmerksamkeit der Mitarbeiter zu erhöhen und Verständnis zu wecken: für die Risiken und das Sicherheitsbedürfnis des Unternehmens. Das kann durchaus spielerisch geschehen - zum Beispiel durch einen Life-Hack-Event. Eine Alternative sind immer wieder an die Mitarbeiter versendete Hinweise, die auch im privaten Umfeld hilfreich sind. Wichtig ist, dies nicht einmalig, sondern langfristig geplant und kontinuierlich zu betreiben. Und: Es müssen alle Mitarbeiter erreicht und immer wieder auch das Management involviert werden. Dieses muss ganz besonders die Vorbildfunktion leben.
Wie kann gutes Mobile Working aussehen?
Gutes Mobile Working kann nur im Zusammenspiel all der erwähnten Überlegungen funktionieren: So muss die für die Aufgabenstellung und das jeweilige Unternehmen passende Mobile-Working-Variante gewählt werden. Zudem muss die Technologie bereitgestellt und ein funktionierendes ISMS mit besonderem Augenmerk auf Mitarbeiter-Awareness implementiert werden (siehe folgende Checkliste). Wie der Praxisbericht zeigt, ist dann Mobile Working auch für kleine und mittelständische Unternehmen mit hohem Sicherheitsbedürfnis gut realisierbar.
Praxisbeispiel: Mobile Office im täglichen Einsatz
Wie sich Mobile-Office-Arbeiten erfolgreich und sicher umsetzen lässt, zeigt das Beispiel der AEB GmbH. Bei dem Stuttgarter Spezialisten für Software, Beratung und Services für Außenwirtschaft und Logistik nutzen etwas mehr als 60 Prozent der Mitarbeiter Mobile Office. Das Unternehmen bietet hierfür zwei unterschiedliche Varianten:
Mobile Office via Smartphone: Die einfachste Variante ist Zugriff auf die Postfächer und Kalender vom Smartphone aus. Dabei ist es unerheblich, ob es sich um ein Firmen-Smartphone oder um ein privates Gerät handelt. Neben dem Benutzername und dem Passwort dient das Gerät selbst als zweite Authentifizierung. Über die Geräte-ID und Zertifikate wird sichergestellt, dass nur berechtigte Mobile Devices Zugriff erhalten. Auf diesen werden zudem alle relevanten Sicherheitseinstellungen durchgesetzt.
Mobile Office via Citrix: Die zweite Variante (die sich auch mit der ersten kombinieren lässt) bietet Zugriff zu allen firmenrelevanten Programmen auf einer zentralen Citrix-Farm via Citrix Access Gateways. Neben Benutzername und Passwort wird hier für den erfolgreichen Zugang ein Einmal-Passwort benötigt. Dieses wird nach Wunsch des Mitarbeiters entweder per mOTP-App generiert oder per SMS an ihn versendet.
Auf der Citrix-Farm laufen alle firmenrelevanten Programme und werden den Mitarbeitern als Published Applications zur Verfügung gestellt. Je nach den Rollen der Mitarbeiter werden ihnen die für sie notwendigen Anwendungen präsentiert. Mitarbeitern mit besonderen Anforderungen an Software und Rechnerressourcen, beispielsweise für Programmieraufgaben, steht ein Rechner im firmeneigenen Rechenzentrum (Blade-PC) zur Verfügung. Auf diesen können sie über das Citrix Access Gateway direkt zugreifen.
Selbstverständlich ist eine Security Policy verabschiedet und allen Mitarbeitern bekannt. Durch regelmäßige Security-Awareness-Maßnahmen wird auf Gefahren und Risiken ebenso hingewiesen wie das allgemeine Sicherheitsverständnis geschärft.