Das Interesse an Home Office ist größer denn je, und auch das mobile Arbeiten von unterwegs gewinnt an Bedeutung. Das gilt nicht nur für die "digitalen Nomaden" und die sogenannten Cloudworker, die bewaffnet mit einem Tablet-PC und dem Smartphone von überall arbeiten können. Heutzutage möchte fast jeder Mitarbeiter die neue Freiheit flexibler Arbeitszeiten und -orte nutzen: einmal eben vom Hotel oder dem eigenen Arbeitszimmer aus nicht nur die Mails beantworten, sondern auch den am Nachmittag besprochenen Vertrag fertig machen. Lautete das Prinzip noch vor Jahren Telearbeitsplatz oder Home Office, sind nun Mobile Working und Mobile Office gleichermaßen im Fokus.
(--> Über die rechtlichen Aspekte des Arbeitens von zu Hause lesen Sie die Aussagen eines Rechtsanwalts: "Home Office geht nur mit Vertrauensvorschuss")
Gerade junge Arbeitnehmer erwarten diese Flexibilität von einem Unternehmen - für die oftmals händeringend gesuchten Fachkräfte ist sie ein entscheidender Faktor, um sich für einen Arbeitgeber zu begeistern. Und in vielen Fällen ist sie auch ein wesentlicher Baustein, um überhaupt Familie und Beruf unter einen Hut bringen zu können.
Allerdings gibt es auch viele Bedenken gegenüber Mobile Working. Und diese beschränken sich nicht nur auf arbeitspsychologische Aspekte, sondern es geht vor allem um die mittlerweile auch bei mittelständischen Unternehmen hohen Sicherheitsbedürfnisse.
Security ist mehr als eine Pflichtübung
Zwar setzt sich die Erkenntnis durch, dass Informationssicherheit weit mehr ist als Virenscanner auf den Arbeitsplätzen und eine aktive Firewall - nämlich eine wichtige Disziplin für IT-Verantwortliche und das Management. Doch noch immer folgen auf diese Erkenntnisse zu wenige Taten, wie eine Studie von PwC vom Juni 2014 ermittelt hat:
Ein Blick in die Studie lässt erkennen, dass gerade im Umfeld Risikoanalyse, Dokumentation und vor allem nachhaltige Schulung von Mitarbeitern in Europas Firmen große Lücken klaffen. Dabei lohnt es sich, hier zu investieren. Denn genau das sind die Elemente einer ganzheitlichen Informationssicherheitsstrategie, die sich auch ohne großen technischen Aufwand realisieren lassen.
Risiken des mobilen Arbeitens
Mobile Working lässt sich auf vier unterschiedliche Arten umsetzen, die jeweils unterschiedliche Risiken mit sich bringen:
Vollständig von der Firma losgelöstes Arbeiten: Der Mobile Worker nimmt seine relevanten Daten mit. Diese müssen über ein sicheres Medium transportiert werden (beispielsweise auf verschlüsselten Festplatten, USB-Sticks oder direkt auf einem mobilen Arbeitsgerät). Hier sind neben den Sicherheitsbedenken und natürlich den vielen Fehlermöglichkeiten durch unachtsamen Umgang mit den Medien und Daten auch Probleme mit asynchronen Dateien offensichtlich.
Anbindung nur an bestimmte firmeninterne Systeme: Der Mitarbeiter erhält nur Zugriff auf zum Beispiel E-Mail und Kalender über Mechanismen wie Microsoft Exchange Web Services. Alternativ können ihm auch Teile des Intranets als passwortgeschütztes Extranet zur Verfügung gestellt werden. Neben eventuell unverschlüsselten Kommunikationsverbindungen etwa über ungeschützte WLAN-Strecken ist hier ein weiteres Sicherheitsproblem, dass von außerhalb relativ leicht auf Daten zugegriffen werden könnte. Selbst die von außen verfügbaren Systeme in separate Sicherheitszonen wie DMZ auszulagern hilft hier nur bedingt.
Arbeiten in der Public Cloud: Hier geht es beispielsweise um ein CRM-System, das in der Cloud liegt, oder um Dokumente auf Cloud-Plattformen wie SharePoint (oneDrive) oder Dropbox. Die Problematik mit dem Zugriff von außen auf interne Systeme besteht hier nicht. Allerdings sollten besonders deutsche Unternehmen bei dieser Variante genau hinsehen. Sobald personenbezogene Daten involviert sind, verstößt man schnell gegen das Bundesdatenschutzgesetz. Auch der Abschluss eines Auftragsdatenverarbeitungsvertrags mit dem Cloud-Anbieter hilft nur, wenn sichergestellt ist, dass die Daten nicht ins außereuropäische Ausland gelangen können (siehe auch nachfolgende Bilderstrecke zu den wichtigsten Änderungen im Zuge der in Arbeit befindlichen EU-Datenschutzreform). Und das ist bei vielen der bekannten Cloud-Anbietern leider der Fall. Ganz zu schweigen von den Möglichkeiten amerikanischer Behörden, die aufgrund des Patriot Acts bei amerikanischen Cloud-Anbietern uneingeschränkte Einsicht in die Daten bekommen können.
Zugriff per VPN/Remote Desktop: Hier geht es um transparentes Arbeiten im Firmennetzwerk entweder über virtuelle Private Netzwerke (VPN) oder Remote-Desktop-Varianten (Citrix-Lösungen, Microsoft Terminal Server und ähnliche Techniken). Die Arbeit erfolgt nach dem Login über ein entsprechendes Gateway. Hier bestehen wieder die Risiken, die ein direkter Zugriff auf Ressourcen des Firmennetzwerkes birgt, auch wenn dabei die Kommunikation wenigstens gesichert (weil verschlüsselt) abläuft.
Schwachstelle Endgeräte
Eine große Sicherheitslücke in allen vier Fällen stellen das Endgerät des Anwenders und die Netzwerkstrecke dar. Kann die IT noch relativ einfach bei firmeninternen Geräten bestimmte Sicherheitsmindestanforderungen auch technologisch durchsetzen und sicherstellen, so fällt das bei den vorgestellten Mobile-Working-Varianten schwer.
Dieser Schutz des Endgerätes (Device Protection) ist naturgemäß nur teilweise möglich. Zwar gibt es verschiedene Ansätze, die Risiken in den Griff zu bekommen. Dazu zählen etwa gerätspezifische Policies, die sicherstellen, dass wenigstens die wichtigsten Sicherheitskomponenten auf den Clients installiert und aktiviert sind - beispielsweise automatische Sperre, Entsperren nur durch Passwort, Malware-Scanner und Firewalls. Zudem helfen Outer-Perimeter-Defence-Maßnahmen wie Network-Access-Control (NAC)-Mechanismen. Mit diesen haben nur zugelassene Geräte Zugriff auf das Firmennetz, und es kann sichergestellt werden, dass die sicherheitsrelevanten Komponenten aktiv sind. Auch der Einsatz von Unified-Thread-Management (UTM)-Lösungen oder kompletten Next-Generation-Firewall-Strukturen in Kombination mit den anderen Techniken können die Sicherheit weiter erhöhen.
Allerdings sind diese Technologien relativ teuer und müssen intensiv betreut werden. Zudem lassen sich damit vor allem nur bekannte Geräte oder Geräte, auf denen Zertifikate eingespielt wurden, sinnvoll absichern. Andere Geräte bleiben außen vor.