Während wohl die große Mehrheit 2020 zügig abgehakt hat, werden einige Veränderungen, die die Pandemie in unser Arbeitsleben gebracht hat, im neuen Jahr erhalten bleiben. Allen voran die digitale Zusammenarbeit und das Homeoffice. Die Hälfte der deutschen Arbeitnehmer fordert auch langfristig flexible Arbeitszeitregelungen und rund ein Drittel ist bereit, zu kündigen, wenn ihr Arbeitgeber eine Rückkehr ins Büro in Vollzeit verlangt (s. 6. Ausgabe des Kekst CNC COVID-19 Opinion Tracker).

Das Homeoffice ist in vielen Unternehmen von einer temporären Notlösung zu einer dauerhaften Institution geworden. So schnell wie die Mitarbeiter jedoch zum Arbeiten an den Küchentisch geschickt wurden, so langsam werden dafür die notwendigen IT-Sicherheitsstandards implementiert. Seit Monaten arbeiten MitarbeiterInnen oftmals über eigene Rechner, verbunden über unzureichend geschützte Netzwerke, ohne regelmäßige Sicherheitsupdates, effektiven Virenschutz oder gar zusätzliche Trainings für die neue digitale Arbeitswelt. Ein leichtes Einfallstor für Cyber-Kriminelle, um Malware und Ransomware zu verbreiten und auf sensible Daten zuzugreifen.

In einer Studie des IT-Sicherheitsunternehmens Tanium geben 90 Prozent der befragten deutschen Unternehmen an, dass Cyberangriffe seit Beginn der Pandemie zugenommen hätten. Auf die akute Bedrohungslage sind längst nicht alle vorbereitet. Laut dem Cyber-Sicherheitsunternehmen Mimecast Limited geben lediglich 27 Prozent der befragten deutschen Mitarbeiter an, seit der Einführung des Home-Office spezielle IT-Sicherheitsschulungen erhalten zu haben. Während die Nutzung privater Geräte für die Arbeit seit Beginn der Pandemie um 52 Prozent angestiegen ist, bestätigten dagegen nur 30 Prozent der Arbeitnehmer, dass Nutzungsrichtlinien für diese vorlägen.

Vor allem den Heimrechner sehen wir bei einer zunehmenden Zahl an Unternehmen als zentrale Schwachstelle in Unternehmen, die wir in den vergangenen Monaten in Cyber-Krisen beraten haben. Im Verbund mit unseren Versicherungspartnern hatten vor allem jene Unternehmen Unterstützungsbedarf, bei denen die Remote-VPNs das Einfallstor für Hacker boten. In seinem Sonderreport „Cybercrime in Zeiten der Corona-Pandemie“ stellt das Bundeskriminalamt eine Zunahme der Angriffsbandbreite von DDoS Attacken auf die für das Home-Office kritischen VPN-Server um 81 Prozent fest. Auch der Versand von Phishing-E-Mails, die Malware wie „Emotet“ verbreiten, hat in den vergangenen Monaten deutlich zugenommen. Im Büro daheim findet der kritische Blick eines Kollegen dann nicht mehr statt.

Das Wiederhochfahren der Arbeit nach der wohlverdienten Urlaubspause kann sich zu einer besonders sensiblen Phase in der IT-Sicherheit von Unternehmen entwickeln. Zunächst werden noch offene Sicherheitsaufgaben schnell von neuen Abläufen, Terminen, Kick-offs und Zielsetzungen verdrängt. Zudem sind zahlreiche IT-Support-Mitarbeiter noch im Urlaub, der angesichts der im Corona-Jahr angesammelten Überstunden länger ausfallen dürfte. Die Unternehmen müssen damit über mehrere Wochen ihre IT-Infrastruktur mit geringeren Ressourcen verwalten. Angesichts des bestehenden Engpasses und der weiter andauernden Home-Office Situation hier drei Tipps, bevor die Systeme wieder im Vollbetrieb laufen:

• Informieren Sie sich weiterhin und vor allem nochmals nach der Rückkehr bei der IT-Abteilung über den Stand der IT-Security. Wichtig sind insbesondere Remote-Sicherheitssysteme (z. B. Multi-Faktor-Authentifizierung). Hierbei handelt es sich nicht nur um einen operativen Check. Die Frage nach diesen möglichen Schwachstellen wird die erste sein, die Ihnen Kunden und Medienvertreter im Ernstfall stellen.
• Stellen Sie sicher, dass die interne Kommunikation auch im neuen Jahr noch einmal auf die erhöhte Cyber-Gefahrenlage hinweist. Versenden Sie im Zweifel auch jetzt nochmal eine Erinnerung an die Kollegen. Der Hinweis sollte konkrete Handlungsvorschläge beinhalten (siehe etwa die Hinweise des BSI oder die Checkliste der Allianz für Cybersicherheit, die gute Anleitungen liefern). Informieren Sie über Möglichkeiten (technisch, zeitlich, organisatorisch), an wen Rückfragen gestellt werden können.
• Halten Sie ein kompaktes Krisenkommunikationsprotokoll für den Notfall bereit und bedenken Sie, dass sich zum Jahreswechsel Verantwortlichkeiten geändert haben können. Wer sind die zentralen Entscheider und Ansprechpartner sowie ihre Stellvertreter? Stimmen deren Daten und Erreichbarkeiten? Was ist Ihr erstes Statement in einem Angriffsfall? Verfügen Sie eine verständliche Übersicht Ihrer IT-Sicherheitsmaßnahmen? Wer übernimmt den kommunikativen Bereitschaftsdienst temporär und dauerhaft? Welche (virtuelle) Plattform würden Sie im Ernstfall im neuen Jahr einsetzen, um sich im Krisenstab abzustimmen? Ist das Social Media Monitoring dauerhaft sichergestellt und Dienstleister wie Kommunikationsberatungen im Stand-by?

Wenn inmitten des Hochfahrens der Systeme Ihre Unternehmens-IT in das Visier von Angreifern gerät, helfen Ihnen diese ersten Schritte, die unternehmerische Handlungsfähigkeit auch bei limitierten Ressourcen sicherzustellen. Ehe Sie den Jahresbeginn mit neuer Kraft dazu nutzen können, die strategische Planung zur Stärkung der IT-Sicherheit im „New Normal“ in Angriff zu nehmen.