New Work – New Risk
Von Thomas Harbrecht, Hamburg
Angela Merkel war das wohl prominenteste Beispiel für Menschen, die das drohende Coronavirus kurzerhand ins Homeoffice verbannt hat. Dieses Schicksal teilte die damalige Bundeskanzlerin mit hunderttausenden Angestellten. Allein in der Digitalwirtschaft ordneten laut Branchenverband Bitkom zwei Drittel aller Unternehmen die Arbeit in den eigenen vier Wänden an.
Was die einen als Durchbruch von New Work und digitalisiertem Arbeiten feiern, treibt etlichen IT-Profis und Compliance-Experten den Angstschweiß auf die Stirn. Weil Kontaktverbot, Ausgangsbeschränkungen und Produktionsstopps für viele Unternehmen unerwartet kamen, war der Umzug vom Büro ins Homeoffice oft überstürzt und ohne konkrete Planung. „Damit bieten wir derzeit ein Eldorado für Cyberkriminelle”, sagt die IT-Beauftragte eines renommierten Medienhauses, das im März über 1.000 Leute binnen einer Woche ins Homeoffice delegierte. „Unsere Sicherheit ist derzeit nicht so hoch, wie sie sein sollte.” Man habe die hohen Sicherheitsstandards in den ersten beiden Wochen vernachlässigen müssen, „um große Teams überhaupt remotefähig zu machen“.
Gefahren durch Videokonferenz-Toolanbieter-Bombing & Co
Teams müssen sich austauschen, weshalb nun in vielen zum Büro umfunktionierten Wohnzimmern fröhlich kostenlose Software für Telefonkonferenzen, Video-Meetings, Datentransfers und Webinare auf Rechner geladen wird. Das Problem: Niemand weiß, ob diese oft sehr einfach zu bedienenden Tools dem deutschen Datenschutz entsprechen, wer eigentlich mithören und mitsehen kann und wo die Daten der Teilnehmer letzten Endes landen. So ist beispielsweise ein Videokonferenz-Toolanbieter – der dank Corona im März bis zu 200 Millionen Nutzerinnen und Nutzer pro Tag zählte – in die Kritik geraten: Beim sogenannten Videokonferenz-Toolanbieter-Bombing schalten sich wildfremde Leute unbemerkt in die Videokonferenzen, zudem soll ein Videokonferenz-Toolanbieter Daten der Teilnehmer an Facebook weitergegeben haben. Das Unternehmen gelobte Besserung – was man glauben kann. Oder auch nicht. Mindestens so heikel wie der Download von Software ist der Umstand, dass viele Angestellte im Homeoffice mit ihren privaten digitalen Endgeräten arbeiten. Laut der Deloitte-Studie „Mobile Readiness for Work 2019“ verfügten nur 20 % der Arbeitnehmer, die im Homeoffice arbeiten, über vom Arbeitgeber bereitgestellte Endgeräte. Mag sein, dass sich die Versorgung der Angestellten mit Firmen-Hardware durch die Corona-Krise verbessert hat – 100 % werden es aber kaum sein.
Dabei warnen Experten eindringlich vor Cybercrime. Die IT-Sicherheitsexperten Markus Schaffrin und Patrick Grihn vom Verband der Internetwirtschaft „eco“ schreiben zum Beispiel: „Nutzen Sie möglichst Ihren Firmen-Laptop, um sich mit den IT-Systemen im Unternehmen zu verbinden. (…) Umgekehrt sollten Sie Ihre üblichen Unternehmens-Anwendungen auch nicht ohne Zustimmung des Chefs auf einem Privatrechner installieren und nutzen.“ Der laxe Umgang mit Hardware, Daten und Server-Zugängen öffnet findigen Kriminellen gerade Tür und Tor. Ob Diebstahl, Spionage oder Erpressung – die Liste der möglichen Bedrohungen ist lang. Experten warnen vor einem starken Zuwachs an Cybercrime-Delikten. Seit geraumer Zeit sorgen diverse Spielarten von Phishing-Mails für große Schäden. Solche Cybercrime-Attacken können für Unternehmen existenzgefährdend sein.
Vertrauen ist gut, Absichern besser!
Nicht zu vernachlässigen – und das ist kein schönes Thema – sind auch jene Schäden, die Angestellte nicht aus Unwissenheit und Leichtfertigkeit verursachen, sondern mit purer Absicht. Gelegenheit macht bekanntlich Diebe und das Arbeiten im Homeoffice eröffnet viele Möglichkeiten, sensible Unternehmensdaten für eigene Zwecke zu nutzen. Zumal das Vier-Augen-Prinzip derzeit vielerorts außer Kraft gesetzt ist.
Auch denjenigen, die noch in weitgehend verwaisten Produktionsstätten oder nahezu leeren Büros arbeiten, stehen buchstäblich alle Türen offen. Die Marktforscher der GfK haben bereits 2016 in einer repräsentativen Studie herausgefunden, dass jeder vierte Arbeitnehmer schon einmal etwas am Arbeitsplatz gestohlen hat – und da ist Toilettenpapier nur ein ganz kleiner Posten. Insgesamt – das hat Euler Hermes im Rahmen der Vertrauensschadenversicherung errechnet – entstehen deutschen Unternehmen schon in „normalen“ Jahren Schäden in Höhe von rund 53 Milliarden Euro durch eigene Mitarbeiter, sei es durch Cybercrime, Datenmissbrauch, Veruntreuung oder andere kriminelle Handlungen.
Fakt ist: Es geht nicht nur um diejenigen, die vielleicht mal einen Kugelschreiber einstecken. Sondern auch um die, die ihrem Chef oder ihrer Chefin immer schon mal eins auswischen wollten und nun – unbeaufsichtigt und unkontrolliert – die Gelegenheit dazu bekommen. Oder um die, die in die Kasse greifen, weil sie wegen der Corona-Pandemie finanziell mit dem Rücken an der Wand stehen, etwa wenn ein Familienmitglied auf Kurzarbeit gesetzt ist. Oder um die, die sich schlicht persönlich bereichern wollen.
All diese Fälle sind auch unter Compliance-Gesichtspunkten sehr heikel: Vorstände und Geschäftsführer haben eine gesetzlich verankerte Sorgfaltspflicht und tragen ein Haftungsrisiko. Diese Vertrauensdelikte bergen also nicht nur Gefahren für die Firma, sondern auch für jeden Entscheider persönlich.
Die Risiken durch die neue Arbeitssituation sind für Unternehmen und Führungskräfte vielfältig. Es bleibt abzuwarten, wie sich die Schäden durch die Homeoffice-Welle weiter entwickeln. Wichtig ist in jedem Fall, sich gut vor ihnen zu schützen.
