Tipps für IT-Sicherheit im Homeoffice und starke Passwörter

Datenpannen führen in Unternehmen zu hohen Kosten. Es lohnt sich daher, dass Arbeitgeber ihre Mitarbeitenden in Sachen IT-Sicherheit sensibilisieren und schulen. Gerade im Homeoffice stellen sich dabei noch zusätzliche Herausforderungen. Der "Ändere-dein-Passwort-Tag" am 1. Februar ist ein guter Anlass, um speziell an eine sichere Passwortvergabe zu erinnern.

Das "Sicherheitsrisiko Mensch" ist der Grund, weshalb nicht allein die IT-Abteilung für die Sicherheit der Unternehmenssysteme zuständig sein kann. Die Personalabteilung ist in der Pflicht, die Mitarbeitenden für das Thema zu sensibilisieren. Das ist noch wichtiger vor dem Hintergrund, dass nun viele im Homeoffice arbeiten und dort im heimischen WLAN mit teils privaten Geräten an sensiblen Informationen des Unternehmens arbeiten können.

Checkliste des BSI zur IT-Sicherheit im Homeoffice

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat darum bereits 2020 eine Checkliste veröffentlicht, die wichtige Voraussetzungen für die sichere Arbeit im Homeoffice enthält ( das Gesamt-PDF der Checkliste können Sie hier abrufen). Darin rät das BSI, die notwendige IT-Ausstattung prinzipiell beim Arbeitgeber einzufordern – dazu zählen neben PC und Smartphone auch Zubehör wie USB-Sticks und Netzteile.

Auch die Art des Zubehörs kann entscheidend sein: So sind Funktastaturen und kabellose PC-Mäuse im privaten Bereich durchaus beliebt. Doch wer beim Kauf nicht auf ausreichend Sicherheit geachtet hat, gibt womöglich sensible Daten ein, die dann unverschlüsselt übertragen werden – und ein Einfallstor für Hacker sind.

Wer keinen Unternehmenscomputer nutzt, sollte die erarbeiteten Daten regelmäßig auf das Firmensystem übertragen, rät das BSI. Erst dann können die Sicherheitsmechanismen des Unternehmens zum Datenschutz greifen. Zudem gilt es, den privaten- oder Arbeits-PC mit regelmäßigen Updates zu schützen.

Stark zugenommen hat durch die Arbeit im Homeoffice die Benutzung von Videokonferenzsystemen und Messengern. Um hier auf Nummer sicher zu gehen, sollten Mitarbeitende ausschließlich auf Dienste zurückgreifen, die der Arbeitgeber bereitstellt. (Lesen Sie dazu: Rechtssichere Nutzung von Konferenz-Tools während der Krise).

HR: Handlungsbedarf bei Sicherheit der Passwörter

Ein wichtiger Hebel in Sachen IT-Sicherheit ist die Wahl eines geeigneten Passworts: "Je länger desto besser – zwölf Zeichen sind ein guter Schutz", gibt das BSI als Grundregel aus. (Beachten Sie dazu auch die Infografik "Sichere Passwörter erstellen").

Eine Studie des Cybersecurity-Dienstleisters Nordpass aus dem Jahr 2021 zeigt jedoch, dass gerade in den Personalabteilungen großer Handlungsbedarf besteht. Die Liste der zehn meistgenutzten Passwörter in HR macht deutlich, wie schwach und dadurch anfällig für Hacker-Angriffe diese sind:

  1. password
  2. Kenzie14
  3. Firmenname123*
  4. Firmenname1234*
  5. welcome1
  6. 123456
  7. Firmenname*
  8. linkedin
  9. scooter
  10. Password

(* Dieses Passwort ist der Name des eigenen Unternehmens oder eine Abwandlung davon.)

Dabei sind schwache Passwörter eine der Hauptursachen für Datenpannen in Unternehmen. So kam es zum Beispiel beim US-amerikanischen Unternehmen Solarwinds zu einer großen Datenschutzverletzung, die Berichten zufolge auf den Schutz eines der Server mit dem Passwort "solarwinds123" zurückzuführen war. "Unternehmen und ihre Mitarbeitende sind verpflichtet, die Daten ihrer Kunden zu schützen. Das schwache Passwort eines Mitarbeiters kann möglicherweise das gesamte Unternehmen gefährden", sagt Chad Hammond, Sicherheitsexperte bei Nordpass.

Sicheres Passwort wechseln oder nicht?

Nordpass rät, komplexe und einzigartige Passwörter zu erstellen sowie diese regelmäßig zu aktualisieren. Das BSI wiederum sagt, man solle das Passwort nicht mehr häufig wechseln. Laut chip.de hatte das BSI zunächst lange an dieser Empfehlung festgehalten. Doch inzwischen herrsche die einhellige Expertenmeinung, dass ein einmalig erstelltes, sicheres Passwort über Jahre genutzt werden könne. Der häufige Wechsel führe nur dazu, dass schwache Passwörter entstünden. Das Passwort sollte jedoch in jedem Fall geändert werden, wenn der Verdacht besteht, dass es in fremde Hände geraten sein könnte.

Außerdem enthält die BSI-Checkliste den Tipp, das Passwort des WLAN-Routers im Homeoffice zu ändern. Denn offenbar werden oft die Standard-Zugangsdaten des Herstellers beim Einrichten des Routers nicht geändert. Nordpass rät zudem, dass Mitarbeitende ihre Arbeits- und ihre persönlichen Konten nicht vermischen sollten. Denn nur so lasse sich sicherstellen, dass die persönliche Identität und alle Informationen, die sich auf den Arbeitgeber beziehen, im Falle einer Datenpanne geschützt seien.

Datenschutz im Homeoffice beachten

Der letzte Punkt in der BSI-Checkliste: "Stellen Sie sicher, dass nur Sie Zugriff auf die Firmen-IT haben." Schließlich könnten auch zu Hause Unbefugte Zugriff auf die IT erhalten – etwa Handwerker in der Wohnung. Dieser Tipp ist auch Hauptbestandteil der Hinweise, wenn es um den Datenschutz im engeren Sinn geht. In unserer News zum "Datenschutz im Homeoffice" können Sie nachlesen, welche Punkte hier zu beachten sind.


Das könnte Sie auch interessieren:

Wenn Mitarbeiter Trojaner ins Unternehmen lassen

Was bei der Mitarbeiterüberwachung im Homeoffice erlaubt ist

Rechtssichere Nutzung von Konferenz-Tools während der Krise

Tipps: Das Sicherheitsrisiko "Mitarbeiter" reduzieren

Schlagworte zum Thema:  IT-Sicherheit, Datenschutz, Homeoffice, Weiterbildung