Mobiles Arbeiten – Versicherer sehen „massive Sicherheitslücken“

Die IT-Sicherheit ist in vielen Unternehmen noch nicht an das verstärkte Arbeiten im Homeoffice angepasst. Zu diesem Ergebnis kommt eine Analyse des Gesamtverbandes der Deutschen Versicherungswirtschaft (GDV). Mehrere Umfragen im Auftrag des GDV zeigten, dass viele Unternehmen gegen die Risiken des mobilen Arbeitens noch immer nicht ausreichend tun, wie der Verband nun mitteilte.

Mehr zum Thema

Umfrage

Corona treibt die Angst vor Cyber-Angriffen im Mittelstand

Schutz für Anwälte, Ärzte und Unternehmer

„Cyber-Risiken können existenzvernichtend sein“

Chef der Saarland Versicherungen

„Rückkehr zur reinen Büroarbeit wird es nicht mehr geben“

Umfrage

Corona treibt die Angst vor Cyber-Angriffen im Mittelstand

Schutz für Anwälte, Ärzte und Unternehmer

„Cyber-Risiken können existenzvernichtend sein“

Chef der Saarland Versicherungen

„Rückkehr zur reinen Büroarbeit wird es nicht mehr geben“

„Nur acht Prozent der Unternehmen, in denen mobil gearbeitet wird, haben ihre IT-Sicherheits- und Datenschutzregeln überarbeitet. Nur sieben Prozent haben in zusätzliche IT-Sicherheit investiert“, sagte GDV-Hauptgeschäftsführer Jörg Asmussen und berief sich dabei auf eine Forsa-Umfrage unter mittelständischen Unternehmen.

„Dass zu Beginn der Pandemie viele Sicherheitsroutinen gestört waren, ist noch verständlich. Aber wer seine Prozesse jetzt noch nicht an die neue Situation angepasst hat, handelt fahrlässig und lädt Cyberkriminelle und Betrüger geradezu ein“, warnte Asmussen.

Private Geräte sind oft schlechter geschützt

Diese Versäumnisse wirken sich nach Darstellung des GDV auch auf die Cyber- und Vertrauensschadenversicherung aus. „Cyberkriminelle nutzen die neuen Schwachstellen ganz gezielt für ihre Angriffe aus. So sind etwa private Geräte und E-Mail-Accounts in aller Regel viel schlechter geschützt als die firmeneigene IT“, stellt Ole Sieverding, Underwriting Manager Cyber bei Hiscox und Mitglied der GDV-Projektgruppe Cyberversicherung, fest. Dadurch verlören Unternehmen die Kontrolle über ihre IT-Sicherheit und damit über die Sicherheit ihrer Daten, so Sieverding weiter.

Damit nicht genug: Neben der IT- und Datensicherheit würden auch einige Mitarbeiter in manchen Unternehmen die Sicherheit sogar bewusst vernachlässigen. Eine Forsa-Umfrage, auf die sich der Verband beruft, habe ergeben, dass 12 Prozent die Compliance- und Sicherheitsregeln beim mobilen Arbeiten nicht vollständig befolgen und sie stattdessen „flexibel“ handhaben könnten.

„Ein solches Umfeld ist für Betrüger ein Eldorado“, findet Rüdiger Kirsch, Global Fidelity Expert bei Euler Hermes und Vorsitzender der GDV-Arbeitsgemeinschaft Vertrauensschadenversicherung. „Wenn viele Ansprechpartner schwerer zu erreichen sind, der persönliche Kontakt zu Vertragspartnern und der informelle Austausch mit den Kollegen fehlt, müssen die Compliance-Regeln uneingeschränkt gelten, besser noch verschärft werden“, fordert Kirsch.

Sechs Regeln für mehr Sicherheit

Der GDV hat in der folgenden Übersicht eine Reihe von Tipps für Unternehmen zusammengestellt, damit sie sich besser gegen Sicherheitsrisiken schützen können:

• Sicheren Zugriff auf Unternehmensanwendungen und -daten gewährleisten, zum Beispiel über ein VPN-Netzwerk mit entsprechender Authentifizierung der Nutzer.
• Berufliches und Privates strikt trennen: Mitarbeiter sollten berufliche Geräte, E-Mail-Adressen und Passwörter nicht für private Zwecke nutzen dürfen. Umgekehrt sollten sie keine privaten Geräte, E-Mail-Adressen und Passwörter für geschäftliche Zwecke verwenden müssen.
• Auch mobil arbeitende Beschäftigte regelmäßig schulen und für die drohenden Gefahren sensibilisieren; klare Regeln für den Schutz der mobil genutzten Daten aufstellen.
• Wichtige Vorgänge wie größere Zahlungsanweisungen oder die Änderung der Kontodaten von Kunden und Lieferanten im 4-Augen-Prinzip und auf zwei Kommunikationswegen prüfen lassen, zum Beispiel durch die telefonische Bestätigung einer E-Mail-Anweisung. Für die Kontaktaufnahme zur Gegenprüfung nur bereits bekannte Telefonnummern und Mail-Adressen nutzen: Bei einem Betrugsversuch werden über den „Antworten“-Button oder per Rückruf-Knopf doch wieder nur die Kriminellen erreicht.
• Offenheit und Ansprechbarkeit sicherstellen: Viele Kriminelle setzen ihre Opfer unter Zeitdruck, die wichtigsten Telefonnummern sollten daher immer griffbereit sein. Zudem sollten alle Mitarbeiter die zuständigen IT-, Datenschutz- und Compliance-Verantwortlichen kennen und problemlos ansprechen können.
• Um gegen die wachsende Gefahr durch Stimmensimulatoren gewappnet zu sein, sollten Zahlungsanweisungen niemals am Telefon und schon gar nicht per WhatsApp-Sprachnachricht entgegengenommen werden.