Homeoffice & Schatten-IT: Datenrisiko Computer­zubehör

Private Schatten-IT: Im Homeoffice keine Privatsache mehr

Immer wenn Beschäftigte Geräte einsetzen, die nicht betrieblich freigegeben sind und kontrolliert werden, entsteht eine Schatten-IT. Damit ist eine Parallelwelt zu der offiziellen IT gemeint, die die IT-Abteilung im Unternehmen oder in der Behörde verwaltet.

Schatten-IT ist deshalb ein Risiko, weil das Unternehmen die Geräte nicht kennt. Oftmals weiß es nicht einmal von ihrer Existenz. Selbst wenn das private Gerät, das ein Mitarbeiter betrieblich nutzt, bekannt ist, ist der Status seiner Sicherheit nicht transparent:

• Wie steht es um die Aktualität der Firmware?
• Welche Sicherheitsfunktionen gibt es?
• Nutzen die Beschäftigten diese Funktionen zur Sicherheit auch?

Ein Fall von BYOD

Schatten-IT ist deshalb ein Fall von BYOD (Bring Your Own Device) – aber ein solcher, der ohne Genehmigung und ohne Sicherheitsprüfung stattfindet. Zu dieser Schatten-IT zählen nicht nur so offensichtliche Dinge wie private Rechner, die die Beschäftigten dienstlich nutzen. Auch das vielfältige Computerzubehör gehört dazu. Das übersehen Unternehmen und Behörden leider oftmals.

Die Komplettausstattung ist nicht die Regel

Damit Beschäftigte im Homeoffice genauso produktiv arbeiten wie im klassischen Büro, brauchen sie die richtige und vollständige IT-Ausstattung. Bei vielen mobilen Arbeitsplätzen müssen die Mitarbeiterinnen und Mitarbeiter aber zu privaten PCs oder Notebooks greifen.

In einer Umfrage des Bundesamts für Sicherheit in der Informationstechnik (BSI) zum Homeoffice sagte weniger als die Hälfte der befragten Unternehmen, dass ihre Beschäftigten in den Heimbüros ausschließlich betriebliche IT nutzen.

Zum privaten Rechner kommen private Monitore, Drucker, Mäuse etc.

Selbst wenn der Arbeitgeber PC oder Notebook stellt, sieht es bei Monitoren, Druckern, Tastaturen, Computermäusen, externen Festplatten, Webcams und Internet-Routern schon ganz anders aus.

Nutzen Beschäftigte im Homeoffice also unsicheres, veraltetes Zubehör, kann dies zu betrieblichen Datenrisiken und zu Lecks in der Sicherheit führen, von denen das Unternehmen gar nichts weiß.

Computerzubehör im Homeoffice: Veraltet & verseucht …

Die Beschäftigten müssen wissen, dass das Zubehör, das sie an den betrieblich genutzten oder betrieblichen Computer anschließen, zu einer Bedrohung für die Daten auf PC und Notebook werden kann.

Es ist leider keine reine Theorie, dass Zubehör mit Schadprogrammen verseucht sein kann:

• So gibt es verseuchte Tastaturen, die die Eingaben wie ein Keylogger mitschreiben, speichern und an Dritte melden.
• Es gibt PC-Mäuse, die Malware auf den Computer übertragen.
• Es gibt Webcams, die heimlich aufzeichnen und übermitteln.
• Daneben gehen Risiken von unsicheren Druckern oder Heim-Routern aus. Denn auch dort findet eine Verarbeitung vertraulicher Daten statt.

Dabei können die Schadprogramme bereits ab Werk auf den Geräten sein. Aber auch die Zubehörgeräte können Schwachstellen haben, die sich ausnutzen lassen. Viele Mitarbeiter und Mitarbeiterinnen wissen gar nicht, dass Geräte etwas wie ein eigenes Betriebssystem, eine sogenannte Firmware haben. Sie muss ebenfalls aktualisiert werden und kann Angriffsziel sein.

… oder super intelligent

Doch nicht nur veraltetes Zubehör kann ein Datenrisiko hervorbringen. Auch ganz neue Geräte sind eine mögliche Gefahr für die Daten. So sind moderne Zubehörteile inzwischen so intelligent, dass sie sich dem Nutzer oder der Nutzerin anpassen. Sie merken sich also bestimmte Einstellungen und Vorlieben, legen Protokolle zur Nutzung an und tragen letztlich zu Nutzerprofilen bei.