Das zeigen mehrere Umfragen im Auftrag des Gesamtverbands der Deutschen Versicherungswirtschaft (GDV). „Nur acht Prozent der Unternehmen, in denen mobil gearbeitet wird, haben ihre IT-Sicherheits- und Datenschutzregeln überarbeitet. Nur sieben Prozent haben in zusätzliche IT-Sicherheit investiert.“ Das sagt GDV-Hauptgeschäftsführer Jörg Asmussen unter Berufung auf eine Forsa-Umfrage unter mittelständischen Unternehmen.

Gleichzeitig lässt jedes zweite Unternehmen zu, dass die mobile Arbeit auf privaten Geräten erledigt wird, ein Viertel kommuniziert über Messenger-Dienste wie Whatsapp, in fünf Prozent der Fälle nutzen Beschäftigte sogar ihre privaten Mail-Adressen für geschäftliche E-Mails. „Dass zu Beginn der Pandemie viele Sicherheitsroutinen gestört waren, ist noch verständlich“, so Asmussen. Aber wer seine Prozesse jetzt noch nicht an die neue Situation angepasst habe, handle fahrlässig und lade Cyber-Kriminelle und Betrüger geradezu ein.

Auch Datenschutz und Compliance betroffen

Bei den Versicherern schlagen sich die neuen Sicherheitslücken in der Cyber- und in der Vertrauensschadenversicherung nieder. „Cyber-Kriminelle nutzen die neuen Schwachstellen ganz gezielt für ihre Angriffe aus“, sagt Ole Sieverding, Underwriting Manager Cyber bei Hiscox und Mitglied der GDV-Projektgruppe Cyber-Versicherung. So seien etwa private Geräte und E-Mail-Accounts in aller Regel viel schlechter geschützt als die firmeneigene IT. „Auf diese Weise verlieren Unternehmen die Kontrolle über ihre IT-Sicherheit und damit über die Sicherheit ihrer Daten“, so Sieverding.

Neben der IT- und Datensicherheit leidet in der Coronapandemie auch der Schutz gegen Betrüger von innen und außen. In einer Yougov-Umfrage unter Angestellten deutscher Unternehmen berichtete nur jeder fünfte mobil Arbeitende von angepassten Sicherheitsmaßnahmen. In manchen Unternehmen scheint die Sicherheit sogar bewusst vernachlässigt zu werden: Immerhin zwölf Prozent sagen, dass sie Compliance- und Sicherheitsregeln beim mobilen Arbeiten nicht vollständig befolgen und sie stattdessen „flexibel“ handhaben könnten.

„Ein solches Umfeld ist für Betrüger ein Eldorado“, sagt Rüdiger Kirsch, Global Fidelity Expert bei Euler Hermes und Vorsitzender der GDV-Arbeitsgemeinschaft Vertrauensschadenversicherung. „Wenn viele Ansprechpartner schwerer zu erreichen sind, der persönliche Kontakt zu Vertragspartnern und der informelle Austausch mit den Kollegen fehlt, müssen die Compliance-Regeln uneingeschränkt gelten, besser noch verschärft werden“, so Kirsch.

So können sich Unternehmen schützen

• Sicheren Zugriff auf Unternehmensanwendungen und -daten gewährleisten, zum Beispiel über ein VPN-Netzwerk mit entsprechender Authentifizierung der Nutzer.
• Berufliches und Privates strikt trennen: Mitarbeiter sollten berufliche Geräte, E-Mail-Adressen und Passwörter nicht für private Zwecke nutzen dürfen. Umgekehrt sollten sie keine privaten Geräte, E-Mail-Adressen und Passwörter für geschäftliche Zwecke verwenden müssen.
• Auch mobil arbeitende Beschäftigte regelmäßig schulen und für die drohenden Gefahren sensibilisieren; klare Regeln für den Schutz der mobil genutzten Daten aufstellen.
• Wichtige Vorgänge wie größere Zahlungsanweisungen oder die Änderung der Kontodaten von Kunden und Lieferanten im Vier-Augen-Prinzip und auf zwei Kommunikationswegen prüfen lassen, zum Beispiel durch die telefonische Bestätigung einer E-Mail-Anweisung. Für die Kontaktaufnahme zur Gegenprüfung nur bereits bekannte Telefonnummern und Mail-Adressen nutzen: Bei einem Betrugsversuch werden über den „Antworten“-Button oder per Rückruf-Knopf doch wieder nur die Kriminellen erreicht.
• Offenheit und Ansprechbarkeit sicherstellen: Viele Kriminelle setzen ihre Opfer unter Zeitdruck, die wichtigsten Telefonnummern sollten daher immer griffbereit sein. Zudem sollten alle Mitarbeiter die zuständigen IT-, Datenschutz- und Compliance-Verantwortlichen kennen und problemlos ansprechen können.
• Um gegen die wachsende Gefahr durch Stimmensimulatoren gewappnet zu sein, sollten Zahlungsanweisungen niemals am Telefon und schon gar nicht per Whatsapp-Sprachnachricht entgegengenommen werden.

Über die Umfragen

Im Auftrag des GDV hat die Forsa Gesellschaft für Sozialforschung und statistische Analysen eine repräsentative Befragung von 300 Entscheidern in kleinen und mittleren Unternehmen (maximal 250 Mitarbeiter und maximal 50 Millionen Euro Jahresumsatz) durchgeführt. Zu dieser Größenklasse zählen mehr als 99 Prozent der in Deutschland tätigen Unternehmen. Ebenfalls im Auftrag des GDV befragte das Meinungsforschungsinstitut Yougov insgesamt 2016 Arbeitnehmer mit einem Computerarbeitsplatz in Deutschland, von denen rund die Hälfte (914) ganz oder teilweise mobil arbeiteten. Die Befragungen fanden im Frühjahr und Sommer 2021 statt.