Homeoffice und Compliance in Zeiten der Corona-Pandemie


Triumpf des Todes – Pieter Bruegel der Ältere (* um 1525/1530 † 9. September 1569), Maler der niederländischen Renaissance

Prolog:

“Das ist eine Idee, über die man lachen kann, aber die einzige Art, gegen die Pest anzukämpfen, ist der Anstand.“
Albert Camus (* 7. November 1913 † 4. Januar 1960) aus „Die Pest“ (1947)

Momentan befinden wir uns in einer geschichtlichen Phase mit einer Bedrohung für die Menschen und die globale Wirtschaft, welche wir uns vor einem Jahr noch nicht einmal hätten vorstellen können. Die aktuelle Situation kennen wir eigentlich für uns persönlich nur aus Geschichtsbüchern. Natürlich gab es in der Geschichte der Menschheit immer wieder Bedrohungen durch Krankheiten, doch hat sich bis heute niemals eine Pandemie weltweit so schnell ausgebreitet wie Covid-19.

Zu Anfang dieses Blogbeitrags ein Blick zurück, der auch ein Blick nach vorne sein kann, was vielleicht in der Zukunft auf uns zukommen könnte bzw. hoffentlich nicht auf uns zukommen wird.

Rückblick

Pandemien gibt es, solange es Menschen gibt. Die meisten Opfer hatte wohl die Pest Mitte des 14. Jahrhunderts. Sie forderte weltweit schätzungsweise mehr als 200 Millionen Menschenleben, allein in Europa soll rund die Hälfte der Bevölkerung ums Leben gekommen sein. Es dauerte rund 100 Jahre, bis sich die Bevölkerungszahl auf das Vor-Pest-Niveau erholte. Die politischen, wirtschaftlichen und kulturellen Auswirkungen waren dramatisch.

Besser im Gedächtnis geblieben ist die Spanische Grippe von 1918 bis 1920. Sie ist die bisher letzte große Pandemie der Neuzeit und gerade mal 100 Jahre her. Sie war eine Mutation der Vogelgrippe und kam aus den USA ins kriegswunde Europa. An ihr starben nach Schätzungen 25 bis 50 Millionen Menschen. Die Spanische Grippe fegte in drei Wellen über die Welt. Im Frühjahr 1918 brach die erste Welle los, fiel aber angesichts von wöchentlich vielen tausend Toten an der Front zunächst nicht auf. Erst später merkte man, dass zum Beispiel die amerikanische Armee fast so viele Soldaten durch die Grippe wie durch Kriegshandlungen verlor.

Besonders tödlich verliefen die zweite und dritte Welle ab Herbst 1918 bzw. Frühjahr 1919. Zwei von drei Menschen infizierten sich mit dem Virus. In den industrialisierten Ländern lag die Sterblichkeit bei rund fünf Prozent und in ärmeren Ländern bei bis zu zehn Prozent. Insgesamt forderte die Grippe mehr Tote als der erste Weltkrieg. Rund zwei Prozent der damaligen Weltbevölkerung von 1,8 Milliarden Menschen starb an ihr.

Die bisherigen Opferzahlen der heutigen Covid-19-Pandemie sind von den Horrorzahlen der Spanischen Grippe noch sehr weit entfernt. Gemeinsamkeiten sind beiden Pandemien die schnelle und weltweite Ausbreitung und die hohen Sterblichkeitsraten. Allerdings sind wir heute, gerade im medizinischen Bereich, in einer besseren Position als wir es 1918 am Ende des Weltkriegs waren. Aus diesem Grund sind die Voraussetzungen für einen Erfolg bei der Bekämpfung, zum Beispiel durch Impfungen, deutlich höher und erfolgversprechender.

Corona – Wie alles begonnen hat

Von China ausgehend hat sich das neue Coronavirus SARS-CoV-2 weltweit verbreitet. Die Millionenmetropole Wuhan in der Provinz Hubei war dabei mit großer Wahrscheinlichkeit das Zentrum des Ausbruchs. Die damit einhergehende Erkrankung wird Coronavirus Disease 2019 (COVID-19) genannt. Das Virus SARS-CoV-2 hat sich in der kurzen Zeit nach seiner erstmaligen Entdeckung im Dezember 2019 sehr effizient insbesondere durch Tröpfcheninfektion, aber auch durch Aerosolinfektion, von Mensch zu Mensch ausgebreitet.

Am 31. Dezember 2019 wurde das WHO-Landesbüro in China über eine Häufung von Lungenentzündungen in Wuhan informiert. Die chinesischen Behörden haben am 7. Januar 2020 das neuartige Coronavirus SARS-CoV-2 als Ursache der Erkrankung identifiziert. Die WHO hat am 11. März 2020 das Infektionsgeschehen als „pandemisch“ charakterisiert. In der ersten Phase war China am stärksten betroffen, es folgten dann als „Hotspots“ Europa, die Vereinigten Staaten von Amerika, Südamerika und schließlich Indien.

Mit Beginn der Coronapandemie wurde für viele Arbeitnehmer Homeoffice plötzlich und ungeplant zum neuen Standard, von zu Hause aus zu arbeiten. Für die meisten eine völlig neue Erfahrung und auch für zahlreiche Unternehmen eine große Umstellung.

Homeoffice – ein neuer Trend, der keiner ist!

Dabei ist der Begriff des Homeoffice, als das Arbeiten von daheim (Heimarbeit) an sich eigentlich nichts Neues in der vergangenen zeitlichen Historie. Tatsächlich ist die Heimarbeit sogar älter, als die Arbeit in industriellen Großbetrieben und kann bis ins 13. Jahrhundert zurückverfolgt werden. Einen großen Ausschlag für „Arbeiten von zu Hause“ war die Einführung des Verlagssystems, später auch Verlagswesen genannt. Der Begriff Verlagswesen steht für die dezentrale Arbeitsorganisation. Meist waren es zu Anfang Textilien, die dabei von den so genannten Verlegten, in der Regel Frauen und Kinder, in Heimarbeit hergestellt wurden, um dann durch den Verleger zentral vermarktet zu werden. Das Wort „Verlag“ leitet sich von Vorlage ab. Der Verleger trat dabei mit Geld (Finanzierung) und/oder Rohstoffen in Vorlage

Hier gilt natürlich, dass sich die damalige Heimarbeit in keiner Weise mit dem heutigen, modernen, computer- und internetgestützten Homeoffice vergleichen lässt. Mit Beginn der Corona-Pandemie sind Millionen Berufstätige in Deutschland ins Homeoffice gewechselt und bis heute nicht wieder in die Büros zurückgekehrt. Auch ist ein Ende der Arbeit im Homeoffice für die meisten Mitarbeiter zum jetzigen Zeitpunkt (Stand April 2021) im Hinblick auf die Pandemie und die Maßnahmen der Bundesregierung nicht abzusehen.

Betrachtet man das Jahr 2020, so arbeiteten ein Viertel (25 Prozent) der Berufstätigen ausschließlich im Homeoffice. Dies entspricht in etwa 10,5 Millionen Berufstätigen. Auf weitere 20 Prozent (8,3 Millionen) trifft das zumindest teilweise zu, also nicht an allen Arbeitstagen pro Woche. Insgesamt arbeitet damit aktuell fast jeder Zweite (45 Prozent) zumindest teilweise im Homeoffice. Homeoffice bringt für Arbeitnehmer und auch Arbeitgeber Vorteile. Nicht vergessen werden dürfen aber die Risiken, die sich bei dieser Form des Arbeitens ergeben können.

Nach mittlerweile über einem Jahr in der Coronakrise gilt die herrschende Meinung, dass das Arbeiten von zu Hause kein temporäres Phänomen während der Pandemie ist, sondern das Arbeiten im Büro, zumindest in Teilen, auch nach dem Ende der Pandemie ersetzen kann und wird. Momentan wird daher viel über die Vorteile und Vorzüge des Homeoffice in vielen Branchen und Unternehmen diskutiert und teils sogar schon geplant.

Die Risiken dürfen hier nicht vergessen werden!

Die Unternehmen müssen sich sehr schnell Gedanken darüber machen, wie sie ein sicheres Arbeiten von zu Hause, beginnend mit dem Arbeitsplatz und der Peripherie, für Arbeitnehmer schaffen können, da sich der Arbeitsplatz im Homeoffice von zu Hause deutlich von einer Tätigkeit in den dafür vorgesehenen und ausgestatteten Büros im Unternehmen unterscheidet.

Mit dem Übergang zu vermehrten Heimarbeitsplätzen wurden viele Mitarbeiter ins Homeoffice geschickt, sodass die Arbeit von zu Hause aus durch Laptops, Tablets und sonstige Mobile Devices im Großen und Ganzen aufrechterhalten werden kann. Die nachfolgenden Risiken sollen zeigen, dass mit der Verlagerung des Arbeitsplatzes aus den Büros die Infrastruktur des Arbeitsplatzes im Unternehmen sowie die geschützte Arbeitsumgebung im Büro auch nicht annähernd nachgebaut oder gar ersetzt werden konnten.

Die Bedrohungslage begann fast zeitgleich mit der Gefahr durch die Covid-19 Pandemie. Durch die Studie „Studying how Cybercriminals prey on the Covid-19 Pandemic“ aus dem Jahr 2020 wird belegt, dass im Zeitraum vom 01.01.2020 bis 31.03.2020 116.357 neue Domains mit Corona-Bezug identifiziert wurden. Ab dem 12.03.2020 wurden ca. 3.000 Domains pro Tag registriert. Von diesen wurden 2.022 Domains eindeutig als maliziös identifiziert, während 40.261 Domains, also fast ein Drittel, eindeutig als hochriskant eingestuft wurden.

Beispiel für die Bedrohung im Homeoffice

Der Mitarbeiter eines Unternehmens im Homeoffice erhält eine Reihe von Telefonanrufen. Der Anrufer gibt vor, sich aus der IT-Abteilung des Unternehmens zu melden und Probleme mit der VPN-Verbindung (virtuelles privates Netzwerk) beheben zu müssen. Damit soll der Mitarbeiter im Homeoffice dazu gebracht werden, seine Zugangsdaten am Telefon mitzuteilen oder auf einer gefälschten Internetseite Daten einzugeben, die dem E-Mail- oder VPN-Portal des Zielunternehmens täuschend ähnlich sieht. Die URL dieser Fake-Webseite erinnert an den Namen des Unternehmens. Auf einer gut programmierten Phishing-Seite können sogar funktionierende Links auf echte interne Online-Ressourcen des tatsächlichen Unternehmens integriert sein.

Die Angreifer konzentrieren sich vor allem auf neue Mitarbeiter und geben sich selbst als neue Mitarbeiter der IT-Abteilung aus. Um glaubwürdiger zu wirken, erstellen sie sogar Profile auf LinkedIn oder anderen Social Media Plattformen und versuchen, sich darüber mit anderen Mitarbeitern des Zielunternehmens zu vernetzen. So wird schnell der Eindruck vermittelt, dass das gefälschte Profil tatsächlich zu einem echten Mitarbeiter im Unternehmen gehört.

Bei dieser Art von Angriff kommt es vor allem auf Schnelligkeit an. Die meisten Unternehmen setzen für den VPN-Zugang auf Multi-Faktor-Authentifizierung (MFA). Zusätzlich zu Username und Passwort ist zwingend eine weitere Information zur Authentifizierung erforderlich, damit das Einloggen möglich ist. Diese Information (ein einmaliger Code, der von einer App generiert oder per SMS an den Mitarbeiter gesendet wird) ist in den meisten Fällen nur für einen sehr kurzen zeitlichen Rahmen gültig.

Diese Sicherheitsmaßnahme umgehen die Angreifer, indem sie auf ihren vorher erstellten Phishing-Seiten diese zusätzliche Information einfach mit abfragen. Sollte der Homeoffice-Mitarbeiter seine Log-in-Informationen gleich am Telefon mit angeben, loggen sich die Angreifer in Echtzeit im VPN ein, bevor der Zusatzcode nicht mehr gültig ist.

Schutz von Unternehmensdaten im Homeoffice

In den seltensten Fällen haben diese Arbeitnehmer zu Hause ein eigenes Arbeitszimmer. Häufig wird die Küche oder das Wohnzimmer genutzt. Hier ist eine Trennung von privatem und beruflichem Leben kaum oder nur sehr schwer durchzusetzen. Das zieht einige ungewollte Konsequenzen und deutliche Risiken nach sich.

  • Telefonate: Durch die oft nicht mögliche räumliche Trennung ist es möglich, dass dritte Personen hier Inhalte von Telefonaten ohne Probleme mithören können. Dies gilt gleichermaßen für Familienangehörige. Aber auch externe Personen wie Freunde oder zum Beispiel Handwerker oder Putzkräfte, können interne und vertrauliche Inhalte, gewollt oder ungewollt, mithören.
  • Private Speichermedien: Oft ersetzen (private) Smartphones einen Scanner, da dieser nicht vorhanden ist. Dokumente und Unterlagen mit vertraulichen Inhalten werden daher mit der Kamera des Handys fotografiert, in einer privaten Cloud-Struktur zwischengelagert, um dann als Bild via Messenger oder Mail versendet zu werden. Oft werden diese Bilder auf der Cloud des Messenger- oder Mail Anbieters gespeichert, deren Server in den meisten Fällen im Ausland zu finden sind, wodurch oft kein ausreichendes Datenschutzniveau gewährleistet ist, oder Benutzer die Rechte an den Daten weitegehend abtreten.
  • Unsichere Netzwerke: Da die Datenversendung von zu Hause aus passiert, wird in fast allen Fällen der hauseigene WLAN-Router des Anbieters für das private Internet genutzt. Firewall-Einstellungen oder sonstige Sicherheitsmaßnahmen, wie sie im Unternehmen für den Datenschutz genutzt werden, wird man in den seltensten Fällen für die private Nutzung des Internets von zu Hause aus finden. Zum Beispiel gilt dies auch für regelmäßige Software-Updates, die innerbetrieblich meist durch einen IT-Beauftragten regelmäßig durchgeführt werden.
  • Videokonferenzen: Mit dem Beginn des Homeoffice und der Dezentralisierung der Mitarbeiter nutzen sehr viele Unternehmen für Besprechungen und Meetings spezielle Software für Videokonferenzen. Allerdings haben diese Programme ihren eigentlichen Ursprung im privaten Bereich und wurden vor der Pandemie nicht für geschäftliche, und somit vertrauliche, Gespräche genutzt.

Die 8 nervigsten Probleme in einer Videokonferenz


Quelle: Online-Befragung 2/2021 von news aktuell und Faktenkontor / n=353 Teilnehmer aus Unternehmen, Organisationen und PR-Agenturen / Mehrfachnennungen möglich
Grafik: WIRTSCHAFTScampus

Notwendige Maßnahmen bei Homeoffice

Sämtliche Geschäftsprozesse müssen durch die veränderte Form des Homeoffice und der Auslagerung auf einen externen Arbeitsplatz außerhalb der feststehenden Geschäfts- und Unternehmensstruktur ausgerichtet und überprüft werden. Ausdrücklich gilt dies auch für alle Kontrollinstrumentarien.

In den Unternehmen vorhandene Arbeitsanweisungen, Richtlinien, Stellenbeschreibungen oder Schulungen sind nicht auf die neuen Herausforderungen ausgerichtet und müssen daher dringend auf die neue Arbeitssituation hin angepasst werden. Hier ist zu beachten, dass Unternehmen oft Unsummen investieren, um ihre Systeme zu schützen und dabei eines der wichtigsten Einfallstore außer Acht lassen: die Mitarbeiter. Eine umfassende Awarenesskampagne, die sich mit zielgruppenspezifischer Sensibilisierung der Mitarbeiter beschäftigt, ist daher unumgänglich und sollte in jedem Fall ergänzend zu Schulungen und Arbeitsanweisungen implementiert werden.

Ausdrücklich müssen diese, teils neuen und teils geänderten, Anweisungen in ein bestehendes Compliance Management System (CMS) mit eingebunden werden, um im Zuge einer Fortführung und/oder Intensivierung des Homeoffice existierende Risiken für das Unternehmen, ausdrücklich auch nach der Pandemie, adäquat und präventiv zu steuern.

Die besonderen Herausforderungen aus der Arbeit von zu Hause müssen Eingang in die Instrumente finden, die dem Unternehmen zur Erreichung seiner Ziele und zur Steuerung der Unternehmensrisiken zur Verfügung stehen. So sollte z.B. für das Homeoffice eine Richtlinie entwickelt werden, die den Mitarbeitern klare Vorgaben für die Arbeit im privaten Umfeld macht.

Mit einer solchen Arbeitsanweisung können die Lücken kompensiert werden, die sich aus dem Ausbrechen von bisherigen Arbeitsabläufen ergeben und besonders relevante Gebiete wie Datenschutz, IT-Sicherheit oder auch Schutz von Geschäftsgeheimnissen umfassen. Diese Inhalte werden dann sinnvollerweise durch Schulungen zusätzlich vermittelt, um im Rahmen dieser Trainings auch noch individuelle Risikoszenarien deutlicher zu beleuchten und gezielt Verhaltensempfehlungen zu geben.

Internes Kontrollsystem (IKS) und Risikomanagementsystem (RMS)

Bereits vorhandene Ablaufbeschreibungen, das interne Kontrollsystem (IKS) sowie das Risikomanagementsystem (RMS) müssen auf die neue Situation angepasst werden. Auf diese Art und Weise wird das Homeoffice ein fester und geregelter Bestandteil im Unternehmen. Zum Beispiel können hier bereits bestehende Regelungen für Mitarbeiter im Bereich Außendienst mit aufgenommen werden.

Mit diesen Änderungen und Ergänzungen bei bestehenden und neuen schriftlichen Arbeitsanweisungen und Verhaltenskodexen muss den Mitarbeitern aber auch eine technische Ausstattung (Tablets, Notebooks, PC, USB, Smartphone) gestellt werden, um die Arbeiten zu Hause in einem möglichst geschützten Umfeld vornehmen zu können.

Mit einer so erfolgenden Integration in die Management Systeme vermeidet die Unternehmensleitung auch den Vorwurf des Organisationsverschuldens, der sich ergeben könnte, wenn durch Fehlverhalten von Mitarbeitern in Ermangelung von Verhaltensanweisungen Schadensfälle eintreten.

Ausblick

Betrachtet man eine der ersten, aktuellen Studien in Deutschland aus dem Jahr 2020, die sich mit Homeoffice in Zeiten der Pandemie auseinandersetzt, ist im Hinblick auf die Zukunft der Thematik Homeoffice im Unternehmen die Kernaussage zu treffen: Auch nach der Corona-Krise werden Unternehmen verstärkt auf Homeoffice-Arbeitsplätze setzen!

Für ¾ der Befragten Teilnehmer (74%) wird sich nach der Pandemie und der Corona-Krise die Option Homeoffice durchsetzen. Sehr viele Unternehmen, die Anfang 2020 gezwungenermaßen Mitarbeiter in das Homeoffice entsenden mussten, sehen genau diese Option perspektivisch als die grundlegende und zukunftsorientierte interne Veränderung im Unternehmen. Wenn noch nicht geschehen, so ist es jetzt an der Zeit, Grundlagen und Vorsausetzungen zu schaffen, ob nun im IT-Bereich, im Hinblick auf arbeitsrechtliche Vorgaben für die Mitarbeiter oder im Segment Compliance, um strukturelle Änderungen perspektivisch vorzubereiten und durchzusetzen.

Den Homeoffice-Arbeitsplätzen und Cloud-Anwendungen wird die Zukunft gehören, und dies gilt ausdrücklich nicht nur für Großunternehmen, sondern gleichermaßen für Klein- und mittelständische Unternehmen.

Epilog:

»Die Zukunft kommt nicht – sie wird von uns gemacht! Die Frage ist nicht: Wie werden wir leben? Sondern: Wie wollen wir leben?«
Richard David Precht (* 8. Dezember 1964), deutscher Philosoph, Schriftsteller, Publizist und Moderator aus seinem Buch „Jäger, Hirten, Kritiker“ / 2020

Quellenangaben:

Studie: Cybercrime – Sonderauswertung Cybercrime in Zeiten der Corona-Pandemie – Bundeskriminalamt / 2020
Studie: Studying How Cybercriminals Prey on the COVID-19 Pandemic / Unit 42 / 2020
Studie: Corona macht Homeoffice massentauglich / Bitkom Research / 2020
Ergänzungen: Rosalie Aigner – Referentin für Datenschutz und Informationssicherheit (Lufthansa CityLine)

Compliance-Ausbildung im WIRTSCHAFTScampus

Auch in der Zeit von Corona sind unsere Compliance-Weiterbildungen für alle unsere Teilnehmer gesichert. Nutzen Sie mit dem WIRTSCHAFTScampus die Möglichkeit zur zertifizierten Ausbildung im Bereich Compliance Management. Der WIRTSCHAFTScampus bietet die aufeinander abgestimmten Fernlehrgänge im Bereich Compliance Management an:

Certified Compliance Officer
Certified Chief Compliance Officer
Tax Compliance Officer
IT Compliance Officer