21.03.2022

Homeoffice & Schatten-IT: Datenrisiko Computer­zubehör

Selbst wenn Unternehmen im Homeoffice PC oder Notebook stellen, kann private IT ins Spiel kommen. Gerade beim Zubehör greifen viele Nutzerinnen und Nutzer zu eigenen Geräten. Informieren Sie als Datenschutzbeauftragte/r über die möglichen Risiken dieser Schatten-IT.

Homeoffice & Schatten-IT: Datenrisiko Computer­zubehör

Private Schatten-IT: Im Homeoffice keine Privatsache mehr

Immer wenn Beschäftigte Geräte einsetzen, die nicht betrieblich freigegeben sind und kontrolliert werden, entsteht eine Schatten-IT. Damit ist eine Parallelwelt zu der offiziellen IT gemeint, die die IT-Abteilung im Unternehmen oder in der Behörde verwaltet.

Schatten-IT ist deshalb ein Risiko, weil das Unternehmen die Geräte nicht kennt. Oftmals weiß es nicht einmal von ihrer Existenz. Selbst wenn das private Gerät, das ein Mitarbeiter betrieblich nutzt, bekannt ist, ist der Status seiner Sicherheit nicht transparent:

  • Wie steht es um die Aktualität der Firmware?
  • Welche Sicherheitsfunktionen gibt es?
  • Nutzen die Beschäftigten diese Funktionen zur Sicherheit auch?

Ein Fall von BYOD

Schatten-IT ist deshalb ein Fall von BYOD (Bring Your Own Device) – aber ein solcher, der ohne Genehmigung und ohne Sicherheitsprüfung stattfindet. Zu dieser Schatten-IT zählen nicht nur so offensichtliche Dinge wie private Rechner, die die Beschäftigten dienstlich nutzen. Auch das vielfältige Computerzubehör gehört dazu. Das übersehen Unternehmen und Behörden leider oftmals.

Die Komplettausstattung ist nicht die Regel

Damit Beschäftigte im Homeoffice genauso produktiv arbeiten wie im klassischen Büro, brauchen sie die richtige und vollständige IT-Ausstattung. Bei vielen mobilen Arbeitsplätzen müssen die Mitarbeiterinnen und Mitarbeiter aber zu privaten PCs oder Notebooks greifen.

In einer Umfrage des Bundesamts für Sicherheit in der Informationstechnik (BSI) zum Homeoffice sagte weniger als die Hälfte der befragten Unternehmen, dass ihre Beschäftigten in den Heimbüros ausschließlich betriebliche IT nutzen.

Zum privaten Rechner kommen private Monitore, Drucker, Mäuse etc.

Selbst wenn der Arbeitgeber PC oder Notebook stellt, sieht es bei Monitoren, Druckern, Tastaturen, Computermäusen, externen Festplatten, Webcams und Internet-Routern schon ganz anders aus.

Nutzen Beschäftigte im Homeoffice also unsicheres, veraltetes Zubehör, kann dies zu betrieblichen Datenrisiken und zu Lecks in der Sicherheit führen, von denen das Unternehmen gar nichts weiß.

Computerzubehör im Homeoffice: Veraltet & verseucht …

Die Beschäftigten müssen wissen, dass das Zubehör, das sie an den betrieblich genutzten oder betrieblichen Computer anschließen, zu einer Bedrohung für die Daten auf PC und Notebook werden kann.

Es ist leider keine reine Theorie, dass Zubehör mit Schadprogrammen verseucht sein kann:

  • So gibt es verseuchte Tastaturen, die die Eingaben wie ein Keylogger mitschreiben, speichern und an Dritte melden.
  • Es gibt PC-Mäuse, die Malware auf den Computer übertragen.
  • Es gibt Webcams, die heimlich aufzeichnen und übermitteln.
  • Daneben gehen Risiken von unsicheren Druckern oder Heim-Routern aus. Denn auch dort findet eine Verarbeitung vertraulicher Daten statt.

Dabei können die Schadprogramme bereits ab Werk auf den Geräten sein. Aber auch die Zubehörgeräte können Schwachstellen haben, die sich ausnutzen lassen. Viele Mitarbeiter und Mitarbeiterinnen wissen gar nicht, dass Geräte etwas wie ein eigenes Betriebssystem, eine sogenannte Firmware haben. Sie muss ebenfalls aktualisiert werden und kann Angriffsziel sein.

… oder super intelligent

Doch nicht nur veraltetes Zubehör kann ein Datenrisiko hervorbringen. Auch ganz neue Geräte sind eine mögliche Gefahr für die Daten. So sind moderne Zubehörteile inzwischen so intelligent, dass sie sich dem Nutzer oder der Nutzerin anpassen. Sie merken sich also bestimmte Einstellungen und Vorlieben, legen Protokolle zur Nutzung an und tragen letztlich zu Nutzerprofilen bei.

Praxis-Tipp

Verantwortliche dürfen Computerzubehör als Datenrisiko der Schatten-IT (nicht nur) im Homeoffice nicht unterschätzen. Die Mitarbeiterinnen und Mitarbeiter müssen wissen, dass es problematisch ist, wenn sie die alte private Computermaus, die private Webcam oder den privaten Drucker anschließen.

Deshalb gehört das Thema „Zubehörgeräte“ in Ihre Unterweisung zum Datenschutz im Homeoffice. Im Idealfall gibt der Verantwortliche zudem entsprechende Richtlinien dazu vor.

 

Autor*in: Oliver Schonschek (Diplom-Physiker, IT-Analyst und Fachjournalist)