Viele Unternehmen diskutieren wieder stärker über Präsenzpflicht. Als Begründung fällt häufig die Phrase „Wir müssen für Datensicherheit sorgen“. Wer aus dem Homeoffice arbeitet, bietet Cyberkriminellen mehr Angriffsfläche, so der Tenor aus den HR-Abteilungen. Wer genauer hinschaut, erkennt allerdings: Nicht der Arbeitsort entscheidet über Sicherheit, sondern Organisation, Prozesse und das Sicherheitsbewusstsein der Menschen, sagt Gastautorin Linda Grote, heyData.
Welche Rolle spielt Datensicherheit im Job?
Remote und Hybrid sind gekommen, um zu bleiben. Gleichzeitig erhöht die stetig wachsende Zahl an Cyberangriffen den Druck, die damit einhergehenden Risiken sichtbar zu machen und nachzuweisen, dass man sich an Sicherheitsprozeduren und -protokolle gehalten hat. Dies ist einerseits nötig, um sich gegen zukünftige Angriffe besser wappnen zu können, andererseits verlangen Geschäftspartner, Versicherungen und weitere Stakeholder das Einhalten branchenüblicher Prozeduren und staatlicher Gesetze.
Der Weg aus der Zwickmühle führt jedoch nicht zurück ins Großraumbüro, sondern in Richtung gelebter Compliance.
Diese fußt auf drei Säulen:
- Regeln verständlich machen,
- Technik konsequent und sachgerecht nutzen,
- Verantwortlichkeiten klar zuordnen.
Und zwar so, dass sie in jeder Teamkonstellation greifen – egal ob auf einem Kundenprojekt, im Büroalltag, oder eben in Homeoffice-/Hybrid-Setup.
Nur wer begreift, dass Datensicherheit eine Aufgabe ist, die alle Angehörigen einer Organisation betrifft, behält die Flexibilität, die nötig ist, um mit Cyberattacken in jeder Situation bestmöglich umzugehen.
Verborgene Risiken: Wo Remote-Setups anfällig werden
Die größten Cyber-Schwachstellen entstehen dort, wo Standards fehlen oder nicht durchgesetzt werden. Hier eine Auswahl typischer Risikofelder:
- Nutzung privater oder unverwalteter Geräte (“BYOD”–“Bring your own device”): Ohne zentrales Gerätemanagement fehlen Verschlüsselung, Software-Updates oder die Möglichkeit zur Fernsperrung. Wie oft passiert es in der Praxis, dass man einem Kollegen oder Kundin “mal schnell die eine dringend benötigte Datei” auf dem privaten USB-Stick überspielt, auf dem sich aber Malware breitgemacht hat. Gibt es heutzutage nicht mehr? Mitnichten. Die Experten für Cybersicherheit von Honeywell haben laut ihrem Quartalreport alleine im zweiten Quartal 2025 bei ihren Kunden über 1.800 USB-bezogene Cyberattacken aufgedeckt.
- Externe Netzwerke und Zugänge: Unsichere Router-Konfigurationen oder gesharte Geräte sind Einfallstore für Cyberattacken. Das ist übrigens ein handfester Grund, sein Handy niemals in einen dieser unschuldig dreinschauenden USB-Ladestecker an Flughäfen, Bahnhöfen oder Hotellobbys zu stecken.
- Schatten-IT: Private Clouds oder Messaging-Dienste entziehen sich Governance und Nachweisführung von Kommunikationsverläufen. Klingt belanglos, ist es aber nicht: Hacker können unbemerkt Messenger infiltrieren (“Zero-Click-Spyware”) und die an dem Chat beteiligten Geräte auslesen und dazu nutzen, weiteren Schaden anzurichten. Im Unternehmenskontext kann das von Industriespionage hin zum Kompromittieren einzelner Mitarbeiter:innen oder ihrer Familien reichen. Ein prominentes Beispiel von Zero-Click-Angriffen betraf erst kürzlich die META-Tochter WhatsApp, wie Hackernews berichtete.
- Unzertifizierte KI-Werkzeuge: Intransparente Datenflüsse, fehlende Nutzungsregeln, unabsichtliche Offenlegung von Betriebsgeheimnissen oder privaten Daten von Mitarbeiter:innen oder Kund:innen. “Mal schnell ChatGPT befragen” beschleunigt den Arbeitsalltag und potenziell auch den Weg zum nächsten DSGVO-Verstoß, Geheimnisverrat oder zu einer Lizenz-/Urheberrechtsverletzung.
Was haben diese Risiken gemeinsam:
- Sie betreffen nicht nur das Unternehmen, sondern auch seine Mitarbeiter:innen, Kund:innen und weitere Privatpersonen.
- Sie lassen sich durch Compliance minimieren.
- Sie sind komplett Homeoffice-unabhängig.
Der Return to Office: “Ein unverschämter Streich”
Das Argument, dass Arbeiten im Office die Datensicherheit eines Unternehmens erhöht, ist kein belastbares Argument – es ist gar hanebüchen.
Ja, private Geräte unerlaubt nutzen…
Ja, externe Netzwerk unkontrolliert anzapfen
Ja: unzertifizierte KI-Werkzeuge im Arbeitsalltag verwenden
…erhöht die Risiken, Opfer einer Cyberattacke zu werden oder ein Datenleck zu verursachen –mit unabsehbaren finanziellen oder persönlichen Folgen.
Aber, Nein: eine Rückkehr ins Büro (“Return-to-Office/RTO-Policy”) löst das Problem keinesfalls.
Es mag das eine oder andere Symptom kaschieren, aber die Ursache des Problems verschwindet nicht.
Kontrollzwang statt Gewinn von Datensicherheit
Womit wir bei Schopenhauers sogenanntem Kunstgriff Nummer 14 wären: „Es ist unverschämt, einen gewünschten Schluss (in diesem Fall die RTO beseitigt Datenschutzprobleme) als bewiesen darzustellen, obwohl die Antworten des Gegners (in diesem Fall die drei oben genannten Argumente gegen das Homeoffice) das gar nicht hergeben (weil die Ursache nicht im Homeoffice liegen, sondern in mangelhafter Compliance).“
Insbesondere unverschämt wird die Sache dann, wenn das wahren Motive für eine Rückkehr ins Büro etwa darin liegen, dass man die Belegschaft besser unter Kontrolle halten will, das neu angemietete Bürogebäude mit Leben füllen möchte oder die Konkurrenz überstrahlen möchte.
Wer über wahre Motive seines Handelns nicht Tacheles reden kann, hat als Unternehmen ganz andere Probleme als “Datenschutz und Datensicherheit im Homeoffice”.
Statt RTO-Doktrin: So setzen Sie Compliance zügig und wirksam um
Die Antwort auf Cyberbedrohungen sind kein generelles Home Office-Verbot, sondern technische und organisatorische Klarheit. Kurzum: Compliance.
1. Technischer Rahmen: Prinzipien unternehmensindividuell ausgestalten
Auf technischer Seite kann Compliance folgendes bedeuten:
- Grundsicherheit der Kommunikation gewährleisten: beispielsweise durch mobiles Gerätemanagement (MDM), das für eine sichere Kommunikation sorgt – egal in welchem Arbeits-Setup
- Datenflüsse sichern durch Mindestanforderungen für Heim-WLAN, VPN-Pflicht und ähnliche Maßnahmen
- Risiken von Schatten-IT minimieren durch Whitelists, Data-Loss-Prevention-Regeln und Freigabeprozesse
2. Organisationaler Rahmen: Klarheit maximieren
Im Umgang mit Mitarbeiter:innen beinhaltet Compliance folgendes:
- Stetig die Sinne zu schärfen für die Cybersecurity-Problematik. Etwa durch Schulungen, Unternehmensrichtlinien oder Zertifizierungen. Die Möglichkeiten sind mannigfaltig.
- Klare Regeln, Rollen und Verantwortlichkeiten festlegen und leben: ein „Least Privilege“-Ansatz beispielsweise senkt nicht nur Schadenspotential und Angriffsfläche, sondern sorgt auch von vornherein für Klarheit bei den User:innen.
- Führungskompetenz an den Tag legen: Wenn Cybersecurity für das Unternehmen tatsächlich eine hohe Priorität ist, dann muss das Unternehmen zeigen, dass sich seine Belegschaft in Cyberfragen auf die Unternehmensführung verlassen kann. Das fängt damit an, dass (Sonder-)berechtigungen für Mitarbeiter:innen, die für ihre Arbeit eine bestimmte Software benötigen, schnell und unkompliziert erteilt (und rechtzeitig wieder zurückgezogen!) werden, geht über einen kompetenten und jederzeit gut erreichbaren technischen Support weiter und mündet im Etablieren einer zum Unternehmen passenden Daten-& IT-Kultur.
3. Rechtlicher Rahmen: EU AI Act, DSGVO/BDSG, Data Act
Schaut man sich die bestehende und in naher Zukunft auf uns zukommende Regulatorik an, so ist es sinnvoll, sich den folgenden Dreiklang zu merken, mit dem man in der Praxis alle wichtigen Felder der IT-Compliance abdeckt. Zu jedem der drei Elemente gibt es bereits wesentliche Verordnungen und Gesetze, die eingehalten werden müssen – aber an denen man sich gleichzeitig auch rechtssicher orientieren kann:
- Risiko-Regulierung von KI: Hier ist die wesentliche Verordnung der EU AI Act, der seit dem 1. August 2024 in Kraft ist und dessen Anforderungen nach und nach umgesetzt werden müssen.
- Einhaltung und Durchsetzung von Datenschutz: Die allseits bekannte Datenschutzgrundverordnung (DSGVO) sowie das bereits 1978 eingeführte Bundesdatenschutzgesetz (BDSG) sind hierbei maßgeblich.
- Standardisierter Datenzugang und -austausch: Der letztes Jahr in Kraft getretene EU Data Act regelt nicht nur den Datenzugang auf Endverbraucherseite; mindestens genauso relevant ist der Aspekt der Standardisierung und Normung von Daten: Sie vereinfachen auch den B2B-Geschäftsverkehr vereinfacht und verbessern die Möglichkeiten zur Abwehr von Cyberangriffen.
Fazit: Datensicherheit organisieren – Flexibilität behalten
Nicht der Ort schützt Daten, sondern die Organisation dahinter sorgt für Sicherheit: Prozesse, Menschen, Technik. In einem Wort: Compliance. Wer sie beherrscht, arbeitet überall bestmöglich sicher – und stärkt die Datensicherheit.
Newsletter