COVID-19 hat Mitarbeiter kleiner und mittlerer Unternehmen (KMU) gezwungen, remote zu arbeiten. Ein Szenario, auf das fast die Hälfte von ihnen nicht vorbereitet war. Diese Situation hat mehrere Herausforderungen mit sich gebracht, vom Erwerb der notwendigen Software bis zur Gewöhnung an neue Formen der Kommunikation mit Kollegen.
Eine weitere wesentliche Herausforderung für Unternehmen ist die Cybersicherheit im Home-Office. Besonders die Mitarbeiter, die momentan in Vollzeit Remote arbeiten, sind ein leichtes Angriffsziel für Cyberkriminelle. Daher hat Capterra eine Umfrage* unter 528 im Home-Office arbeitenden Mitarbeitern durchgeführt, um herauszufinden, ob sie in puncto IT-Sicherheit vorbereitet sind.

Highlights der Studie:
- 26 % der Mitarbeiter in KMU waren bereits Opfer einer Phishing-Attacke.
- Ein Drittel dieser Angriffe bezogen sich auf das Coronavirus.
- 31 % haben ihr Passwort nach einem Phishing-Angriff nicht geändert.
- Nicht einmal die Hälfte der befragten Mitarbeiter haben Antivirussoftware und Firewalls installiert.
Cybersicherheit bei der Remote-Arbeit
Cyberkriminelle machen sich die Krise zunutze
E-Mail ist eines der wichtigsten Kommunikationsmittel für Mitarbeiter, leider jedoch auch eines der unsichersten. Phishing E-Mails sind eine der häufigsten Methoden von Cyberkriminellen, um an wertvolle Daten der Opfer zu gelangen. Kleine und mittelständische Unternehmen werden als besonders leichte Beute betrachtet, da sie über geringere Vorkehrungen in der Cybersicherheit als große Unternehmen verfügen.
Laut unserer Umfrage sind bereits 26 % der Mitarbeiter Opfer einer Phishing-Attacke geworden. Dabei fielen die Hälfte der Mitarbeiter während der aktuellen Ausgangssperre auf die Attacke rein. Hacker machen sich die momentane Krisensituation für ihre Angriffe zunutze. In einem Drittel der Fälle bezog sich die Phishing E-Mail auf das neuartige Virus.
3 Cybersicherheits-Tipps, wie sich Unternehmen vor Phishing schützen können
- Unternehmen sollten dringend einen Phishing-Test durchführen. Durch den Test kann die Anfälligkeit der Mitarbeiter für E-Mail Phishing ermittelt werden. Schulungen können daraufhin angeboten werden. Diese Tests kann die interne IT-Abteilung oder ein externes Sicherheitsunternehmen durchführen.
- Die Investition in eine E-Mail-Sicherheitslösung lohnt sich. Diese erkennt schädlichen Mails und sortiert diese automatisch aus. Laut unserer Umfrage haben lediglich 27 % der Mitarbeiter E-Mail Software installiert.
- Stelle weiterhin klar, wie im Falle eines Angriffs zu handeln ist, und gebe an, wer im Notfall zu kontaktieren ist.
Passwort-Manager sind ein Muss für die Cybersicherheit in Unternehmen
Kannst du dir vorstellen, dass 31 % ihr Passwort nach dem Phishing-Angriff nicht geändert haben? Diese Anzahl ist schockierend. Schauen wir uns einmal an, wie Mitarbeiter ansonsten mit ihren Passwörtern umgehen.

Das Speichern von Passwörtern in Excel-Tabellen ist in Ordnung, solang das Dokument passwortgeschützt ist. Im Browser sollten Passwörter nicht gespeichert werden. Christian Lueg von der IT-Sicherheitsfirma Eset erklärt: “Das Problem ist, dass die Kennwörter auf dem Endgerät teilweise entschlüsselt vorliegen. Dadurch kann jeder mit einem Zugriff auf das Gerät die Daten problemlos auslesen.” Davon ausgenommen ist lediglich der Safari Browser von Apple.
Ein Passwort-Manager ist die sicherste Lösung, die ebenfalls bequem ist und das Teilen von Passwörtern mit Kollegen einfach macht. Momentan nutzen nur ein Fünftel der Deutschen eine online Passwort-Verwaltung.
Passwort-Manager Check
- Achte bei der Wahl deiner Passwort-Software darauf, dass eine 2-Faktor-Authentifizierung angeboten wird.
- Die Authentifizierung wird nicht automatisch aktiviert. Denke also daran sie vor dem Benutzen deiner neuen Software einzurichten.
- Updates sollten immer umgehend installiert werden, um den Passwort-Manager auf dem neusten Stand und somit so sicher wie möglich zu halten.
Starke Passwörter sind für die IT-Sicherheit entscheidend. Dies gilt auch für die Wahl eines Hauptpasswortes für deinen neuen Passwort-Manager. Schauen wir uns einmal an, wie sicher Passwörter in Deutschland verwaltet werden.
Das Passwortmanagement in Deutschland ist schwach
Die gute Nachricht zuerst: Angestellte ändern ihre Passwörter häufig. Es ist zu empfehlen, Passwörter alle sechs Monate zu ändern. Dem kommen Angestellte nach. 73 % haben in den letzten 6 Monaten, 39 % davon sogar innerhalb des letzten Monats ihr Passwort geändert.
Die weniger gute Nachricht: 28 % der Angestellten verwenden ein Hauptpasswort für mehrere Webseiten. Die Verwendung mehrerer Passwörter wird für die Cybersicherheit bei der Remote-Arbeit stark empfohlen, denn wenn das Konto eines Mitarbeiters gehackt wird, hat zumindest der Kriminelle keinen Zugang zu den anderen Zugangsdaten des Opfers und der verursachte Schaden ist viel geringer. Dasselbe gilt für die Nutzung von Passwörtern für die private und geschäftliche Nutzung.
Und jetzt zur schlechten Nachricht: Leider nutzen viele Angestellte Passwörter wie Marketing2019 oder Corona1! (und viele Unternehmen lassen das auch noch zu). Das Nutzen von vollständigen Wörtern oder Namen als Passwort, gefolgt von 1, !, eines Datums oder einer Zahlenfolge wie 123, macht es Hackern besonders einfach.
Fehlende Cybersicherheitsmaßnahmen in Unternehmen

Der Einsatz von Instrumenten und Maßnahmen zum Schutz der IT-Sicherheit in Unternehmen lässt in deutschen KMU stark zu wünschen übrig.
Sicherheitssoftware wie Antivirussoftware und Firewalls sollten in jedem Unternehmen Standard sein. Es ist alarmierend, dass nicht einmal die Hälfte der Mitarbeiter diese Sicherheitssoftware installiert hat. Es ist wichtig, die Sicherheitssoftware auf allen privaten Geräten (Laptops, Tablets, Smartphones) zu installieren, mit denen auf Unternehmensdaten zugegriffen wird.
VPNs werden von 27 % der remote Mitarbeiter eingesetzt. VPNs schützen über das Internet übertragenen Daten durch eine sichere, verschlüsselte Verbindung, sodass Dritte die Netzwerkaktivitäten nicht einsehen können. Der Einsatz von VPNs wird in jedem Unternehmen stark empfohlen.
Training und Kommunikation sind unerlässlich
Wie die Umfrage zeigt, hat die Corona-Krise die mangelnde Vorbereitung der KMU auf Remote Arbeit und vor allem Cybersicherheit im Home-Office deutlich gemacht. Unternehmen sollten neben dem Einsatz der richtigen Sicherheitssoftware den Schwerpunkt auf die Schulung ihrer Mitarbeiter legen, damit sie gängige Hacker-Strategien wie Phishing erkennen und wissen, an wen sie sich im Falle eines IT-Notfalls wenden können. Es ist auch ratsam, eine Richtlinie zur Passwort-Verwaltung zu implementieren und die Mitarbeiter in der Passwortgestaltung und -verwaltung zu unterweisen.
Die Gewährleistung der Sicherheit bei der Remote Arbeit sollte von nun an auf der Tagesordnung jedes Unternehmers stehen: Und das nicht nur aufgrund der Dauer der Krise, sondern auch da diese Pandemie die Art und Weise, wie Arbeitnehmer zu Hause arbeiten, für immer verändern wird.
*Methodik der Studie:
Capterra führte diese Online-Umfrage zwischen Ende März und Anfang April 2020 unter 528 voll- oder teilzeitbeschäftigten Deutschen aus verschiedenen Branchen kleiner und mittelständischer Unternehmen (2 bis 250 Mitarbeiter) durch, die wegen der Krise von zu Hause aus arbeiten. Die Ergebnisse sind repräsentativ für die Umfrage, aber nicht notwendigerweise für die deutsche Bevölkerung als Ganzes.
Hinweis: Bei einigen Fragen standen mehrere Antwortoptionen zur Verfügung, sodass die Gesamtsumme der Prozentwerte in den Grafik en 100 % übersteigt.