Homeoffice als Sicherheitslücke: WLAN, private Geräte, fehlende VPNs – die häufigsten Fehler beim Remote-Arbeiten

ARISCO Homeoffice als Sicherheitslücke Website Image
Homeoffice und mobiles Arbeiten gehören heute in vielen Unternehmen ganz selbstverständlich zum Arbeitsalltag. Gerade für KMU ist das ein Vorteil: Teams bleiben flexibel, Wege werden kürzer, und Arbeiten lässt sich einfacher mit dem Alltag vereinbaren. Gleichzeitig verlagert sich damit aber auch ein Teil der Unternehmenssicherheit in private Wohnräume, auf private Netzwerke und teilweise sogar auf private Geräte.

Genau hier liegt ein oft unterschätztes Risiko. Denn Cyberangriffe beginnen längst nicht mehr nur im Serverraum oder in der Firmenzentrale, sondern häufig dort, wo Sicherheitsstandards weniger konsequent umgesetzt sind: am heimischen WLAN, auf unzureichend geschützten Endgeräten oder bei Fernzugriffen ohne ausreichende Absicherung. Für Geschäftsleitungen und IT-Verantwortliche bedeutet das: Remote-Arbeit braucht klare Regeln, geeignete Technik und ein realistisches Risikobewusstsein.

Warum das Homeoffice zum Risikofaktor werden kann

Im Büro sind Sicherheitsmassnahmen in der Regel standardisiert: verwaltete Geräte, zentral gepflegte Systeme, kontrollierte Netzwerke und definierte Zugriffsrechte. Im Homeoffice sieht die Realität oft anders aus. Mitarbeitende arbeiten über private Router, nutzen teilweise eigene Geräte oder verbinden sich unterwegs mit öffentlichen WLANs. Gleichzeitig soll der Zugriff auf E-Mails, Dateien, CRM- oder ERP-Systeme möglichst einfach und schnell funktionieren.

Diese Mischung aus Komfort, Zeitdruck und dezentraler Infrastruktur schafft Angriffsflächen. Besonders problematisch wird es, wenn technische Schutzmassnahmen fehlen oder Sicherheitsregeln im Alltag aufgeweicht werden.

Die häufigsten Fehler beim Remote-Arbeiten

1. Unsichere oder schlecht konfigurierte WLANs

Das heimische WLAN wird häufig als „privat“ und damit automatisch als sicher wahrgenommen. Tatsächlich hängt die Sicherheit aber stark von der Konfiguration des Routers ab. Veraltete Firmware, schwache WLAN-Passwörter, unsichere Standardeinstellungen oder aktivierte Fernzugriffe können dazu führen, dass Angreifer in das Heimnetz eindringen oder den Datenverkehr ausspähen.

Besonders heikel wird es, wenn Mitarbeitende nicht nur im Homeoffice, sondern auch in Hotels, Cafés oder Bahnhöfen arbeiten. Öffentliche WLANs lassen sich vergleichsweise leicht manipulieren oder für Man-in-the-Middle-Angriffe missbrauchen. Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt deshalb, vertrauliche Daten über fremde WLAN-Netze möglichst nicht ohne abgesicherte Verbindung abzurufen. (Quelle: BSI – Sicherheitstipps für privates und öffentliches WLAN)

2. Private Geräte im Firmennetz

Bring-your-own-device klingt pragmatisch, ist aus Sicherheitsoptik aber heikel. Private Laptops oder Smartphones sind oft nicht nach Unternehmensstandards gehärtet, werden unregelmässig aktualisiert und verfügen nicht zwingend über professionellen Endgeräteschutz. Hinzu kommt, dass private und geschäftliche Nutzung auf denselben Geräten oft vermischt werden.

Das Schweizer NCSC hat ausdrücklich vor diesem Szenario gewarnt: Zugriffe auf das Firmennetzwerk sollten nur von firmeneigenen Computern mit VPN-Zugang erlaubt werden. Anlass war ein gemeldeter Fall, bei dem ein privates Gerät kompromittiert wurde und Angreifer über den Fernzugriff weiter ins Unternehmensnetz eindringen konnten. (Quelle: NCSC – Private Geräte im Home-Office bergen hohe Risiken)

Für Unternehmen heisst das: Wer Remote-Arbeit zulässt, sollte auch definieren, mit welchen Geräten gearbeitet werden darf – und wie diese verwaltet, aktualisiert und im Notfall gesperrt werden können.

3. Fehlende oder schlecht abgesicherte VPN-Verbindungen

Ein VPN ist kein „nice to have“, sondern eine grundlegende Sicherheitsmassnahme für den geschützten Fernzugriff auf interne Systeme. Es verschlüsselt den Datenverkehr zwischen Endgerät und Unternehmensnetzwerk und reduziert das Risiko, dass Daten unterwegs mitgelesen oder manipuliert werden.

Allerdings reicht es nicht, irgendeine VPN-Lösung bereitzustellen. Auch VPN-Infrastrukturen müssen aktuell gehalten, korrekt konfiguriert und sinnvoll überwacht werden. Die US-Behörde CISA weist darauf hin, dass Organisationen VPNs, Netzwerkinfrastruktur und Endgeräte regelmässig patchen, starke Passwörter durchsetzen und möglichst Multi-Faktor-Authentifizierung einsetzen sollten. (Quelle: CISA – Enterprise VPN Security)

Fehlt ein VPN ganz, erfolgt der Zugriff auf Unternehmensressourcen im schlimmsten Fall unverschlüsselt oder über unsichere Umwege. Ist ein VPN vorhanden, aber schlecht gewartet, kann es selbst zum Einfallstor werden.

4. Fehlende Updates und Patches

Viele Sicherheitsvorfälle haben keine spektakuläre Ursache, sondern beginnen mit bekannten Schwachstellen, für die längst Updates existieren. Das betrifft nicht nur Laptops und Smartphones, sondern auch Router, Firewalls, Browser und Collaboration-Tools.

Gerade im dezentralen Arbeiten ist das Risiko hoch, dass Systeme nicht einheitlich gepflegt werden. Wenn Unternehmen keine zentrale Verwaltung haben oder Mitarbeitende Updates aufschieben, entstehen unnötige Lücken. Sicherheitsupdates sollten deshalb nicht dem Zufall überlassen, sondern technisch gesteuert und verbindlich eingefordert werden.

5. Fehlende Sensibilisierung der Mitarbeitenden

Technik allein schützt nicht. Auch im Homeoffice bleiben Phishing, Social Engineering, unsichere Passwörter oder unvorsichtiger Umgang mit Daten zentrale Risiken. Der Unterschied: Im Büro gibt es eher Rückfragen, kurze Abstimmungen oder direkte Unterstützung durch Kolleginnen, Kollegen oder IT. Im Homeoffice treffen Mitarbeitende Entscheidungen häufiger allein und unter Zeitdruck.

Umso wichtiger sind klare Richtlinien, verständliche Schulungen und konkrete Verhaltensregeln. Mitarbeitende sollten wissen, welche Netzwerke erlaubt sind, wann ein VPN zwingend genutzt werden muss, wie mit privaten Geräten umzugehen ist und was bei verdächtigen E-Mails oder ungewöhnlichen Systemmeldungen zu tun ist.

6. Geotracking und Standortdaten als oft übersehene Schwachstelle

Ein weiterer Punkt, der beim Remote-Arbeiten häufig unterschätzt wird, ist der Umgang mit Standortdaten. Viele mobile Geräte, Apps, Collaboration-Tools oder Sicherheitsanwendungen erfassen standortbezogene Informationen – sei es zur Anmeldung, zur Geräteverwaltung oder durch aktivierte Ortungsdienste im Hintergrund. Diese Daten können aus Sicherheitsoptik hilfreich sein, etwa um ungewöhnliche Logins aus anderen Ländern zu erkennen. Gleichzeitig entsteht aber auch ein zusätzlicher Risikobereich.

Problematisch wird es, wenn Standortdaten unkontrolliert erhoben, unzureichend geschützt oder mit privaten Nutzungsdaten vermischt werden. Einerseits können solche Informationen bei einem kompromittierten Gerät Rückschlüsse auf Arbeitsorte, Bewegungsmuster oder Abwesenheiten zulassen. Andererseits kann Geotracking auch datenschutzrechtlich sensibel sein, insbesondere wenn nicht klar geregelt ist, welche Daten zu welchem Zweck verarbeitet werden.

Für Unternehmen bedeutet das: Standortfunktionen sollten nur dort eingesetzt werden, wo sie technisch oder sicherheitsseitig wirklich notwendig sind. Gleichzeitig braucht es transparente Richtlinien, eine saubere Trennung von geschäftlicher und privater Nutzung sowie klare Vorgaben dazu, welche Apps und Dienste auf mobilen Arbeitsgeräten zugelassen sind.

Was Unternehmen jetzt konkret tun sollten

Für KMU muss Remote-Sicherheit nicht kompliziert sein, aber sie muss konsequent gedacht werden. Besonders wirksam sind meist einige wenige, klare Massnahmen:

  • Zugriff auf Unternehmenssysteme nur über verwaltete und abgesicherte Firmengeräte
  • VPN-Pflicht für den Fernzugriff auf interne Ressourcen
  • Multi-Faktor-Authentifizierung für kritische Systeme und Remote-Zugänge
  • Zentrale Update- und Patch-Prozesse für Endgeräte und Netzwerkinfrastruktur
  • Mindeststandards für Heimnetzwerke und Router-Konfigurationen
  • Regelmässige Awareness-Schulungen für Mitarbeitende
  • Klare Richtlinien für mobiles Arbeiten und den Umgang mit sensiblen Daten

Wer Homeoffice dauerhaft ermöglichen will, sollte Sicherheitsmassnahmen nicht als Zusatz, sondern als festen Bestandteil der Arbeitsorganisation verstehen.

Fazit

Remote-Arbeiten ist kein Sicherheitsproblem – unsauber umgesetztes Remote-Arbeiten schon. Unsichere WLANs, private Geräte und fehlende oder unzureichend abgesicherte VPNs gehören zu den häufigsten Schwachstellen. Gerade für KMU können daraus schnell Betriebsunterbrüche, Datenabflüsse oder Reputationsschäden entstehen.

Die gute Nachricht: Viele Risiken lassen sich mit überschaubarem Aufwand deutlich reduzieren, wenn Technik, Prozesse und Nutzerverhalten zusammen gedacht werden. Entscheidend ist, dass Homeoffice nicht als Ausnahme behandelt wird, sondern als vollwertiger Teil der Unternehmens-IT.

Ihre Ansprechpersonen:

Beat Mosimann

Beat Mosimann

Marktgebietsleiter | Fachspezialist Special Lines

+41 41 545 68 60

+41 41 545 68 60

beat.mosimann@arisco.ch

Weitere Beiträge

ARISCO Deepfakes Website Image

18.06.2026

Deepfakes im Businessalltag: Wie KMU sich gegen KI-gestützte Täuschungen schützen

Früherkennung im BGM Website Image

03.06.2026

Früherkennung im BGM: Die 5 wichtigsten Warnsignale, die jede Führungskraft kennen sollte, um rechtzeitig handeln zu können

ARISCO Lohnt sich ein Versicherungsbroker Website Image

21.05.2026

Lohnt sich ein Versicherungsbroker? Die strategischen Vorteile für KMU, Grossunternehmen und die öffentliche Hand

ARISCO Passwort Fehler Website Image

06.05.2026

Die teuersten Passwort-Fehler in Unternehmen - Warum das Bekannte oft das Vernachlässigte ist

KI Risiken Website Image

22.04.2026

Vom KI-Hype zur Governance: Wie Sie KI-Risiken aktiv steuern statt nur zu reagieren

Digitalisierung 2

16.04.2026

Digitaler Diebstahl: Wenn aus vermeintlich kleinen Schwachstellen grosse Schäden entstehen

Arisco beitrag präventives case management

06.04.2026

Präventives Case Management: Ein Gewinn für Mitarbeitende und Unternehmen

Arisco cyber risikomanagement 1

02.06.2025

Cyber-Risikomanagement in einer Ära digitaler Bedrohungen

Arisco Bild Web

02.10.2025

Ist Ihr Team am Limit?

Fakten zu Risiko2

05.01.2026

ARISCO x MS Sports AG: Risikomanagement beginnt mit Prävention – im Camp wie im Unternehmen

74639 Alli A

01.01.2026

Partnerschaft mit AlliA

Gert

07.09.2025

Nachruf auf Gert de Winter

Technologie

19.01.2026

Diese Technologie- und Systemrisiken dominieren 2026: Was Geschäftsführer jetzt wissen sollten

Digitalisierung 1

10.02.2026

Daten sind das neue Gold: Warum Cybervorfälle in der Schweiz das grösste Geschäftsrisiko bleiben

Bild ARISCO Kompass

19.05.2026

ARISCO-Kompass: Unser Seminar zur Pensionierung am Montag, 7. September 2026

Getty images

26.02.2026

Regulatorik und Compliance 2026: Neue Pflichten, neue Meldewege, neue Haftungsfragen

BGM CM Website Image

30.04.2026

Krankheitsbedingte Absenzen im Griff: Ihr Schlüssel zur Kostenkontrolle und Effizienz

Ganz schön praktisch

Die Kontaktdaten Ihres Beraters oder Ihrer Beraterin stets griffbereit.
Meine persönliche Beraterin oder Berater wählen
| |
profil
Wählen Sie Ihre persönliche Beraterin oder Berater