Homeoffice als Sicherheitslücke: WLAN, private Geräte, fehlende VPNs – die häufigsten Fehler beim Remote-Arbeiten
Genau hier liegt ein oft unterschätztes Risiko. Denn Cyberangriffe beginnen längst nicht mehr nur im Serverraum oder in der Firmenzentrale, sondern häufig dort, wo Sicherheitsstandards weniger konsequent umgesetzt sind: am heimischen WLAN, auf unzureichend geschützten Endgeräten oder bei Fernzugriffen ohne ausreichende Absicherung. Für Geschäftsleitungen und IT-Verantwortliche bedeutet das: Remote-Arbeit braucht klare Regeln, geeignete Technik und ein realistisches Risikobewusstsein.
Warum das Homeoffice zum Risikofaktor werden kann
Im Büro sind Sicherheitsmassnahmen in der Regel standardisiert: verwaltete Geräte, zentral gepflegte Systeme, kontrollierte Netzwerke und definierte Zugriffsrechte. Im Homeoffice sieht die Realität oft anders aus. Mitarbeitende arbeiten über private Router, nutzen teilweise eigene Geräte oder verbinden sich unterwegs mit öffentlichen WLANs. Gleichzeitig soll der Zugriff auf E-Mails, Dateien, CRM- oder ERP-Systeme möglichst einfach und schnell funktionieren.
Diese Mischung aus Komfort, Zeitdruck und dezentraler Infrastruktur schafft Angriffsflächen. Besonders problematisch wird es, wenn technische Schutzmassnahmen fehlen oder Sicherheitsregeln im Alltag aufgeweicht werden.
Die häufigsten Fehler beim Remote-Arbeiten
1. Unsichere oder schlecht konfigurierte WLANs
Das heimische WLAN wird häufig als „privat“ und damit automatisch als sicher wahrgenommen. Tatsächlich hängt die Sicherheit aber stark von der Konfiguration des Routers ab. Veraltete Firmware, schwache WLAN-Passwörter, unsichere Standardeinstellungen oder aktivierte Fernzugriffe können dazu führen, dass Angreifer in das Heimnetz eindringen oder den Datenverkehr ausspähen.
Besonders heikel wird es, wenn Mitarbeitende nicht nur im Homeoffice, sondern auch in Hotels, Cafés oder Bahnhöfen arbeiten. Öffentliche WLANs lassen sich vergleichsweise leicht manipulieren oder für Man-in-the-Middle-Angriffe missbrauchen. Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt deshalb, vertrauliche Daten über fremde WLAN-Netze möglichst nicht ohne abgesicherte Verbindung abzurufen. (Quelle: BSI – Sicherheitstipps für privates und öffentliches WLAN)
2. Private Geräte im Firmennetz
Bring-your-own-device klingt pragmatisch, ist aus Sicherheitsoptik aber heikel. Private Laptops oder Smartphones sind oft nicht nach Unternehmensstandards gehärtet, werden unregelmässig aktualisiert und verfügen nicht zwingend über professionellen Endgeräteschutz. Hinzu kommt, dass private und geschäftliche Nutzung auf denselben Geräten oft vermischt werden.
Das Schweizer NCSC hat ausdrücklich vor diesem Szenario gewarnt: Zugriffe auf das Firmennetzwerk sollten nur von firmeneigenen Computern mit VPN-Zugang erlaubt werden. Anlass war ein gemeldeter Fall, bei dem ein privates Gerät kompromittiert wurde und Angreifer über den Fernzugriff weiter ins Unternehmensnetz eindringen konnten. (Quelle: NCSC – Private Geräte im Home-Office bergen hohe Risiken)
Für Unternehmen heisst das: Wer Remote-Arbeit zulässt, sollte auch definieren, mit welchen Geräten gearbeitet werden darf – und wie diese verwaltet, aktualisiert und im Notfall gesperrt werden können.
3. Fehlende oder schlecht abgesicherte VPN-Verbindungen
Ein VPN ist kein „nice to have“, sondern eine grundlegende Sicherheitsmassnahme für den geschützten Fernzugriff auf interne Systeme. Es verschlüsselt den Datenverkehr zwischen Endgerät und Unternehmensnetzwerk und reduziert das Risiko, dass Daten unterwegs mitgelesen oder manipuliert werden.
Allerdings reicht es nicht, irgendeine VPN-Lösung bereitzustellen. Auch VPN-Infrastrukturen müssen aktuell gehalten, korrekt konfiguriert und sinnvoll überwacht werden. Die US-Behörde CISA weist darauf hin, dass Organisationen VPNs, Netzwerkinfrastruktur und Endgeräte regelmässig patchen, starke Passwörter durchsetzen und möglichst Multi-Faktor-Authentifizierung einsetzen sollten. (Quelle: CISA – Enterprise VPN Security)
Fehlt ein VPN ganz, erfolgt der Zugriff auf Unternehmensressourcen im schlimmsten Fall unverschlüsselt oder über unsichere Umwege. Ist ein VPN vorhanden, aber schlecht gewartet, kann es selbst zum Einfallstor werden.
4. Fehlende Updates und Patches
Viele Sicherheitsvorfälle haben keine spektakuläre Ursache, sondern beginnen mit bekannten Schwachstellen, für die längst Updates existieren. Das betrifft nicht nur Laptops und Smartphones, sondern auch Router, Firewalls, Browser und Collaboration-Tools.
Gerade im dezentralen Arbeiten ist das Risiko hoch, dass Systeme nicht einheitlich gepflegt werden. Wenn Unternehmen keine zentrale Verwaltung haben oder Mitarbeitende Updates aufschieben, entstehen unnötige Lücken. Sicherheitsupdates sollten deshalb nicht dem Zufall überlassen, sondern technisch gesteuert und verbindlich eingefordert werden.
5. Fehlende Sensibilisierung der Mitarbeitenden
Technik allein schützt nicht. Auch im Homeoffice bleiben Phishing, Social Engineering, unsichere Passwörter oder unvorsichtiger Umgang mit Daten zentrale Risiken. Der Unterschied: Im Büro gibt es eher Rückfragen, kurze Abstimmungen oder direkte Unterstützung durch Kolleginnen, Kollegen oder IT. Im Homeoffice treffen Mitarbeitende Entscheidungen häufiger allein und unter Zeitdruck.
Umso wichtiger sind klare Richtlinien, verständliche Schulungen und konkrete Verhaltensregeln. Mitarbeitende sollten wissen, welche Netzwerke erlaubt sind, wann ein VPN zwingend genutzt werden muss, wie mit privaten Geräten umzugehen ist und was bei verdächtigen E-Mails oder ungewöhnlichen Systemmeldungen zu tun ist.
6. Geotracking und Standortdaten als oft übersehene Schwachstelle
Ein weiterer Punkt, der beim Remote-Arbeiten häufig unterschätzt wird, ist der Umgang mit Standortdaten. Viele mobile Geräte, Apps, Collaboration-Tools oder Sicherheitsanwendungen erfassen standortbezogene Informationen – sei es zur Anmeldung, zur Geräteverwaltung oder durch aktivierte Ortungsdienste im Hintergrund. Diese Daten können aus Sicherheitsoptik hilfreich sein, etwa um ungewöhnliche Logins aus anderen Ländern zu erkennen. Gleichzeitig entsteht aber auch ein zusätzlicher Risikobereich.
Problematisch wird es, wenn Standortdaten unkontrolliert erhoben, unzureichend geschützt oder mit privaten Nutzungsdaten vermischt werden. Einerseits können solche Informationen bei einem kompromittierten Gerät Rückschlüsse auf Arbeitsorte, Bewegungsmuster oder Abwesenheiten zulassen. Andererseits kann Geotracking auch datenschutzrechtlich sensibel sein, insbesondere wenn nicht klar geregelt ist, welche Daten zu welchem Zweck verarbeitet werden.
Für Unternehmen bedeutet das: Standortfunktionen sollten nur dort eingesetzt werden, wo sie technisch oder sicherheitsseitig wirklich notwendig sind. Gleichzeitig braucht es transparente Richtlinien, eine saubere Trennung von geschäftlicher und privater Nutzung sowie klare Vorgaben dazu, welche Apps und Dienste auf mobilen Arbeitsgeräten zugelassen sind.
Was Unternehmen jetzt konkret tun sollten
Für KMU muss Remote-Sicherheit nicht kompliziert sein, aber sie muss konsequent gedacht werden. Besonders wirksam sind meist einige wenige, klare Massnahmen:
- Zugriff auf Unternehmenssysteme nur über verwaltete und abgesicherte Firmengeräte
- VPN-Pflicht für den Fernzugriff auf interne Ressourcen
- Multi-Faktor-Authentifizierung für kritische Systeme und Remote-Zugänge
- Zentrale Update- und Patch-Prozesse für Endgeräte und Netzwerkinfrastruktur
- Mindeststandards für Heimnetzwerke und Router-Konfigurationen
- Regelmässige Awareness-Schulungen für Mitarbeitende
- Klare Richtlinien für mobiles Arbeiten und den Umgang mit sensiblen Daten
Wer Homeoffice dauerhaft ermöglichen will, sollte Sicherheitsmassnahmen nicht als Zusatz, sondern als festen Bestandteil der Arbeitsorganisation verstehen.
Fazit
Remote-Arbeiten ist kein Sicherheitsproblem – unsauber umgesetztes Remote-Arbeiten schon. Unsichere WLANs, private Geräte und fehlende oder unzureichend abgesicherte VPNs gehören zu den häufigsten Schwachstellen. Gerade für KMU können daraus schnell Betriebsunterbrüche, Datenabflüsse oder Reputationsschäden entstehen.
Die gute Nachricht: Viele Risiken lassen sich mit überschaubarem Aufwand deutlich reduzieren, wenn Technik, Prozesse und Nutzerverhalten zusammen gedacht werden. Entscheidend ist, dass Homeoffice nicht als Ausnahme behandelt wird, sondern als vollwertiger Teil der Unternehmens-IT.
Ihre Ansprechpersonen:
Beat Mosimann
Marktgebietsleiter | Fachspezialist Special Lines
Weitere Beiträge
18.06.2026
Deepfakes im Businessalltag: Wie KMU sich gegen KI-gestützte Täuschungen schützen
03.06.2026
Früherkennung im BGM: Die 5 wichtigsten Warnsignale, die jede Führungskraft kennen sollte, um rechtzeitig handeln zu können
21.05.2026
Lohnt sich ein Versicherungsbroker? Die strategischen Vorteile für KMU, Grossunternehmen und die öffentliche Hand
06.05.2026
Die teuersten Passwort-Fehler in Unternehmen - Warum das Bekannte oft das Vernachlässigte ist
22.04.2026
Vom KI-Hype zur Governance: Wie Sie KI-Risiken aktiv steuern statt nur zu reagieren
16.04.2026
Digitaler Diebstahl: Wenn aus vermeintlich kleinen Schwachstellen grosse Schäden entstehen
06.04.2026
Präventives Case Management: Ein Gewinn für Mitarbeitende und Unternehmen
02.06.2025
Cyber-Risikomanagement in einer Ära digitaler Bedrohungen
02.10.2025
Ist Ihr Team am Limit?
05.01.2026
ARISCO x MS Sports AG: Risikomanagement beginnt mit Prävention – im Camp wie im Unternehmen
01.01.2026
Partnerschaft mit AlliA
07.09.2025
Nachruf auf Gert de Winter
19.01.2026
Diese Technologie- und Systemrisiken dominieren 2026: Was Geschäftsführer jetzt wissen sollten
10.02.2026
Daten sind das neue Gold: Warum Cybervorfälle in der Schweiz das grösste Geschäftsrisiko bleiben
19.05.2026
ARISCO-Kompass: Unser Seminar zur Pensionierung am Montag, 7. September 2026
26.02.2026
Regulatorik und Compliance 2026: Neue Pflichten, neue Meldewege, neue Haftungsfragen
30.04.2026