cnt
Logo Swiss IT Magazine
MEDIADATEN
ABONNIEREN
NEWSLETTER

WaaS-Security und -Datenschutz im Home Office und ­unterwegs

Beim Arbeiten von unterwegs und im Home Office gilt es, ein besonderes ­Augenmerk auf Cybersecurity und Datenschutz zu legen.

Artikel erschienen in Swiss IT Magazine 2025/05

     

Workplace as a Service (WaaS) hat sich als flexible Lösung für Unternehmen etabliert, die moderne Arbeitsplätze effizient und kosteneffizient bereitstellen möchten. Neben der Bereitstellung von Hardware und Software spielt die Sicherheit und der Datenschutz eine zentrale Rolle in WaaS-Umgebungen. Insbesondere in Zeiten von Home Office und mobiler Arbeit sind umfassende Sicherheitsstrategien unerlässlich, um Datenverluste, Cyberangriffe und Verstösse gegen Datenschutzrichtlinien zu verhindern. Im Folgenden sollen die wichtigsten Aspekte von Security- und Datenschutz-Strategien in WaaS-Umgebungen, mit Fokus auf Schweizer Besonderheiten und spezifischen Massnahmen, beleuchtet werden.

Sicherheit und Datenschutz im digitalen Arbeitsplatz

Die Digitalisierung hat die Art und Weise, wie wir arbeiten, grundlegend verändert. Mit der zunehmenden Verlagerung von Arbeitsplätzen ins Home Office oder auf mobile Geräte steigen aber auch die Risiken. Gemäss dem Bundesamt für Cybersicherheit BACS liegt Phishing regelmässig auf Platz 3 aller Cybervorfälle (nach Betrugsversuchen und Spam). Wöchentlich melden dem Amt gut 200 und mehr Privatpersonen und Unternehmen Phishing-Versuche. Das ist ein deutlicher Hinweis darauf, wie kritisch griffige Sicherheitsmassnahmen sind. In der Schweiz sind Unternehmen besonders sensibilisiert für Datenschutz­fragen, da strenge gesetzliche Vorgaben wie das neue Datenschutzgesetz (nDSG) eingehalten werden müssen. WaaS-Anbieter müssen daher nicht nur technologische Sicherheitslösungen anbieten, sondern auch regulatorische Anforderungen erfüllen.

Security im Home Office und beim Arbeiten unterwegs

Die meisten Unternehmen schützen ihre stationäre Infrastruktur mit einer Reihe herkömmlicher, bewährter Mittel gegen Cyberangriffe. Die Arbeit ausserhalb des Unternehmensnetzwerks bringt aber spezifische Herausforderungen mit sich. Diese gilt es, mit umfassenden Massnahmen zu begegnen. Erst nach der Implementierung einer griffigen Security-Strategie darf mit dem Onboarding der mobilen Geräte wie Laptops, Smartphones und Tablets begonnen werden.

1. Zero Trust Security
Jede Zugriffsanfrage muss identitätszentriert behandelt und unabhängig geprüft werden. Nutzer erhalten erst dann Zugriff auf Daten oder Ressourcen, wenn ihre Identität, der Gerätezustand, der Standort sowie das aktuelle Risiko-Level verifiziert und als vertrauenswürdig eingestuft wurden. Dieses Prinzip stellt ­sicher, dass Zugriffe konsequent kontrolliert und potenzielle ­Sicherheitsrisiken frühzeitig erkannt und verhindert werden.


2. Mobile Device und Application Management
MDM-Lösungen (Mobile Device Management) ermöglichen Unternehmen die zentrale Verwaltung und Absicherung mobiler Geräte, etwa durch Remote-Löschung bei Verlust, automatisierte Software-Updates und die Überwachung der Einhaltung von Unternehmensrichtlinien. MAM-Lösungen (Mobile Application Management) ergänzen dies, indem sie den sicheren Zugriff auf Unternehmensanwendungen steuern und die Kontrolle über die Nutzung und Speicherung betrieblicher Daten innerhalb von Apps ermöglichen. Unternehmen mit Windows-basierten Laptops können hierfür Microsoft Intune als cloudbasierte Lösung einsetzen; für iOS-, macOS- und Android-Geräte kommen häufig zusätzliche MDM-Lösungen wie Ivanti zum Einsatz, die im Co-Management mit Intune betrieben werden.

3. Mobile Threat Defense für Smartphones und Tablets
MDM- und MAM-Lösungen bieten grundlegende Verwaltungs- und Sicherheitsfunktionen für Unternehmenslaptops und mobile Endgeräte, reichen jedoch allein nicht aus, um modernen Bedrohungen wie Phishing, Malware oder Zero-Day-Angriffen wirksam entgegenzuwirken. Um Smartphones und Tablets umfassend zu schützen, sollte ergänzend eine Mobile Threat Defense (MTD)-Lösung eingesetzt werden, die Bedrohungen in Echtzeit erkennt, analysiert und abwehrt, bevor sie Schaden verursachen können. MTD erweitert den Schutz auf Netzwerk-, App- und Betriebssystemebene und stellt somit einen unverzichtbaren Baustein einer ganzheitlichen mobilen Sicherheitsstrategie dar.

4. Multi-Faktor-Authentifizierung
Multi-Faktor-Authentifizierung (MFA) muss zwingend für alle Mitarbeitenden, Geräte und Anwendungen implementiert werden, um unbefugte Zugriffe Dritter wirksam zu verhindern. Durch die Kombination mehrerer unabhängiger Sicherheits­faktoren – wie Passwörter, biometrische Merkmale oder Hardware-Sicherheits-Keys – wird die Identitätsprüfung deutlich gestärkt und das Risiko von kompromittierten Anmeldedaten erheblich reduziert. MFA ist damit ein essenzieller und zentraler Hebel zur Einhaltung regulatorischer Anforderungen sowie zur nachhaltigen Absicherung geschäftskritischer Systeme.

5. Netzwerksicherheit
Eine robuste Netzwerksicherheit ist entscheidend, um sichere, verschlüsselte Verbindungen zwischen Geräten und Unternehmensressourcen zu gewährleisten und unautorisierten Zugriff zu verhindern. Zentral sind dabei der Einsatz von VPN- oder Zero-Trust-Architekturen, die Segmentierung des Netzwerks, die durchgängige Überwachung des Datenverkehrs sowie die Absicherung aller Endpunkte im Netzwerk. Ergänzend sorgen klare Zugriffskontrollen, Identitätsmanagement und moderne Sicherheitsrichtlinien dafür, dass Angriffsflächen minimiert und Compliance-Vorgaben zuverlässig eingehalten werden.

6. Virtualisierte Arbeitsumgebungen
Die Nutzung von virtuellen Desktop-Infrastrukturen respektive Desktop as a Service schützt vor Datenlecks, welche durch lokale Speicherung Schaden anrichten können. Sie lassen sich zentral verwalten und kompromittierte Zugänge können schnell gesperrt werden.

Dos and Don’ts

Die Sicherheit hängt nicht nur von Technologien ab, sondern auch vom Verhalten der Benutzer. Alle Systeme müssen stets auf dem neuesten Stand sein, um Sicherheitslücken zu schliessen. Sicherheitsupdates können zentral gesteuert und über die MDM-Lösung erzwungen werden. Wichtig sind auch regelmässige Backups, um Datenverlust durch Ransomware oder Systemfehler zu verhindern. Darüber hinaus müssen Mitarbeiter über aktuelle Bedrohungen informiert werden und lernen, ­Phishing-E-Mails zu erkennen (Stichwort Awareness-Trainings). Schliesslich stellen regelmässige Sicherheitsüberprüfungen der Home-Office-Setups sicher, dass alle Geräte den ­Unternehmensrichtlinien entsprechen.


Auf keinen Fall dürfen Mitarbeitende unterwegs öffentliche oder zuhause private WiFi-Netzwerke ohne Schutz verwenden. Denn unverschlüsselte Netzwerke stellen ein erhebliches Sicherheitsrisiko dar, das leider viel zu oft unterschätzt wird. Ausserdem sollen niemals ungeprüfte USB-Geräte angeschlossen werden, denn sie könnten Malware enthalten. Und sensible Informationen dürfen nicht auf ungesicherten Geräten gespeichert werden. Auch die Nutzung öffentlicher USB-­Ladestationen – etwa an Flughäfen – sollte kritisch hinterfragt werden. Beim sogenannten «Juice Jacking» können manipulierte Ladeanschlüsse genutzt werden, um unbemerkt Daten abzugreifen oder Schadsoftware auf mobile Geräte zu übertragen. Durch das einfache Entsperren des Geräts während des Ladevorgangs können Angreifer unter Umständen weitreichende Zugriffsrechte erhalten und schädliche Aktionen auf dem Gerät ausführen.
Datenschutz in WaaS-Umgebungen
Das Schweizer Datenschutzgesetz (DSG) stellt spezifische Anforderungen an Unternehmen, die in einer Workplace-as-a-Service-Umgebung tätig sind. Diese Anforderungen zielen darauf ab, den Schutz personenbezogener Daten sicherzustellen und die Einhaltung der gesetzlichen Vorgaben zu gewährleisten. Sie implizieren dabei neben entsprechenden Sicherheitsmassnahmen weitere Pflichten des Unternehmens. Die zentralen Aspekte sind:

1. Transparenz und Informationspflicht
Unternehmen müssen Betroffene über die Verarbeitung ihrer personenbezogenen Daten informieren. Dies umfasst den Zweck der Datenverarbeitung und die allfällige Weitergabe ins Ausland inklusive Garantien für einen angemessenen Datenschutz. Für Profiling-Aktivitäten (etwa für HR-Zwecke), die ein hohes Risiko für Betroffene darstellen, ist eine ausdrückliche Einwilligung erforderlich.

2. Privacy by Design und Privacy by Default
Das DSG verlangt, dass Datenschutz von Beginn an in Produkte und Prozesse integriert wird. So müssen Sicherheitsmassnahmen bereits bei der Entwicklung von WaaS-Lösungen berücksichtigt werden (Privacy by Design). Ausserdem müssen die Systeme standardmässig so konfiguriert sein, dass sie den höchsten Datenschutz gewährleisten (Privacy by Default).

3. Verzeichnis der Bearbeitungstätigkeiten
Unternehmen sind verpflichtet, ein aktuelles Verzeichnis aller Datenverarbeitungsaktivitäten zu führen. Dieses Verzeichnis dient dazu, die Art und den Zweck der Datenverarbeitung zu dokumentieren und Zugriffsrechte und ­Verantwortlichkeiten klar festzulegen.

4. Meldepflicht bei Datenpannen
Der Bundesrat hat am 7. März 2025 die Meldepflicht für Cyberangriffe auf kritische Infrastrukturen per 1. April 2025 in Kraft gesetzt. Im Falle einer ­Datenschutzverletzung mit hohem Risiko für Betroffene müssen Unternehmen den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) informieren und umgehend Massnahmen ergreifen, um weitere Schäden zu verhindern (siehe Abschnitt «SOC»).

5. Betroffenenrechte
Das Schweizer DSG stärkt die Rechte von betroffenen Personen; das Auskunftsrecht, das Recht auf Löschung ihrer Daten und das Recht auf Berichtigung fehlerhafter oder unvollständiger Daten. Nutzer können verlangen, Informationen über die Verarbeitung ihrer Daten zu erhalten.

6. Organisatorische Massnahmen
Obwohl das DSG keine spezifischen organisatorischen Anforderungen für WaaS-Setups vorschreibt, empfiehlt es sich, einen Datenschutzverantwortlichen zu benennen, Mitarbeitende regelmässig zu schulen und für Datenschutzrisiken zu sensibilisieren und ein Dateninventar zu erstellen, um alle gespeicherten und bearbeiteten Daten systematisch zu erfassen.

7. Extraterritorialität
Das DSG gilt auch für Unternehmen ausserhalb der Schweiz, wenn sie personenbezogene Daten von Schweizer Bürgern zum Beispiel im Ausland gehosteten virtuellen Desktop-Umgebungen verarbeiten oder Dienstleistungen für den Schweizer Markt anbieten (Marktortprinzip).

Security Operations Center (SOC)

Schweizer Unternehmen verfolgen unterschiedliche Ansätze beim Betrieb von Security Operations Centers (SOC), abhängig von ihrer Grösse und den verfügbaren Ressourcen. Einige grössere Unternehmen und Organisationen, insbesondere solche mit kritischen Infrastrukturen, betreiben eigene SOC. Dies ist etwa der Fall, um systemrelevante Sektoren wie Energieversorgung und Verkehr zu schützen. Solche internen SOC sind in der Regel rund um die Uhr aktiv und verfügen über interne Expertise, um Bedrohungen in Echtzeit zu erkennen und abzuwehren. Die meisten Unternehmen, insbesondere kleinere und mittelständische Betriebe, die sich SOC-Services bedienen, entscheiden sich für das Outsourcing dieser Dienste. Anbieter von SOC as a Service ermöglichen eine 24/7-Überwachung durch zertifizierte Experten. Outsourcing wird selbstredend gewählt, da der Aufbau und Unterhalt eines eigenen SOC kostspielig ist und erhebliche Ressourcen erfordert. Externe Anbieter können zudem Zugang zu neuesten Technologien und spezialisierten Fachkräften bieten. Gerade bei der Überwachung von WaaS-Umgebungen mit mobilen Geräten wie Laptops, Smartphones oder Tablets spielen Security Operations Centers (SOC) eine entscheidende Rolle.

Echtzeitüberwachung

SOC-Dienste überwachen kontinuierlich alle Aktivitäten innerhalb des Netzwerks und identifizieren potenzielle Bedrohungen frühzeitig. Echtzeit-Services umfassen automatisierte Bedrohungserkennung durch KI-basierte Systeme, die Protokollierung aller Zugriffe auf sensible Daten sowie die Echtzeit-Benachrichtigungen bei verdächtigen Aktivitäten. Jede Aktivität durch den Benutzer, welche innerhalb der Sicherheitsstrategie erlaubt wurde, wie beispielsweise das Abspeichern von Daten auf externe Geräte, muss im SOC überwacht werden. Im Falle eines Sicherheitsvorfalls übernimmt das SOC die Koordination der Massnahmen wie die Isolierung betroffener Systeme, die Analyse des Vorfalls zur Identifikation der Ursache und die Kommunikation mit betroffenen Parteien.

Reaktion auf Sicherheitsvorfälle

Tritt ein Sicherheitsvorfall ein, sind schnelle und koordinierte Massnahmen entscheidend. Dabei nutzen moderne WaaS-Systeme automatisierte Mechanismen zur Schadensbegrenzung wie die sofortige Sperrung gefährdeter Benutzerkonten. Die Massnahmen müssen bereits vor dem Onboarding der Geräte und Server definiert werden, damit klar definiert ist, wann eine Isolierung stattfinden kann. Bei Laptops muss man unter Umständen zurückhaltender in Sachen Sperrung vorgehen, weil bei einer Sperrung für den Nutzer kein Arbeiten mehr möglich ist. Weiter müssen je nach Vorfall Backup-Systeme zur Wiederherstellung verlorener Daten aktiviert werden. Eine klare Kommunikationsstrategie sorgt dafür, dass alle Beteiligten informiert werden. Dazu gehören die Benachrichtigung der betroffenen Mitarbeitenden und Kunden sowie die Zusammenarbeit mit Behörden bei schwerwiegenden Vorfällen (siehe Box Datenschutz WaaS-Umgebungen). Nach einem Vorfall muss eine detaillierte Analyse durchgeführt werden, um Schwachstellen zu identifizieren und zukünftige Angriffe im Home Office oder beim Arbeiten unterwegs zu verhindern.

Balance zwischen Benutzerfreundlichkeit und Sicherheit

Security- und Datenschutzstrategien sind essenziell für den Erfolg von Workplace-as-a-Service-Modellen. Die Kombination aus technologischen Lösungen wie MDM, MFA und Echtzeitüberwachung sowie klaren Verhaltensrichtlinien schützt Unternehmen vor Cyberangriffen und Datenschutzverletzungen. Besonders in der Schweiz müssen Anbieter sicherstellen, dass ihre Systeme den strengen gesetzlichen Anforderungen des Datenschutzes entsprechen. Durch proaktive Massnahmen wie regelmässige Schulungen und automatisierte Sicherheitsprozesse können Unternehmen ihre WaaS-Plattformen optimal nutzen und gleichzeitig ihre sensiblen Daten schützen. Ist ein Arbeitsinstrument nicht benutzerfreundlich, aber perfekt abgesichert, finden die Anwender immer Wege und Methoden, Sicherheitsmassnahmen zu umgehen. Dies gilt es unbedingt zu verhindern. Die Zukunft des digitalen Arbeitsplatzes liegt deshalb in einer harmonischen Balance zwischen Benutzerfreundlichkeit und Sicherheit – ein Ziel, das mit modernen WaaS-Lösungen aber erreichbar ist.

Der Autor

Nicola Aloise ist Chief Technology Officer (CTO) bei Nomasis. Das Schweizer Unternehmen ist Anbieter von Lösungen und Services für den sicheren geschäftlichen Einsatz von mobilen Geräten wie Laptops, Smartpones und Tabletts sämtlicher Anbieter. In seiner Rolle verantwortet Aloise die technische Strategie und Innovationsentscheide des Unternehmens.


Artikel kommentieren
Kommentare werden vor der Freischaltung durch die Redaktion geprüft.

Anti-Spam-Frage: Wieviele Zwerge traf Schneewittchen im Wald?
Managed Workplace: Support und Service neu gedacht
Phishing-Alarm in Microsoft 365 und Google Workspace
Erfolg mit KI-Agenten durch fünf Schlüsselfaktoren
Die effizienteste IT-Strategie? Ist hybrid.
Advertorial

Die effizienteste IT-Strategie? Ist hybrid.

CIOs verstehen die digitale Transformation oft als unabdingbaren Wechsel ihrer gesamten IT in die Cloud. Doch die Online-Dienste entfalten ihren grössten Vorteil in Kombination mit lokalen Installationen. Hybrid Computing macht deshalb nicht umsonst ‚die Runde‘: Schliesslich gewährleistet es Sicherheit und Kontrolle durch eigene IT-Ressourcen – und volle Agilität in der Cloud. Björn Orth, Geschäftsführer des Microsoft Solutions Partners VENDOSOFT bricht eine Lanze für diese Form der hybriden Lizenzierung.
Wirkung im Ziel!
Cyber Resilience Act: Auswirkungen auf Embedded Device Security
GOLD SPONSOREN
SPONSOREN & PARTNER