Ein typisches Szenario: Eine Steuerberatungskanzlei im Allgäu, 14 Mitarbeiter. Seit der Pandemie arbeiten acht davon regelmäßig von zu Hause. Der Geschäftsführer ist zufrieden: Die Produktivität stimmt, die Mitarbeiter sind motiviert, die Bürokosten sinken. Dann passiert es.
Eine Mitarbeiterin öffnet im Homeoffice eine täuschend echte E-Mail vom vermeintlichen DATEV-Support. Ein Klick auf den Link, Zugangsdaten eingegeben. Und 48 Stunden später ist die gesamte Mandantendatenbank verschlüsselt. Schaden: 180.000 Euro. Die Cyberversicherung prüft. Und kürzt die Leistung um 40 %. Begründung: Der Remote-Zugang war nicht per VPN gesichert, die MFA fehlte. Obliegenheitsverletzung.
Kein Einzelfall. Das BSI warnt seit Jahren: Remote-Zugänge. Homeoffice, mobile Geräte, Cloud-Dienste. Gehören zu den häufigsten Einfallstoren für Cyberangriffe auf KMU. Die Angriffsfläche hat sich seit der Pandemie vervielfacht, aber die Sicherheitsmaßnahmen vieler Unternehmen sind nicht mitgewachsen.
Homeoffice-Cyberrisiken bezeichnen alle IT-Sicherheitsbedrohungen, die durch dezentrales Arbeiten entstehen oder verstärkt werden. Die fünf größten Risikobereiche sind: unsichere VPN-Verbindungen, unkontrollierte Privatgeräte (BYOD), schwache Heim-WLANs, Remote-Phishing und Schatten-IT. Dieser Artikel zeigt, was Cyberversicherer konkret verlangen. Und wie Sie Ihr Unternehmen mit überschaubarem Aufwand absichern.
Homeoffice ist gekommen, um zu bleiben. Immer mehr Beschäftigte arbeiten zumindest teilweise remote. In Kanzleien, Praxen und bei Beratern liegt die Quote besonders hoch. Die Frage ist nicht ob Sie Remote-Arbeit absichern müssen. Sondern wie gut Sie es bereits tun. Denn Cyberversicherer schauen bei der Risikoprüfung längst nicht mehr nur auf das Büro-Netzwerk.
Warum Homeoffice die Angriffsfläche vervielfacht
Im Büro arbeiten Ihre Mitarbeiter hinter einer professionellen Firewall, in einem segmentierten Netzwerk, auf verwalteten Geräten. Im Homeoffice fällt das alles weg. Was bleibt, ist ein privater Router, ein Heim-WLAN und oft genug ein privater Laptop. Und trotzdem voller Zugriff auf Firmendaten.
| Angriffsvektor | Im Büro | Im Homeoffice |
|---|---|---|
| Netzwerk | Professionelle Firewall, IDS/IPS, Segmentierung | Consumer-Router, Standard-WLAN, keine Segmentierung |
| Geräte | Firmenhardware, zentral verwaltet, verschlüsselt | Oft private Geräte, veraltet, ohne EDR |
| Zugang | Physische Zugangskontrolle, Netzwerkzertifikate | Passwort + ggf. VPN. Oft ohne MFA |
| Phishing-Schutz | E-Mail-Gateway, DNS-Filter, Kollegen als Rückfrage | Weniger Filter, keine schnelle Rückfrage möglich |
| Schatten-IT | Eingeschränkt durch Netzwerkrichtlinien | Private Cloud-Dienste, USB-Sticks, Messenger |
Jeder einzelne dieser Punkte ist ein potenzielles Einfallstor. In Kombination entsteht eine Angriffsfläche, die vielen Unternehmen gar nicht bewusst ist. Die aber jeder Cyberversicherer bei der Risikoprüfung genau hinterfragt.
Risiko 1: Fehlende oder unsichere VPN-Verbindung
Ein VPN (Virtual Private Network) verschlüsselt die gesamte Kommunikation zwischen dem Homeoffice-Gerät und dem Firmennetzwerk. Ohne VPN laufen Firmendaten ungeschützt über das Internet. Über WLAN-Netze, die der Mitarbeiter nicht kontrolliert.
Das Problem: Viele KMU haben zwar ein VPN eingerichtet, aber es ist nicht verpflichtend. Mitarbeiter umgehen es, weil es langsam ist, sich ständig trennt oder „für die Cloud-Apps ja nicht nötig" sei. Genau das ist der Trugschluss.
Was Versicherer erwarten
- ✓ VPN-Pflicht für jeden Zugriff auf interne Ressourcen. Ohne Ausnahme
- ✓ Split-Tunneling deaktiviert oder zumindest streng kontrolliert (verhindert, dass Firmen- und Privatverkehr parallel laufen)
- ✓ Always-On-VPN: Die Verbindung baut sich automatisch auf, sobald das Gerät online geht. Der Mitarbeiter muss nichts aktiv tun
- ✓ Aktuelle VPN-Software mit zeitnahen Sicherheitsupdates. Veraltete VPN-Clients sind selbst eine Schwachstelle (siehe Ivanti, Fortinet, Cisco VPN-Exploits 2024/2025)
Moderne Zero-Trust-Lösungen wie Cloudflare Access, Zscaler oder Tailscale ersetzen klassische VPNs zunehmend durch identitätsbasierte Zugriffskontrolle. Vorteil: Kein vollständiger Netzwerkzugang, sondern nur Zugriff auf einzelne Anwendungen. Für KMU ab ca. 20 Mitarbeitern eine Überlegung wert. Und von vielen Versicherern positiv bewertet.
Risiko 2: Private Geräte ohne Kontrolle (BYOD)
Bring Your Own Device. Klingt modern und mitarbeiterfreundlich. In der Praxis bedeutet es: Firmendaten auf Geräten, die das Unternehmen weder verwaltet noch kontrolliert. Kein zentrales Patch-Management. Keine Festplattenverschlüsselung. Kein Endpoint-Detection-Agent. Dafür die gleichen Spiele und Apps, die auch die Kinder des Mitarbeiters nutzen.
Die typischen BYOD-Probleme
- ✗ Betriebssystem veraltet. Updates werden „später" installiert (oder nie)
- ✗ Kein Virenscanner oder nur der kostenlose Standard-Defender ohne zentrale Verwaltung
- ✗ Keine Festplattenverschlüsselung. Bei Diebstahl liegen Mandantendaten offen
- ✗ Firmendaten und private Daten auf dem gleichen Gerät, ohne Container-Lösung
- ✗ Bei Kündigung: Wie stellen Sie sicher, dass Firmendaten vom Privatgerät gelöscht werden?
Was Sie regeln müssen
- 1 BYOD-Policy schriftlich definieren: Mindestanforderungen an OS-Version, Verschlüsselung, Passwortschutz, Virenscanner
- 2 Mobile Device Management (MDM): Container-Lösung, die Firmendaten verschlüsselt und bei Bedarf remote löscht. Ohne Privates anzutasten
- 3 Alternative: Firmenhardware stellen. Teurer in der Anschaffung, aber einfacher zu verwalten, sicherer, und bei Versicherern klar bevorzugt
Die meisten Cyberversicherer fragen im Antrag explizit nach BYOD. Wer „Ja, mit Policy" ankreuzt, muss diese Policy im Schadenfall vorlegen. Wer „Ja, ohne Policy" ankreuzt, riskiert Aufschläge oder Ablehnung. Wer „Nein" ankreuzt, obwohl Mitarbeiter doch private Geräte nutzen, riskiert Obliegenheitsverletzung.
Risiko 3: Unsicheres Heim-WLAN
Der Heim-Router ist das Fundament jeder Homeoffice-Verbindung. Und gleichzeitig die am häufigsten vernachlässigte Schwachstelle. Viele Router laufen seit Jahren mit der Werks-Firmware, dem Standard-Passwort und aktiviertem WPS.
- ✓ WPA3 aktivieren (mindestens WPA2-Personal mit starkem Passwort). Das BSI empfiehlt WPA3 als aktuellen Standard
- ✓ Router-Firmware auf aktuellem Stand halten. Automatische Updates aktivieren, wo verfügbar
- ✓ Standard-Admin-Passwort des Routers ändern. „admin/admin" ist kein Schutz
- ✓ WPS deaktivieren. Die Komfort-Funktion ist ein bekannter Angriffsvektor
- ✓ Gäste-WLAN für IoT-Geräte nutzen. Smart-TV und Firmenlaptop gehören nicht ins gleiche Netz
Sie können und sollten Ihren Mitarbeitern eine WLAN-Sicherheits-Checkliste geben. Eine DIN-A4-Seite mit den fünf Punkten oben. Keine IT-Kenntnisse nötig, in 15 Minuten umsetzbar. Manche Unternehmen stellen ihren Homeoffice-Mitarbeitern einen vorkonfigurierten Router zur Verfügung. Das kostet ab 50 EUR und eliminiert das Problem komplett.
Risiko 4: Phishing im Remote-Kontext
Phishing ist der häufigste Angriffsvektor. Das gilt im Büro wie im Homeoffice. Aber im Homeoffice ist die Trefferquote höher. Warum?
- 1 Fehlende Rückfragemöglichkeit: Im Büro fragt man den Kollegen: „Hast du diese Mail auch bekommen?" Im Homeoffice klickt man alleine.
- 2 Vermischung von Kontext: Private E-Mails, Firmen-E-Mails, Teams-Nachrichten, SMS. Alles auf demselben Gerät. Die Aufmerksamkeit sinkt.
- 3 Neue Angriffsmuster: „Ihr VPN-Zugang läuft ab", „IT-Support: Bitte Passwort bestätigen", „Neues Homeoffice-Tool freigeschaltet". Phishing-Mails, die genau auf den Remote-Kontext zugeschnitten sind.
- 4 Weniger technische Filter: Im Büro-Netzwerk filtert der E-Mail-Gateway. Im Homeoffice fehlen DNS-Filter und Proxy-basierte Schutzmechanismen oft komplett.
Gegenmaßnahme: Regelmäßige Awareness-Schulungen, die explizit Remote-Szenarien abdecken. Nicht einmal im Jahr, sondern laufend. Mit simulierten Phishing-Mails und kurzem Feedback direkt nach dem Klick.
Risiko 5: Schatten-IT und unkontrollierte Cloud-Dienste
„Ich schick mir die Datei kurz über mein privates Google Drive.". „WhatsApp ist schneller als Teams.". „Ich hab mir ein Tool installiert, das die Zeiterfassung einfacher macht."
Im Homeoffice ist die Hemmschwelle niedriger, eigene Tools und Dienste zu nutzen. Oft ohne böse Absicht, aber mit gravierenden Konsequenzen. Firmendaten landen auf Servern, die niemand in der IT kennt. Es entstehen unkontrollierte Zugriffspunkte, die weder geloggt noch gesichert sind.
Die häufigsten Schatten-IT-Fallen
- ✗ Private Cloud-Speicher (Dropbox, Google Drive, iCloud) für Firmendokumente
- ✗ WhatsApp oder Telegram für geschäftliche Kommunikation. Inkl. Mandantendaten, Zugangsdaten, Fotos von Dokumenten
- ✗ Nicht genehmigte Browser-Extensions oder Produktivitäts-Tools mit Zugriff auf E-Mails und Dateien
- ✗ USB-Sticks zum Datentransfer zwischen privatem und Firmengerät. Unkontrolliert und unverschlüsselt
Schatten-IT ist nicht nur ein IT-Sicherheitsproblem, sondern ein DSGVO-Problem. Personenbezogene Daten auf nicht genehmigten Cloud-Diensten verstoßen gegen die Grundsätze der Datenverarbeitung. Im Ernstfall haftet das Unternehmen. Nicht der Mitarbeiter, der die Daten hochgeladen hat.
Was Cyberversicherer bei Remote-Arbeit prüfen
Cyberversicherer haben ihre Risikofragebögen in den letzten zwei Jahren massiv um Homeoffice-Fragen erweitert. Nicht zuletzt getrieben durch die NIS2-Richtlinie, die Unternehmen zu technischen und organisatorischen Sicherheitsmaßnahmen verpflichtet. Wer heute einen Antrag stellt, wird zu folgenden Punkten befragt:
| Frage im Risikofragebogen | Erwartete Antwort |
|---|---|
| Nutzen Mitarbeiter Remote-Zugriff auf das Firmennetzwerk? | Ja, ausschließlich über VPN mit MFA |
| Werden private Geräte für die Arbeit genutzt (BYOD)? | Nein oder Ja, mit dokumentierter BYOD-Policy und MDM |
| Ist auf allen Remote-Geräten eine Endpoint-Protection aktiv? | Ja, zentral verwaltet (EDR) |
| Werden Remote-Geräte in das Patch-Management einbezogen? | Ja, automatisiert |
| Gibt es eine Richtlinie für die Nutzung von Cloud-Diensten? | Ja, nur freigegebene Dienste erlaubt |
| Werden Mitarbeiter regelmäßig zu Remote-spezifischen Risiken geschult? | Ja, mindestens jährlich |
Jedes „Nein" oder „teilweise" erhöht die Prämie. Oder führt zur Ablehnung des Antrags. Und jede Zusicherung, die im Schadenfall nicht eingehalten wird, ist eine potenzielle Obliegenheitsverletzung.
Homeoffice-Sicherheit: Ihre Checkliste
Die gute Nachricht: Die meisten Maßnahmen sind mit überschaubarem Aufwand umsetzbar. Die folgende Checkliste priorisiert nach Wirkung und Versicherer-Relevanz.
| Maßnahme | Priorität | Aufwand |
|---|---|---|
| VPN-Pflicht mit Always-On-Konfiguration | Kritisch | 1-2 Tage |
| MFA für alle Remote-Zugänge und Cloud-Dienste | Kritisch | 1 Tag |
| Endpoint-Protection (EDR) auf allen Geräten | Kritisch | 1-3 Tage |
| Patch-Management für Remote-Geräte automatisieren | Kritisch | 1 Tag + laufend |
| BYOD-Policy definieren oder Firmenhardware stellen | Hoch | 2-5 Tage |
| Cloud-Richtlinie: Freigegebene Dienste festlegen | Hoch | 1 Tag |
| WLAN-Checkliste an Mitarbeiter verteilen | Hoch | 2 Stunden |
| Awareness-Schulung mit Remote-Szenarien | Hoch | 1 Tag + laufend |
| Festplattenverschlüsselung auf allen Geräten | Mittel | 1 Tag |
| Notfallplan für Remote-Szenarien erweitern | Mittel | 0,5 Tage |
Beginnen Sie mit den vier kritischen Maßnahmen. VPN, MFA, Endpoint-Protection und Patch-Management. Diese vier Punkte decken den Großteil der Remote-Angriffsvektoren ab und sind gleichzeitig die Punkte, die Versicherer als Erstes prüfen. Die weiteren Maßnahmen können Sie in den folgenden Wochen schrittweise umsetzen.
Was kostet Homeoffice-Sicherheit?
Die häufigste Ausrede: „Zu teuer." Die Realität: Die Kosten für grundlegende Homeoffice-Sicherheit sind ein Bruchteil des potenziellen Schadens. Und oft niedriger als erwartet.
| Maßnahme | Kosten (ca., pro Mitarbeiter/Monat) |
|---|---|
| VPN-Lösung (z. B. WireGuard, Tailscale, Fortinet) | 3-10 EUR |
| MFA-Tool (z. B. Microsoft Authenticator, Duo) | 0-3 EUR |
| EDR / Endpoint-Protection (z. B. SentinelOne, CrowdStrike) | 5-15 EUR |
| MDM für BYOD (z. B. Microsoft Intune, Jamf) | 5-10 EUR |
| Awareness-Training (z. B. KnowBe4, Hornetsecurity) | 3-5 EUR |
Rechenbeispiel: Ein Unternehmen mit 20 Homeoffice-Mitarbeitern investiert ca. 400-800 EUR pro Monat in grundlegende Remote-Sicherheit. Der durchschnittliche Schaden eines erfolgreichen Cyberangriffs auf ein KMU liegt laut Branchenberichten bei fünfstelligen bis sechsstelligen Beträgen. Die Rechnung ist eindeutig.
Wie gut Ihr Unternehmen aktuell auf eine Cyberversicherung vorbereitet ist, können Sie mit unserem kostenlosen Cyber-Risikocheck in 2 Minuten prüfen. 8 Fragen, Sofortergebnis, anonym.
Homeoffice ist keine vorübergehende Notlösung mehr. Es ist der neue Standard. Und mit ihm kommt eine Angriffsfläche, die viele KMU noch unterschätzen. Die gute Nachricht: Die fünf größten Risiken. Unsicheres VPN, unkontrollierte Geräte, schwaches WLAN, Remote-Phishing und Schatten-IT. Sind mit klaren Richtlinien und überschaubarem Budget beherrschbar. Wer sie ignoriert, riskiert nicht nur den nächsten Cyberangriff, sondern auch die Leistungskürzung seiner Cyberversicherung und die persönliche Haftung als Geschäftsführer. Wer sie angeht, schützt sein Unternehmen. Und wird von Versicherern mit besseren Konditionen belohnt.
Häufige Fragen zu Homeoffice & Cyberrisiken
Welche Cyberrisiken entstehen durch Homeoffice?
Die größten Risiken sind: ungesicherte Heim-WLANs, fehlende VPN-Verschlüsselung, private Geräte ohne Endpoint-Protection, erhöhte Phishing-Anfälligkeit durch fehlende persönliche Rückfragemöglichkeit, unkontrollierter Einsatz von Cloud-Diensten (Schatten-IT) sowie fehlende physische Zugangskontrollen. Remote-Zugänge gehören laut BSI zu den häufigsten Einfallstoren für Cyberangriffe auf KMU.
Deckt die Cyberversicherung auch Schäden im Homeoffice?
Grundsätzlich ja. Die meisten Cyberversicherungen decken Schäden unabhängig vom Arbeitsort. Voraussetzung ist allerdings, dass die im Vertrag zugesicherten Sicherheitsmaßnahmen auch im Homeoffice eingehalten werden: VPN-Pflicht, MFA, aktuelle Endpoint-Protection. Wird ein Angriff über einen ungesicherten Homeoffice-Zugang möglich, kann der Versicherer wegen Obliegenheitsverletzung die Leistung kürzen.
Was ist eine BYOD-Policy und warum brauche ich eine?
BYOD steht für „Bring Your Own Device". Mitarbeiter nutzen private Geräte für die Arbeit. Eine BYOD-Policy regelt verbindlich: Mindestanforderungen an die Geräte (OS-Version, Verschlüsselung, Virenscanner), Trennung von Firmen- und Privatdaten (Container-Lösung oder MDM), Verantwortlichkeiten für Updates und was bei Verlust oder Kündigung passiert. Ohne BYOD-Policy riskieren Sie unkontrollierte Zugriffspunkte. Und Versicherer werten das als Obliegenheitsverletzung.
Wie sichere ich Homeoffice-Arbeitsplätze richtig ab?
Die wichtigsten Maßnahmen: VPN-Pflicht für jeden Zugriff auf Firmenressourcen, MFA für alle Remote-Zugänge und Cloud-Dienste, EDR auf allen Geräten mit zentralem Management, automatisiertes Patch-Management auch für Remote-Geräte, WLAN-Sicherheitsrichtlinien, klare BYOD-Policy oder firmeneigene Hardware, regelmäßige Schulungen zu Remote-spezifischen Risiken sowie ein Notfallplan, der auch für Remote-Szenarien funktioniert.