Haben Sie Fragen?
Rufen Sie uns einfach an:
040 696985 - 0

Cyber-Risiken im Homeoffice

Wie Sie sich vor möglichen Cyber-Kriminellen im Homeoffice schützen können!

Es ist eine Situation, mit der wohl keiner wirklich gerechnet hat: Nachdem das Corona-Virus, das die Krankheit COVID-19 auslöst, zu Beginn noch ganz weit entfernt schien, dauerte es nur wenige Wochen, bis auch Deutschland die ersten Krankheitsfälle verzeichnen musste. In Folge der immer weiter steigenden Zahl der infizierten Personen brach die Corona-Krise aus, die Deutschland in einen lange nicht mehr da gewesenen Zustand versetzte: leergekaufte Geschäfte, abgeriegelte Grenzen, abgesagte Veranstaltungen, geschlossene Restaurants, Schulen und Kitas. Auch die Arbeitgeber selbst ziehen Konsequenzen: Immer mehr Unternehmen schicken ihre Mitarbeiter ins Homeoffice, um sie und auch die Existenz des Unternehmens zu schützen. Das gilt nicht nur für Unternehmen, die das Homeoffice bereits in ihren Betrieb integriert haben, sondern vor allem auch für jene, für die die Arbeit von zu Hause absolutes Neuland ist. Doch mit dem Homeoffice kommen auch neue, wenn auch keine gesundheitsgefährdenden Risiken einher: die Vernachlässigung der Informationssicherheit. Denn auch, wenn die Gesundheit der Arbeitnehmer momentan an erster Stelle steht, darf die Informationssicherheit nicht außer Acht gelassen werden.

Bereits in der Vergangenheit spielten personelle Engpässe sowie die Besorgnis der Mitarbeiter Cyberkriminellen in die Hände. Das zeigte unter anderem die Schwachstelle in Citrix-Systemen (CVE-2019-19781), über die der Hersteller Mitte Dezember 2019 informierte. Der Zeitpunkt des Bekanntwerdens dieser Schwachstelle, die einem Angreifer den Zugriff auf interne Verzeichnisse ermöglichen kann, war vermutlich nicht zufällig: Es war kurz vor Weihnachten. Viele Mitarbeiter waren bereits im Weihnachtsurlaub und auch in der IT war die Besetzung in vielen Fällen überschaubar. Das Einspielen von Updates zu diesem Zeitpunkt stellte die Unternehmen vor große Herausforderungen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) meldete knapp 5.000 durch die oben genannte Schwachstelle verwundbare Systeme, die aus dem Internet erreichbar waren. Mitte Januar 2020, also etwa einen ganzen Monat später, waren noch immer etwa 1.500 dieser Systeme, trotz Kenntnis der Unternehmen, verwundbar. Angreifer hatten also viel Zeit, die Lücke für ihre Zwecke zu nutzen.

So perfide es ist: Auch die Corona-Krise begünstigt Angreifern das Erreichen ihrer Ziele. IT-Abteilungen sind nicht mehr voll besetzt und in vielen Fällen vollständig damit ausgelastet, ad-hoc sogenannte Remote-Arbeitsplätze einzurichten, um Mitarbeitern das Arbeiten von zu Hause aus zu ermöglichen. Die Umsetzung muss dabei jedoch wohl durchdacht sein, bestenfalls gibt es hierzu ein Konzept, das bei der Einrichtung zu berücksichtigen ist. Bedingt durch die Notlage, Heimarbeitsplätze derzeit möglichst kurzfristig zu schaffen, bleibt aber in vielen Fällen keine Zeit, Konzepte hinsichtlich Datenschutz und Informationssicherheit bei der Realisierung zu beachten oder gar zu erstellen. Wir nennen Ihnen daher ein paar grundlegende Aspekte, die bei der Einrichtung von Homeoffice für Ihre Mitarbeiter berücksichtigt werden sollten:

  1. Strategie „Homeoffice“

Welche Strategie (BYOD vs. CYOD vs. COPE) verfolgt Ihr Unternehmen für das Homeoffice? Abhängig von der gewählten Methode sind unterschiedliche Maßnahmen zu treffen.

  1. Regelungen

Schaffen Sie klare Regelungen, wie mit physischen Unterlagen im häuslichen Bereich verfahren werden soll. Insbesondere sind Datenschutzthemen dabei zu beachten. Auch die Entsorgung spielt eine wichtige Rolle.

  1. Virtual Private Network (VPN)

Nutzen Sie ein VPN mit Verschlüsselungen, die dem aktuellen Stand der Technik entsprechen (nachzulesen in der Technischen Richtlinie des BSI TR-02102).

  1. Aktualität der Software

Stellen Sie sicher, dass Sicherheitspatches bei Betriebssystemen und weiteren Softwareprodukten zeitnah installiert werden.

  1. Zugriff

Bewerten Sie für Ihr Unternehmen, ob der Zugriff mittels Benutzername/Passwort ausreichend ist. Gegebenenfalls ist der Einsatz einer Multi-Faktor-Authentifizierung (MFA) sinnvoller. Ebenso sollte sichergestellt sein, dass keine Unbefugten auf Dokumente oder dienstliche IT wie Notebooks zugreifen können. Hilfreich sind hierbei etwa abschließbare Rollcontainer oder ähnliches.

  1. Datensicherung

Es ist sicherzustellen, dass die Dateien, an denen Mitarbeiter von ihrem Heimarbeitsplatz arbeiten, ordnungsgemäß gesichert werden. Werden die Daten beispielsweise ausschließlich lokal auf den Laptops der Mitarbeiter gespeichert, sind diese nicht mehr verfügbar, wenn etwa die Festplatte einen Defekt erleidet. Sollten zur Datenspeicherung Cloud-Anbieter genutzt werden, sind noch weitere Aspekte zu berücksichtigen, beispielsweise der Datenschutz und die Sicherstellung der Datenvertraulichkeit.

  1. Ansprechpartner

Für das Homeoffice müssen Ansprechpartner festgelegt und kommuniziert werden. Dies gilt beispielsweise für den Verlust von Geräten oder Schwierigkeiten mit der Hard- und Software.

  1. Mitarbeiter-Awareness

Zu Hause sind Mitarbeiter den gleichen oder gar mehr Risiken ausgesetzt wie im Büro. Es ist daher umso wichtiger, dass diese ausreichend für das Thema Informationssicherheit sensibilisiert sind.

Explizit ist an dieser Stelle Punkt 8 der obigen Aufzählung zu betrachten: die Awareness der Mitarbeiter bezüglich der Informationssicherheit am Arbeitsplatz. Die Corona-Krise wird bereits auf diverse Arten von Cyberkriminellen dafür ausgenutzt, um daraus Profit zu schlagen, indem sie beispielsweise sensible Daten mittels gefälschter E-Mails abgreifen. Im Folgenden führen wir Ihnen einige der aktuell verbreiteten Betrugsmaschen vor.

Fake-E-Mails

In Zeiten der Unsicherheit, bedingt durch die Corona-Krise, sind viele Menschen für jede weitere Information, die sie erhalten können, dankbar. Dieses Interesse wird missbraucht, um Menschen beispielsweise dazu zu bewegen, auf Links zu klicken, über die dann etwa Schadsoftware verteilt oder Daten abgegriffen werden können. Aktuell ist unter anderem eine E-Mail im Umlauf, die vorgibt, von der Weltgesundheitsorganisation (WHO) zu stammen, und aktuelle Informationen zum Schutz vor dem Corona-Virus enthält. Die Mail verleitet die Empfänger dazu, auf einen Link zu klicken. Die WHO hat hierzu unter https://www.who.int/about/communications/cyber-security Informationen veröffentlicht, welche Fake-Mails derzeit im Umlauf sind und wie eine „echte WHO-E-Mail“ zu erkennen ist.

Unechte Online-Shops

Bei einem anderen Betrugsfall werden Atemschutzmasken in Großpaketen auf hierfür erstellten „Online-Shops“ angeboten, die zunächst einen seriösen Eindruck machen und damit werben, dass erst nach Erhalt der Ware gezahlt werden muss. Die Ware wird jedoch niemals ankommen; der Online-Shop ist nur dazu da, um die Daten der bestellenden Personen abzugreifen und vermutlich weiterzuverkaufen.

Geldbetrug

In einem weiteren Fall versuchen Cyberkriminelle, sich an der Hilfsbereitschaft der Menschen zu bereichern: In einer Mail wird um eine Spende gebeten, die dabei helfen soll, einen Impfstoff zu finanzieren, der chinesische Kinder vor einer Corona-Infektion schützen soll. Die Bezahlung erfolgt dabei via Bitcoins. Aktuell gibt es jedoch keinen Impfstoff und vor 2021 wird mit diesem derzeit auch nicht gerechnet. Die Zahlung des Geldes landet daher mit großer Wahrscheinlichkeit in den Händen von Betrügern.

Frei zugängliche Videokonferenzen der bayerischen Regierung

Ein Paradebeispiel aus den vergangenen Tagen, das zeigt, wie wichtig die Berücksichtigung der Informationssicherheit auch in der aktuellen Situation ist, zeigt ein Fauxpas, der dem bayerischen Innenministerium unterlaufen ist. Deren Videokonferenzsystem war von außen ganz einfach erreichbar. So ist es gelungen, an einer Sitzung über die Corona-Krise zwischen dem bayerischen Innenminister, der Polizei und einem weiteren Stab teilzunehmen – von den anwesenden Parteien vollkommen unbemerkt und ungewollt. Die Lücke ist inzwischen behoben: Mittlerweile ist eine PIN notwendig, um an den Sitzungen teilzunehmen. Doch dieser Vorfall ist ein Beispiel für das, was auch im Homeoffice zu Tage treten kann: Sind die genutzten Systeme, bspw. Videokonferenzsysteme, die für das Homeoffice eine besondere Bedeutung haben, nicht genug abgesichert, ist es für unbefugte Dritte ein Leichtes, an vertrauliche Informationen zu gelangen.

Fazit

Während die Unternehmen also aktuell sehr darauf bedacht sind, ihre Mitarbeiter und die eigene Existenz zu schützen, dürfen sie die Sicherheit ihrer IT nicht unberücksichtigt lassen, denn diese ist nach wie vor ein wichtiger Bestandteil des Unternehmens. Um dies zu gewährleisten, sind technische und organisatorische Maßnahmen erforderlich. Als kleine Hilfestellung finden Sie am Ende des Artikels eine kleine Checkliste, was bei der Umsetzung von Homeoffice-Arbeitsplätzen zu berücksichtigen ist.

Wir sind für Sie da!

IBS lässt Sie in diesen Zeiten nicht allein: Wir unterstützen Sie

  • bei der Erstellung oder auch Prüfung Ihrer Homeoffice-Konzepte
  • bei der Gewährleistung der Awareness Ihrer Mitarbeiter
  • bei der Absicherung der Systeme, die ad-hoc von außen erreichbar sein müssen (beispielsweise mit einem Penetrationstest)
  • v.m.

Wir können diese Dienstleistungen aus der Ferne (remote) leisten. Ein physischer Kontakt ist nicht erforderlich.

Wir kümmern uns darum, dass Sie weiterhin ein angemessenes Informationssicherheitsniveau halten können. Sprechen Sie uns gerne unter sales@ibs-schreiber.de an!

Checkliste

  • Sind klare Regelungen für Homeoffice in Ihrem Unternehmen vorhanden?
  • Welche Homeoffice-Strategie verfolgt Ihr Unternehmen?
  • Werden Datenschutzaspekte beim Homeoffice mit berücksichtig?
  • Wird die VPN Infrastruktur regelmäßig auf Sicherheitslücken getestet? Beispielsweise durch einen Penetrationstest oder durch ein technisches Audit?
  • Ist eine Multi-Faktor-Authentifizierung am VPN-Gateway aktiviert?
  • Führt Ihr Unternehmen regelmäßig Sensibilisierungsmaßnahmen bzgl. Cyberangriffe durch?

 

 

IBS Schreiber GmbH

Anschrift
Zirkusweg 1
20359 Hamburg

+49 40 6969 85-0
+49 40 6969 85-31
info@ibs-schreiber.de

Audit & Consulting