Haben Sie Fragen?
Rufen Sie uns einfach an:
040 696985 - 0

Cyber-Risiken im Homeoffice

Wie Sie sich vor möglichen Cyber-Kriminellen im Homeoffice schützen können

Es ist eine Situation, mit der wohl keiner wirklich gerechnet hat: Nachdem das Corona-Virus, das die Krankheit COVID-19 auslöst, zu Beginn noch ganz weit entfernt schien, dauerte es nur wenige Wochen, bis auch Deutschland die ersten Krankheitsfälle verzeichnen musste. In Folge der immer weiter steigenden Zahl der infizierten Personen brach die Corona-Krise aus, die Deutschland in einen lange nicht mehr da gewesenen Zustand versetzte: leergekaufte Geschäfte, abgeriegelte Grenzen, abgesagte Veranstaltungen, geschlossene Restaurants, Schulen und Kitas. Auch die Arbeitgeber selbst ziehen Konsequenzen: Immer mehr Unternehmen schicken ihre Mitarbeiter ins Homeoffice, um sie und auch die Existenz des Unternehmens zu schützen. Das gilt nicht nur für Unternehmen, die das Homeoffice bereits in ihren Betrieb integriert haben, sondern vor allem auch für jene, für die die Arbeit von zu Hause absolutes Neuland ist. Doch mit dem Homeoffice kommen auch neue, wenn auch keine gesundheitsgefährdenden Risiken einher: die Vernachlässigung der Informationssicherheit. Denn auch, wenn die Gesundheit der Arbeitnehmer momentan an erster Stelle steht, darf die Informationssicherheit nicht außer Acht gelassen werden.

Bereits in der Vergangenheit spielten personelle Engpässe sowie die Besorgnis der Mitarbeiter Cyberkriminellen in die Hände. Das zeigte unter anderem die Schwachstelle in Citrix-Systemen (CVE-2019-19781), über die der Hersteller Mitte Dezember 2019 informierte. Der Zeitpunkt des Bekanntwerdens dieser Schwachstelle, die einem Angreifer den Zugriff auf interne Verzeichnisse ermöglichen kann, war vermutlich nicht zufällig: Es war kurz vor Weihnachten. Viele Mitarbeiter waren bereits im Weihnachtsurlaub und auch in der IT war die Besetzung in vielen Fällen überschaubar. Das Einspielen von Updates zu diesem Zeitpunkt stellte die Unternehmen vor große Herausforderungen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) meldete knapp 5.000 durch die oben genannte Schwachstelle verwundbare Systeme, die aus dem Internet erreichbar waren. Mitte Januar 2020, also etwa einen ganzen Monat später, waren noch immer etwa 1.500 dieser Systeme, trotz Kenntnis der Unternehmen, verwundbar. Angreifer hatten also viel Zeit, die Lücke für ihre Zwecke zu nutzen.

So perfide es ist: Auch die Corona-Krise begünstigt Angreifern das Erreichen ihrer Ziele. IT-Abteilungen sind nicht mehr voll besetzt und in vielen Fällen vollständig damit ausgelastet, ad-hoc sogenannte Remote-Arbeitsplätze einzurichten, um Mitarbeitern das Arbeiten von zu Hause aus zu ermöglichen. Die Umsetzung muss dabei jedoch wohl durchdacht sein, bestenfalls gibt es hierzu ein Konzept, das bei der Einrichtung zu berücksichtigen ist. Bedingt durch die Notlage, Heimarbeitsplätze derzeit möglichst kurzfristig zu schaffen, bleibt aber in vielen Fällen keine Zeit, Konzepte hinsichtlich Datenschutz und Informationssicherheit bei der Realisierung zu beachten oder gar zu erstellen. Wir nennen Ihnen daher ein paar grundlegende Aspekte, die bei der Einrichtung von Homeoffice für Ihre Mitarbeiter berücksichtigt werden sollten:

  1. Strategie „Homeoffice“

Welche Strategie (BYOD vs. CYOD vs. COPE) verfolgt Ihr Unternehmen für das Homeoffice? Abhängig von der gewählten Methode sind unterschiedliche Maßnahmen zu treffen.

  1. Regelungen

Schaffen Sie klare Regelungen, wie mit physischen Unterlagen im häuslichen Bereich verfahren werden soll. Insbesondere sind Datenschutzthemen dabei zu beachten. Auch die Entsorgung spielt eine wichtige Rolle.

  1. Virtual Private Network (VPN)

Nutzen Sie ein VPN mit Verschlüsselungen, die dem aktuellen Stand der Technik entsprechen (nachzulesen in der Technischen Richtlinie des BSI TR-02102).

  1. Aktualität der Software

Stellen Sie sicher, dass Sicherheitspatches bei Betriebssystemen und weiteren Softwareprodukten zeitnah installiert werden.

  1. Zugriff

Bewerten Sie für Ihr Unternehmen, ob der Zugriff mittels Benutzername/Passwort ausreichend ist. Gegebenenfalls ist der Einsatz einer Multi-Faktor-Authentifizierung (MFA) sinnvoller. Ebenso sollte sichergestellt sein, dass keine Unbefugten auf Dokumente oder dienstliche IT wie Notebooks zugreifen können. Hilfreich sind hierbei etwa abschließbare Rollcontainer oder ähnliches.

  1. Datensicherung

Es ist sicherzustellen, dass die Dateien, an denen Mitarbeiter von ihrem Heimarbeitsplatz arbeiten, ordnungsgemäß gesichert werden. Werden die Daten beispielsweise ausschließlich lokal auf den Laptops der Mitarbeiter gespeichert, sind diese nicht mehr verfügbar, wenn etwa die Festplatte einen Defekt erleidet. Sollten zur Datenspeicherung Cloud-Anbieter genutzt werden, sind noch weitere Aspekte zu berücksichtigen, beispielsweise der Datenschutz und die Sicherstellung der Datenvertraulichkeit.

  1. Ansprechpartner

Für das Homeoffice müssen Ansprechpartner festgelegt und kommuniziert werden. Dies gilt beispielsweise für den Verlust von Geräten oder Schwierigkeiten mit der Hard- und Software.

  1. Mitarbeiter-Awareness

Zu Hause sind Mitarbeiter den gleichen oder gar mehr Risiken ausgesetzt wie im Büro. Es ist daher umso wichtiger, dass diese ausreichend für das Thema Informationssicherheit sensibilisiert sind.

Explizit ist an dieser Stelle Punkt 8 der obigen Aufzählung zu betrachten: die Awareness der Mitarbeiter bezüglich der Informationssicherheit am Arbeitsplatz. Die Corona-Krise wird bereits auf diverse Arten von Cyberkriminellen dafür ausgenutzt, um daraus Profit zu schlagen, indem sie beispielsweise sensible Daten mittels gefälschter E-Mails abgreifen. Im Folgenden führen wir Ihnen einige der aktuell verbreiteten Betrugsmaschen vor.

Lesen Sie hier weiter…

 

IBS Schreiber GmbH

Anschrift
Zirkusweg 1
20359 Hamburg

+49 40 6969 85-0
+49 40 6969 85-31
info@ibs-schreiber.de

Audit & Consulting