So wird der heimische Arbeitsplatz zum Bollwerk gegen Cyber-Angreifer
Das eigene Zuhause als sichere Burg? Wenn die Bedrohung aus dem Internet kommt, fühlen sich viele Arbeitende nicht ausreichend geschützt. Für Arbeitgeber sollten dabei die Alarmglocken schrillen. Was tun, damit das Homeoffice nicht zum Einfallstor für Hacker wird?
Remote Work, Online-Shopping und Online-Banking – immer mehr Aspekte des Lebens finden digital statt. Doch mit der zunehmenden Digitalisierung steigen auch die Risiken für die IT-Sicherheit von Unternehmen deutlich. Immer wieder machen spektakuläre Malware-Attacken Schlagzeilen. In seinem Lagebericht für 2021 warnte das Bundesamt für Sicherheit in der Informationstechnik (BSI), dass die Situation „angespannt bis kritisch“ sei.
Welcher Homeworker weiß schon, was SIM Jacking oder SMiShing ist?
Zwar zeigt der Unisys Sicherheitsindex, dass 57 Prozent der Deutschen bereit sind, selbst die Verantwortung für die IT-Sicherheit und den Schutz sensibler Daten im Homeoffice zu übernehmen. In der Praxis wissen aber nur 15 Prozent der Befragten, an wen sie sich im Falle einer Cyberattacke wenden sollen. Von neueren Betrugsmaschen wie der SIM-Jacker-Methode, bei der Angreifer die SIM-Karte ihres Opfers kapern, haben gerade mal 12 Prozent gehört. Diese Wissenslücken nutzen Cyberkriminelle zu ihrem Vorteil aus. Kein Wunder also, dass sich 41 Prozent vor Hackerangriffen und Internet-Viren fürchten. Etwa 47 Prozent haben Angst, Opfer von Identitätsdiebstahl zu werden.
Faktor Mensch absichern
Die meisten Nutzer sind nicht absichtlich unvorsichtig oder ignorieren mutwillig die Sicherheitsvorgaben ihres Arbeitgebers. Das Problem liegt vielmehr darin, dass ihnen die Werkzeuge, das Wissen oder die Prozesse fehlen, um zur richtigen Zeit an der richtigen Stelle richtig zu reagieren. Arbeitgeber müssen Mitarbeitende daher unterstützen, die notwendigen Kompetenzen aufzubauen und mit regelmäßigen Schulungen auf dem Laufenden zu halten.
Außerdem sollte klar kommuniziert werden, dass simple Sicherheitsvorkehrungen, die im Büro gelten, auch im heimischen Arbeitszimmer befolgt werden müssen:
- Arbeitsgeräte immer sperren oder ausschalten, wenn man gerade nicht davor sitzt. Kein Unbefugter hat so die Möglichkeit – auch nicht versehentlich! – auf einen bösartigen Link oder eine Fake-Webseite zu klicken.
- Aufgepasst bei vertraulichen Gesprächen! Sind Smart Speaker oder digitale Assistenten in der Nähe, die unabsichtlich mittels Stimmerkennung aktiviert werden könnten? Besteht die Möglichkeit, dass Personen über ein offenes Fenster oder Balkontür zum Mithörer werden? Hier ist zu beachten, dass man mit Kopfhörern dazu neigt, insgesamt lauter zu sprechen.
- Diskretion ist auch beim Erstellen von Screenshots oder Fotos von Homeoffice- und Videokonferenzsitzungen geboten, vor allem wenn diese in den sozialen Medien veröffentlicht werden.
- Beim Freigeben von Dokumenten in Online-Meetings besser nur das betreffende Dokument oder die jeweilige Anwendung teilen, nicht den gesamten Desktop, um nicht versehentlich andere vertrauliche Informationen oder Nachrichten weiterzugeben.
Betrüger rechtzeitig entlarven
Phishing- und SMiShing-Betrügereien zielen darauf ab, dass eine E-Mail oder Textnachricht scheinbar von einer vertrauenswürdigen Person stammt. Wenn eine Mail in ihrer Tonalität ungewöhnlich erscheint oder übertrieben dringlich formuliert ist, sollte man über einen anderen Kanal mit dem Absender Kontakt aufnehmen, um zu überprüfen, ob die Nachricht echt ist. Wichtig ist,
dass keinerlei Zweifel bestehen, an welche Stelle sich die Mitarbeitenden im Ernstfall wenden können. Eine offene, positive Fehlerkultur verhindert außerdem, dass Sicherheitsvorfälle verschwiegen werden. Nur so ist es möglich, „Bad Actors“ oder Eindringlinge frühzeitig im Firmennetzwerk aufzuspüren und zu bekämpfen bevor sie größeren Schaden anrichten.
Sichere Verbindung auch im Homeoffice
Abgesehen vom menschlichen Faktor ist auch die technische Ausstattung vieler Remote-Arbeitsplätze weniger sicher als im Büro. Dabei lässt sich mit einigen wenigen Änderungen bereits viel erreichen. So sollten Mitarbeitende immer ein separates WLAN-Netz verwenden, wenn sie sich von zu Hause aus auf ihre Arbeitssysteme einloggen. Das lässt sich mit den meisten Routern problemlos einrichten. Wenn mehrere Personen zu Hause arbeiten, sollte jeder sein eigenes WLAN-Netz für die Arbeit haben.
Zuhause am besten in einem separaten WLAN-Netz arbeiten, das nur für die Arbeit genutzt wird.
Sicherer ist es auch, für die Verbindung mit intelligenten Geräten wie Smart-TV, Video-Türklingel oder Temperaturregler die Gast-Wi-Fi-Option des Routers nutzen. Dadurch wird verhindert, dass smarte IoT-Geräte und Apps als Zugriffsmöglichkeit auf den Computer oder die Systeme des Arbeitgebers missbraucht werden.
Transparenz und Aufklärung statt Kontrolle
Allein mit verstärkten Sicherheitsvorgaben oder gar Überwachungsmethoden gegen IT-Sicherheitslücken vorzugehen, wäre allerdings wenig zielführend. Denn wie der Unisys Sicherheitsindex zeigt, ist eine Mehrheit von fast zwei Dritteln (62 Prozent) gegen Kontrollen im Homeoffice durch die Erhebung von Login- und Logout-Daten. Gesichtserkennung als Zugangsschutz für den Rechner am heimischen Arbeitsplatz lehnen 86 Prozent der befragten Beschäftigten ab. Und 29 Prozent der Befragten möchten ihrem Arbeitgeber keinerlei Überwachungsmaßnahmen erlauben.
Stattdessen sind Transparenz und Aufklärung der Schlüssel, um zu erreichen, dass die Mitarbeitenden ihre Einstellung zur IT-Sicherheit und letztlich auch ihr Verhalten ändern. Wichtig ist zudem eine vertrauensvolle Arbeitsumgebung. Arbeitgeber sollten – wenn überhaupt – Kontrollen nur gezielt einsetzen und Monitoring-Maßnahmen immer offen und nachvollziehbar kommunizieren. Wenn sich jedoch Unternehmen und Anwender mit neuen Angriffsmustern vertraut machen und mit modernen Technologien schützen, eröffnen sich neue Perspektiven für ein sicheres und komfortables Arbeiten von überall aus.
Zero Trust schützt komplexe Cloud-Umgebungen
Mit dem vermehrten Arbeiten von zu Hause haben cloudbasierte Anwendungen und Plattformen zugenommen. Denn dank „As-a-Service-Lösungen“ sind Unternehmen besser in der Lage, flexibel auf dynamische Marktentwicklungen oder digitale Disruptionen zu reagieren. Mit Cloud Computing steigt aber auch die Komplexität. Umso wichtiger ist es, dass IT-Verantwortliche eine Cloud-First-Sicherheitsstrategie implementieren und insbesondere in schnelllebigen DevOps-Umgebungen die IT-Sicherheitsarchitektur eng mit der Cloud-Infrastruktur verknüpfen. Abgesicherte Perimeter müssen durch grundlegende Maßnahmen ergänzt werden, die den Schaden im Fall eines Eindringens zumindest begrenzen.
So sollten Endgeräte sowohl „on premise“ als auch in der Cloud getarnt werden, um Assets vor Hackern zu verstecken, die auf der Suche nach verwundbaren Zielen sind. Im Rahmen einer Zero-Trust-Strategie lassen sich hier sogenannte COIs (Communities of Interest) definieren, innerhalb derer auf Grundlage einer „Need to Know“-Basis Geräte definiert werden. Alle Geräte außerhalb einer bestimmten COI sind dabei immer komplett unsichtbar. Einem Angreifer steht auf diese Weise trotz erfolgreichem Login nicht gleich das komplette Netzwerk offen.
