Noch nie wurden so viele Home-Office Arbeitsplätze so kurzfristig bereitgestellt wie aktuell aufgrund von Corona. Die Herausforderung für IT-Administratoren: Remote-Arbeit zu ermöglichen und gleichzeitig für die IT-Sicherheit des Unternehmens zu sorgen.
„Ein Großteil der Unternehmen steht aufgrund der kurzfristigen Home-Office-Einrichtungen vor der Entscheidung, entweder auf notwendige Cybersecurity-Maßnahmen zu verzichten oder den Betrieb in Gefahr zu bringen“, so Dariush Ansari, Geschäftsführer des IT-Sicherheitsspezialisten Network Box Deutschland GmbH. „Als Folge erlauben sie es ihren Mitarbeitern im Homeoffice aufgrund der Notsituation die sonst strengen Sicherheitsvorkehrungen zu lockern und sich leichter mit dem Firmennetzwerk zu verbinden.“
Sichere Verbindung durch VPN
Die sicherste Lösung für den Zugriff auf das Firmennetzwerk von außen ist eine Virtual-Private-Network-Verbindung (VPN). Über die verschlüsselte Verbindung kann der Mitarbeiter alle internen Anwendungen nutzen. Zusätzlich empfiehlt sich eine Multi-Faktor-Authentifizierung: bei der Anmeldung fordert diese neben Nutzername und Passwort eine weitere Absicherung wie einen zusätzlichen Code.
„Das Problem ist aktuell, dass die IT-Abteilungen und Systemhäuser nicht genügend Kapazitäten haben“, erklärt Ansari. Zudem habe nicht jeder Mitarbeiter, der die nächsten Wochen im Homeoffice arbeiten muss, auch ein firmeneigenes Notebook. Aufgrund des Zeitdrucks schalten viele die Systeme auch ohne VPN-Zugang für Mitarbeiter frei und erlauben die Nutzung von privaten Geräten, damit die Arbeit nicht zu lange lieben bleibt.
Und genau hier wittern Hacker ihre Chance: über den nicht ausreichend gesicherten privaten Laptop verschaffen sie sich mit Hilfe von Schadsoftware Zugang zum Firmennetzwerk und gelangen so an sensible Informationen oder Dateien.
Private und geschäftliche Gerätenutzung trennen
IT-Administratoren konfigurieren die firmeneigenen Notebooks so, dass Anhänge oder Dateien, die Schadsoftware enthalten könnten, vom Nutzer gar nicht erst geöffnet werden können. Auch eine Verschlüsselung der Festplatte lässt sich über eine Gruppenrichtlinie auf Windows-PCs verhindern und so das Notebook vor Schadsoftware schützen. Auf einem privaten Gerät hat der IT-Administrator diese Möglichkeiten leider nicht, da er keinen Zugriff darauf hat.
Daher empfiehlt es sich, im Homeoffice grundsätzlich keine privaten Geräte für geschäftliche Zwecke zu nutzen. Wenn es nicht anders möglich ist, sollten Mitarbeiter alle genutzten Programme auf den neuesten Stand bringen und den aktuellsten Virenschutz aufspielen. Verbindet sich ein Mitarbeiter mit dem Firmennetzwerk, sollten außerdem keine privaten Aktivitäten im Hintergrund laufen. Dazu gehört, keine privaten E-Mails zu checken, denn öffnet der Mitarbeiter einen infizierten E-Mail-Anhang, lädt dieser automatisiert Schadsoftware herunter, welche wiederum ins Firmennetzwerk gelangen können.
Vorsicht vor Phishern
„Phishing-Attacken mit Corona- und Covid-19-Bezug sind bereits im Umlauf“, so Ansari. Bei Klick auf den Anhang einer solchen Mail bietet auch eine verschlüsselte VPN-Verbindung keinen Schutz. Ein Virus auf dem privaten Computer kann problemlos durch den Tunnel ins Firmennetzwerk gelangen. Eine aktuelle Corona Phishing-Attacke zeigt eine Karte, die angeblich den Verbreitungsgrad des Virus grafisch darstellt. Beim Klick auf die Karte wird jedoch keine Covid-19-Karte angezeigt, sondern die Malware „AZURult” installiert. Die Schadsoftware stiehlt in Webbrowsern gespeicherte Informationen wie den Verlauf, Nutzername, Kennwörter, Kreditkarten-Informationen und andere sensible Daten.
Eine mögliche Lösung für dieses Problem sind sogenannte Zero-Trust-Modelle. Die Sicherheitskonzepte basieren auf dem Prinzip, dass ein Unternehmen keiner Transaktionsanfrage trauen sollte, egal ob sie von innerhalb des Unternehmens oder von außerhalb kommt. Jede Anfrage muss verifiziert werden, bevor der Zugang zu Daten gewährt wird.
6 Tipps für IT-Sicherheit im Home Office:
1) Keine Anhänge und Links in E-Mails von unbekannten Absendern öffnen
2) Keine privaten E-Mails auf dem Firmenrechner öffnen. Schadprogramme können sich trotz VPN in das Firmennetz übertragen
3) Bei Betreffzeilen zu Corona unbedingt die Absender-Domäne kontrollieren. Es kursieren bereits Phishing-Mails, die den Virus als Türöffner nutzen.
4) Vorsicht bei Anrufen! Krisenzeiten sind beliebt für Social Engineering Angriffe – gerne auch im Namen des Vorstandes. Keine Passwörter, Bankdaten oder persönliche Daten am Telefon preisgeben.
5) Bei Nutzung des privaten Notebooks unbedingt den aktuellen Virenschutz aktivieren.
6) Effektiver Schutz steht und fällt mit einem sicheren Passwort. Ein Passwortmanager kann hier helfen.