Home Office kann zum IT-Risiko werden. Die Ursachen reichen von Unwissen über alte Hardware bis zu uneinheitlichen Sicherheitsrichtlinien. Unternehmen stehen im eigenen Interesse in der Pflicht, Mitarbeiter auch zuhause sicher an die IT anzubinden.
Das Starten des Arbeitsrechners im Home Office stellt jahrelang gut eingeübte Sicherheitspraktiken auf den Kopf. Die Folge: Noch während sich Mitarbeiter den Schlaf aus den Augen reiben, werden sie mit trickreichen Phishing-Versuchen und skrupelloser Ransomware konfrontiert. Und es kommt noch schlimmer: Kundengeheimnisse und andere sensible Daten werden hemmungslos aus dem ungesicherten Heimnetzwerk hin- und her geschickt, obgleich die Schutzmaßnahmen oft nur auf Antivirus und vielleicht ein VPN begrenzt sind. All dies entspricht keinesfalls den Sicherheitsanforderungen moderner Unternehmen, die nun erkennen, dass sie auch mit in der Pflicht sind, zahlreiche Cybersicherheitslücken am Heimarbeitsplatz zu schließen. Ein Teil der Lösung besteht in der Einführung branchenweiter Sicherheitsstandards für Remote Work. Das ist jedoch eine eher langfristige Angelegenheit, bei der Unternehmen kaum mitarbeiten können und auf zukünftige Produkte und Dienste warten müssen. Es gibt aber auch schneller umsetzbare Maßnahmen, mit denen Betriebe die Sicherheit ihrer Angestellten zuhause erhöhen können.
1. Mitarbeiterschulungen
Eine Vielzahl der größten Sicherheitsprobleme könnten schnell und ohne große Investitionen durch Mitarbeiterschulungen gelöst werden, bei denen etwa die IT-Administration oder Human Resource das Personal im Detail über die Gefahren von Phishing-E-Mails und des modernen Smart Homes aufklären. E-Mail-Kampagnen mit böswilliger Absicht sind allgegenwärtig und zielen die auf die Kompromittierung von Geschäfts-E-Mails ab Dabei ist Phishing generell das gravierendste Problem, dem Anwender ausgesetzt sind.. 86 Prozent aller Unternehmen geben an, dass diese Angriffe zunehmen. Beunruhigend in diesem Zusammenhang ist, dass 43 Prozent aller Mitarbeiter nicht einmal genau wissen, was ein Phishing-Angriff überhaupt ist. Aber auch die Risiken des Heimnetzwerks werden allgemein unterschätzt und man sollte über diese im Detail aufklären.
2. Sicherheit des Heimnetzwerks erhöhen
Eine Studie des Fraunhofer-Instituts aus dem Jahr 2020 ergab, dass es um die Sicherheit bei Heim-Routern nicht gut steht. Von den 127 analysierten Routern erhielten 45 im vergangenen Jahr keine Updates und viele waren mit hunderten Schwachstellen versehen. 22 Router wurden sogar seit zwei Jahren nicht aktualisiert und ein Gerät hatte bereits seit fünf Jahren kein Update erhalten. Derartige Router sind in vielen Haushalten jedoch weit verbreitet. Sie sollen nun für die Sicherheit der Heimarbeiter sorgen, die sich von zuhause aus mit der Unternehmensinfrastruktur verbinden? Im gleichen Netzwerk übrigens, dass darüber hinaus auch viele andere Geräte beheimatet, inklusive vieler unsicherer IoT-Geräte.
Telemetriedaten von Bitdefender zeigen hier die häufigsten Schwachstellen in Privathaushalten auf: Dazu gehören NAS-Geräte, Media-Player, Smart-TVs, IP-Kameras, Router, Streaming-Hardware und Heimüberwachungsgeräte. Da es mittlerweile in jedem Haushalt eine Vielzahl solcher intelligenten Geräte gibt, beherbergen sie auch eine Vielzahl an Sicherheitslücken. Somit befinden sich normalerweise gut abgesicherte Arbeitsrechner innerhalb eines Netzwerks in gefährlicher Nachbarschaft, da sie über „laterale Bewegungen“ angegriffen werden können. Auch „Buffer Overflow“-Schwachstellen und Denial of Service-Angriffe sind weit verbreitet, die zusammen mit Memory Corruption und erweiterten Privilegien ein Viertel aller Schwachstellen der von Bitdefender überwachten IoT-Geräte darstellen. Die einzige Möglichkeit solche Schwachstellen zu finden und möglicherweise zu entschärfen, stellt eine Endpunkt-Risikoanalyse dar.
Die Sicherheit von Heimnetzwerken lässt sich generell auch erhöhen, wenn moderne Router mit implementierten leistungsstarken Sicherheitslösung genutzt werden.
3. Fehlkonfigurationen auf Unternehmensebene verbessern
Aber nicht alle Risiken gehen auf die Kappe von Mitarbeitern und ihre privaten Heimnetzwerke. Fehlkonfigurationen auf Unternehmensebene stellen eine weitere Gefahr dar. Oftmals sind Sicherheitsrichtlinien der IT-Administration verwirrend und nicht einheitlich und lassen etwa unsichere Remote Desktop-Sitzungen (RDP) oder das Ausführen von Makros zu. Beides sind wichtige Einfallstore für Hacker. Telemetriedaten von Bitdefender legen nahe, dass sich Angreifer in 27 Prozent aller Fälle über Fehlkonfigurationen an den Endpunkten Zugang verschaffen. Probleme im Zusammenhang mit Konten und dem Speichern und Verwalten der dazugehörigen Passwörter verursachen am häufigsten Schwierigkeiten – allerdings dicht gefolgt von den Internet-Einstellungen.
Fazit: Mit wenigen Maßnahmen lässt sich die Sicherheit im Home Office erhöhen.
Endpoint-Security-Lösungen und VPN galten bisher als ausreichend, um Mitarbeiter außerhalb des Büros abzusichern. Nach einem Jahr Arbeit von zuhause hat sich gezeigt, dass die Gefahren für die Unternehmen deutlich gestiegen sind. Es kann von ungeschulten Mitarbeitern nicht erwartet werden, komplexe Sicherheitsproblematiken zu verstehen und entsprechend sicher an die IT-Infrastruktur angebunden zu sein. Betriebe stehen im eigenem Interesse und in Ausübung ihrer Fürsorgepflicht vor der Aufgabe, die IT-Sicherheit ihrer Belegschaft im Home Office zu fördern. Es lassen sich wohl nicht sämtliche Probleme über Nacht lösen, aber schon mit nur wenigen einfachen Maßnahmen lässt sich die Sicherheit von Mitarbeitern in den eigenen vier Wänden auch kurzfristig erhöhen.
Möglichkeiten, das Arbeiten von Zuhause aus sicherer zu machen:
Kurzfristige Maßnahmen
- Mitarbeiterschulungen über die Gefahren von Phishing-E-Mails und des modernen Smart Homes planen und umsetzen.
- Alte Heim-Router durch neue, mit implementierten Sicherheitslösungen ausgestattete Geräte ersetzen.
- Eine Endpunkt-Risikoanalyse im Home Office durchführen.
- Sicherheitsrichtlinien auf Unternehmensebene klar formulieren und vereinheitlichen.
- Unsichere Remote Desktop-Sitzungen (RDP) und das Ausführen von Makros verbieten.
Langfristige Maßnahmen
Entwicklung branchenweiter Sicherheitsstandards im Auge behalten und so schnell wie möglich im Unternehmen umsetzen, sobald sie marktreif sind.