Wer vor drei Jahren hin und wieder von zu Hause aus arbeitete, galt als Exot. Mittlerweile hat sich die Arbeitswelt jedoch um 180 Grad gedreht. Vielerorts ist das Homeoffice gekommen, um zu bleiben.
Nicht nur, weil sich damit die Infektionszahlen der Corona-Pandemie zumindest ein Stück weit bremsen lassen, sondern auch, weil viele die Vorteile dieser neuen Arbeitsform kennen und lieben gelernt haben: Kein Zeit-Verlieren im Stau mehr und kein Konzentrations-Tief im lauten Großraumbüro. Doch die neue Arbeitswelt hat auch ihre Tücken – vor allem wenn es um das Thema Cyber-Security geht.
Internetkriminalität steigt seit Jahren
Internetkriminalität, und die damit verbundene Cyber-Security, sind grundsätzlich keine neuen Themen – sie beschäftigen die Gesellschaft schon seit einigen Jahren. De facto steigt die Anzahl jener Menschen, die Opfer von Internetkriminalität werden, seit Jahren. So belief sich diese Zahl allein in Deutschland im Jahr 2019 auf 17,7 Millionen. Doch das Corona-Virus hat diese negative Entwicklung weiter beschleunigt – so bestätigt das FBI beispielsweise seit Ausbruch der Pandemie eine Zunahme von Cyber-Attacken um 400 Prozent. Und auch der Branchenverband Bitkom ist sich sicher, dass der Wechsel aufs mobile Arbeiten Angriffe von Kriminellen begünstigt hat. Das Paradoxe daran: Wohnungseinbrüche und Taschendiebstähle sinken hingegen. Bei genauerer Betrachtung ist dies allerdings nicht verwunderlich, denn durch die Tatsache, dass sich immer mehr Menschen zu Hause aufhalten, haben Kriminelle weniger Chance, Wohnungen unsicher zu machen oder Wertvolles zu entwenden.
Firmen hinken in puncto Cyber-Security nach
Doch Diebe ändern ihre Taktiken – und versuchen nun vermehrt digitale Schlupflöcher im Zusammenhang mit Homeoffice aufzuspüren, um sensible Unternehmensdaten oder geistiges Eigentum zu erbeuten. So werden etwa Daten mithilfe einer Schadsoftware verschlüsselt, Tastatureingaben mittels eines Keyloggers aufgezeichnet oder Phishing-Mails verschickt.
Zu den momentan drei weitverbreitetsten Risiken zählen:
- Phishing-Mails: E-Mails oder Websites enthalten manipulierte Links. Damit wollen Cyberkriminelle Menschen dazu bringen, Zugangsdaten oder sensible Informationen preiszugeben. Damit können sie sich in einem weiteren Schritt auf Plattformen einloggen und sich als das Opfer ausgeben.
- Ransomware: Cyberkriminelle setzen Schad-Software ein und verschlüsseln damit Festplatten. Oft fordern sie danach Lösegeld.
- Denial-of-Service-Angriffe: Cyberkriminelle bombardieren eine Website, einen Online-Shop oder andere digitale Dienste mit Unmengen an Zugriffen. Irgendwann ist das System überfordert und es kommt zu Betriebsstörungen.
Doch es sind nicht nur die immer wieder neuen Taktiken, sondern auch die Schnelligkeit, die Unternehmen zu schaffen macht. Firmen hinken in puncto Gegenmaßnahmen hinterher. Viele sind sich nach wie vor nicht darüber im Klaren, was alles passieren kann. So haben laut Jörg Asmussen, Hauptgeschäftsführer des GDV, unter Berufung auf eine Forsa-Umfrage unter jenen Unternehmen, in denen mobil gearbeitet wird, nur acht Prozent ihre Sicherheits- und Datenschutzregeln überarbeitet und nur sieben Prozent Geld in zusätzliche IT-Sicherheit investiert. Das sei jetzt – nach über zwei Jahren Pandemie – fahrlässig. Denn es dauert oft Tage bis IT-Spezialisten nach einer Cyberattacke wieder alle Systeme im Griff haben. Und die finanziellen Schäden klettern rasch in Milliardenhöhe. So schätzt Bitkom die Schadenssumme für die deutsche Wirtschaft im Zusammenhang mit Internetkriminalität etwa auf rund 223 Milliarden Euro jährlich.
Private Endgeräte spielen Dieben in die Hände
Langfingern wird ihr Handwerk noch durch weitere riskante Tatsachen erleichtert: So lässt etwa fast jeder zweite Betrieb zu, dass Mitarbeiter Aufgaben auf privaten Endgeräten erledigen, und knapp ein Drittel nutzt Whatsapp für berufliche Agenden. Fünf Prozent aller Unternehmen gaben sogar an, dass Angestellte ihre privaten E-Mail-Adressen für Berufliches nutzen. Doch private Hardware, E-Mail-Accounts und Netzwerke sind in der Regel viel leichter zu hacken und zu durchforsten. Und wurde erst einmal eine Sicherheitslücke ausfindig gemacht, so sind sensible Unternehmensdaten nur noch einen Katzensprung entfernt.
Risikofaktor Mitarbeiter
Und noch ein Faktor wird oft unterschätzt: die eigenen Mitarbeiter. Ein Drittel aller befragten Unternehmen hält das Team nicht ausreichend über Cyberrisiken auf dem Laufenden. Auch die Tatsache, dass viele Mitarbeiter Angst um ihre Jobs haben und sich dazu verleitet fühlen, wertvolle Unternehmensdaten zu horten, um sich im Falle einer Kündigung gewisse Vorteile zu verschaffen, spielt Kriminellen in die Hände. Ebenso fehlt der kontinuierliche Austausch: Wer beispielsweise im Großraumbüro sitzt und eine verdächtige E-Mail erhält, ist eher dazu verleitet, Kollegen diesbezüglich um Rat zu fragen, als allein zu Hause vor dem Bildschirm.
Cyber-Security ist essentiell
Um gewappnet zu sein, sind daher Vorkehrmaßnahmen essentiell. Zum Beispiel:
- Sensibilisierung: Die eigenen Mitarbeiter müssen für das Thema Internetkriminalität sensibilisiert werden und es sollten Verhaltensregeln für das gesamte Team erarbeitet werden. So ist es etwa ratsam, alle Unternehmensanwendungen nach jedem Bürotag zu schließen, den Cache regelmäßig zu leeren, Anmeldedaten im Web-Browser nicht individuell zu speichern und eine sichere Lösung zur Kennwortspeicherung für alle Arbeitnehmer bereitzustellen. Auch vor dem Ausfüllen von Anmeldeformularen sollte stets überprüft werden, ob es sich tatsächlich noch um die gewünschte Website handelt und nicht etwa um eine gefälschte Kopie. Insbesondere Rechtschreib- und Grammatikfehler oder eine veränderte URL-Struktur können Indizien hierfür sein. Ebenso dürfen verdächtige Phishing-Mails nicht geöffnet werden.
- Endgeräte: Berufliche Geräte, E-Mail-Accounts und Passwörter sollten nicht für private Zwecke genutzt werden und umgekehrt. Darüber hinaus ist es ratsam, Endgeräte in puncto Sicherheit zu überwachen und mit Anti-Viren-Software und Firewall zu arbeiten.
- Zugänge & Passwörter: Wichtig sind außerdem ein VPN-Zugang sowie ein sicheres WLAN. Hierzu gehören ebenso ein starkes Netzwerkpasswort sowie eine WPA2-Verschlüsselung. Wer mit vielen Accounts zu tun hat, sollte darüber hinaus auf eine Multi-Faktor-Authentifizierung setzen. Ein zusätzlicher Code oder eine biometrische Authentifizierung sind in jedem Fall hilfreich.
- Sicherheitsstrategie: Jedes Unternehmen sollte interne oder externe IT-Spezialisten ins Boot holen, die die gesamten Strukturen und Maßnahmen kontinuierlich im Blick haben und das Team im Umgang mit sensiblen Daten schulen. Hierzu gehört die Entwicklung einer IT-Sicherheitsstrategie und auch ein gutes Patch-Management. Das heißt: Betriebssysteme, Software etc. müssen immer auf dem neuesten Stand sein, Updates und Patches sofort eingespielt werden.
- Notfall-Szenario: Für den Ernstfall sollte ein Szenario ausgearbeitet werden, um zu analysieren, wie schnell und inwieweit sich das Unternehmen nach einer möglichen Cyberattacke wieder erholen kann. Hierzu gehört auch eine Backup-Strategie zur Datensicherung.