Die anhaltende Corona-Krise führt dazu, dass weiterhin viele Beschäftigte weltweit im Home-Office arbeiten. Ein durchaus sinnvolles Modell, das auch hierzulande viele Unternehmen nach der Krise beibehalten möchten.
„Die IT-Sicherheit darf dabei auf keinen Fall vernachlässigt werden. Sie ist und bleibt Chefsache, auch im Home-Office“, mahnt Patrycja Schrenk, Geschäftsführerin der PSW GROUP.
Nicht ohne Grund, denn Cyberattacken auf Unternehmen nehmen ununterbrochen zu und die Home-Office-Situation hat die Bedrohungslage weiter verschärft. So steigt laut aktuellem Lagebericht des BKA die Anzahl der Cybercrime-Fälle, während die Aufklärungsquote sinkt. Die Sonderauswertung „Cybercrime in Zeiten der COVID-19-Pandemie“ belegt beispielsweise, dass zwischen März und August 2020 etliche Websites dadurch auffielen, vermeintliche Informationen oder Beratungen zur Corona-Soforthilfe anzubieten. Die Sites zeigten sich häufig angelehnt an die Web-Präsenzen staatlicher Stellen und wirkten echt. Wer jedoch die Schaltflächen dieser Fake-Websites anklickte, fing sich Malware ein. Auch das E-Mail-Phishing mit Corona-Soforthilfen bescherte Cyberkriminellen hohe Erfolgsraten: Getäuschte Nutzer öffneten E-Mail Anhänge oder klickten auf Links und infizierten ihre Rechner mit Schadsoftware. „Angesichts der fortschreitenden Digitalisierung gehen wir davon aus, dass sich auch die Bedrohungen weiterentwickeln und rechnen mit einer steigenden Anzahl an Angriffen sowie einer steigenden Qualität dieser Angriffe“, so Patrycja Schrenk.
Der Trend zum Home-Office verschärft die Bedrohungslage: Wie aus einer Zero-Trust-Studie des US-amerikanischen Anbieters von Traffic Visibility Lösungen, Gigamon, hervorgeht, erklärten 84 Prozent der befragten IT-Entscheider aus Deutschland, England und Frankreich, dass durch die Arbeit im Home-Office IT-Sicherheitsbedrohungen zugenommen haben: So waren beispielsweise ein Drittel der Befragten von Verletzungen der Datensicherheit und 44 Prozent von einem Anstieg der Phishing-Versuche betroffen. Über die Hälfte der Befragten erklärte zudem, dass das Arbeiten im Home-Office durch unsichere Endgeräte anfälliger geworden sei.
„Der erste Lockdown versetzte viele Unternehmen in die unschöne Lage, zügig reagieren zu müssen. In der Folge waren zahlreiche Home-Office-Arbeitsplätze schutzlos und boten zahlreiche Sicherheitslücken. Glücklicherweise lernten viele Unternehmen bereits aus diesen Fehlern und es ist gelungen, ein positives Investitionsklima für die IT-Sicherheit zu schaffen. Wir stellen zudem fest, dass auch die Beschäftigten bereit sind, in Sachen IT-Sicherheit mitzuziehen. Dafür möchten und müssen sie jedoch geschult werden, denn Security Awareness ist einer der relevantesten Faktoren für eine effiziente IT-Sicherheit im Home-Office“, so Patrycja Schrenk. Die IT-Sicherheitsexpertin betont die Relevanz: „Cyberkriminelle zielen immer auf das schwächste Glied der Kette. In diesem Falle den Heimarbeiter. Damit ist und bleibt der Mensch der größte Sicherheitsfaktor und es müssen Konzepte geschaffen werden, die diese Tatsache berücksichtigen. Denn oftmals werden massive Schäden von winzigen Schädlingen ausgelöst, was durch einen sensiblen Umgang hätte vermieden werden können.“
Mit diesen Maßnahmen lassen sich IT-Risiken im Home-Office minimieren und gleichzeitig die Sicherheit erhöhen:
Wer seine Beschäftigten ins Home-Office schickt, muss auch für ihre Standardausstattung sorgen, damit keine privaten Endgeräte genutzt werden müssen. Dazu gehören auch Sicherheitslizenzen für die Anti-Viren Suite sowie die Implementierung einer Firewall. „Auf jedes Endgerät gehört eine Endpoint Security-Lösung, die kontinuierlich aktualisiert wird. Idealerweise verfügt die Sicherheitssoftware über eine Anti-Phishing-Funktionen, die nicht nur Daten schützt, sondern Sicherheitsrisiken erheblich reduziert“, konkretisiert Schrenk und empfiehlt: „Die Entwicklung einer Sicherheitsleitlinie, die neben Standards für die Sicherheits-Software und Hardware auch Verhaltensregeln zu Dos und Don’ts definiert, wie beispielsweise, Updates und Patches zeitnah, idealerweise automatisiert, einzuspielen, kann ich jedem Unternehmen nur dringend ans Herz legen.“ Diese Leitlinie sollte dann auch den Punkt „Datensicherung“ beinhalten: Insbesondere Backups sollten regelmäßig in festen Intervallen außerhalb des Firmennetzwerks durchgeführt werden.“ Ein Cloud-Server bietet sich genauso an wie eine externe Festplatte. Im Falle eines Cyberangriffs gelingt durch das Backup der Daten die Wiederherstellung mühelos“, informiert Schrenk.
Apropos Cloud: Wer Cloud-Services einsetzt, muss auch diese zwingend vor unbefugten Zugriffen schützen. Per Rechtemanagement können beispielsweise die Mitarbeiter nur auf jene Inhalte zugreifen, die sie für ihre Arbeit auch benötigen. „Auf die Vergabe sicherer Passwörter sollten Unternehmen bestehen und dies zum Inhalt ihrer Sicherheitsleitlinie machen“, ergänzt Schrenk. Zudem sollten die Kollegen im Home-Office bei der Einrichtung eines sicheren WLANs und Netzwerkes unterstützt werden. „Technische Sicherheitsmaßnahmen allein nützen jedoch wenig, wenn die Mitarbeiter nicht wissen, wie sie E-Mail-Anwendungen sicher nutzen, mit Patches und Updates umgehen oder wie sie Videokonferenzen sicher in den Alltag einbinden. Die Bedrohungslandschaft wächst, also muss auch das Wissen wachsen, das sich diesen Bedrohungen entgegenstellt. Deshalb sind Sicherheitsrichtlinien und Awareness-Schulungen von enormer Wichtigkeit für die IT-Sicherheit“, betont Patrycja Schrenk.
www.psw-group.de