Auch infolge der Pandemie ist der Heimarbeitsplatz selbstverständlicher geworden: Inzwischen lassen viele Unternehmen und Institutionen ihre Angestellten zumindest tageweise von zu Hause arbeiten. Dies birgt jedoch erhebliche Risiken, schlimmstenfalls bis hin zur persönlichen Haftung der Unternehmensleitung im Schadenfall.
Da sich verständlicherweise in den eigenen vier Wänden private und berufliche Nutzung miteinander vermischen, öffnen sich leicht die Türen für Cyber-Kriminelle, um große Schäden zu verursachen – oft ohne dass die Betroffenen dies mitbekommen. Entsprechend unerlässlich sind deshalb Sicherheitsmaßnahmen auch für Heimarbeitsplätze, um Internetkriminalität wirksam entgegenzutreten, etwa Angriffen mit Ransomware. Hierbei geht es jedoch nicht nur um die Beschäftigten – sondern auch um die mit im Haushalt lebenden Familienmitglieder.
Home-Office: verlockende Einladung für Cyber-Kriminelle
Längst haben die meisten Unternehmen die vielfältigen Vorteile des Home-Office erkannt; auch ein Großteil der Angestellten möchte gern wenigstens ab und zu die Möglichkeit der Heimarbeit nutzen können. Doch dies geht mit entsprechenden Gefahren einher: Schlecht geschützte PCs oder unbedachtes Internetsurfen laden Online-Kriminelle geradezu ein. Sind sie erst einmal in den Home-Office-Rechner eingedrungen, ist die VPN-Verbindung ein leichtes Opfer – und dann das Tor direkt ins Unternehmen.
In der Firma oder zu Hause: Unberechtigter Zugriff auf Daten eines Unternehmens kann zu erheblichen finanziellen Schäden führen – ob durch Datendiebstahl oder Erpressung über Ransomware-Angriffe, bei denen Unternehmensdaten verschlüsselt und ruinöse Lösegelder für die Freigabe gefordert werden. Noch schlimmer wird es, wenn die Angreifer in interne Systeme oder gar in die von Partnern eindringen können: Bekannt als Double bzw. Triple Extortion (doppelte/dreifache Erpressung), wachsen hier die Gesamtforderungen entsprechend horrend an. Dabei gehen die Angreifer meist so vor, dass die gehackten Angestellten erst einmal nichts mitbekommen – damit sie sich weiter in Sicherheit wiegen, ganz normal mit dem Netzwerk ihres Unternehmens verbinden und so den Weg für den Angriff freimachen.
Auch wenn die meisten, die von zu Hause arbeiten, Erklärungen zu den Sicherheitsvorkehrungen bei der digitalen Arbeit außerhalb ihres Büros unterzeichnet haben; auch wenn diese Erklärungen den Zugriff Dritter auf die firmeneigene IT-Technik meist strikt untersagen: Eine Garantie ist das nicht, erst recht mit Nachwuchs im gleichen Haushalt. Umso wichtiger ist es, dass auch die Kids lernen, sich online sicher zu verhalten.
Oft unbemerkt: Online-Gefahren
Zu den Risiken, die besonders bei der vermischten privaten und beruflichen PC-Nutzung zu Hause drohen, zählen etwa:
- Datenklau – mit Verlust oder noch schlimmer illegaler Veröffentlichung: z. B. bei Kundendaten oder Firmengeheimnissen ein Desaster.
- Schadsoftware, die auf den PC gelangt, wenn infizierte Dateien heruntergeladen werden, z. B. Bilder, Musik, Spiele oder Material für Schulaufgaben.
- Driveby-Downloads, die schon beim bloßen Besuch infizierter Internetseiten Schadsoftware auf dem betreffenden Rechner ablegen.
All dies geschieht oft unbemerkt, z. B. wenn die Angreifer einen „Persistent Thread“ („anhaltende Bedrohung“) auf dem Rechner platzieren – diesen nutzen sie, um erst später loszuschlagen und z. B. auf das Unternehmensnetzwerk zuzugreifen. Zuweilen werden auch in einem ersten Angriff lediglich Daten abgezogen, um damit eine spätere und vor allem größere Attacke vorzubereiten.
Was tun für mehr Sicherheit im Home-Office?
Die Bedrohungen sind nicht neu – dementsprechend haben sich bereits verschiedene Maßnahmen bewährt, um Unternehmens-IT und -Daten besser zu schützen:
1. Neue Risikobewertung
„New Work“: Neue Arbeitsmodelle machen es absolut notwendig, die Informationssicherheits-Risiken neu zu bewerten. Neue Arbeitsplätze und -umstände bedingen neue Gefahren, die unbedingt erfasst, analysiert und bewertet werden müssen; einzelne Bedrohungen können mit erprobten Mitteln deutlich reduziert werden. Schlussendlich geht es darum, Risiko-Toleranz (was darf gerade noch passieren, ohne dass das Unternehmen ruiniert wird) und Risiko-Akzeptanz (womit rechnet das Unternehmen bewusst) optimal auszubalancieren.
2. Organisatorische Schutzmaßnahmen
Die Risikobewertung ist der erste, die organisatorischen Schutzmaßnahmen sind der zweite Schritt auf dem Weg zum cyber-sichereren Home-Office. So sind alle Sicherheitsrichtlinien immer wieder zu überprüfen und ggf. anzugleichen. Tauchen neue Angriffsstrategien auf, gilt es, die Angestellten entsprechend aufzuklären, zu schulen und zu sensibilisieren. In Bezug auf den Nachwuchs im Haushalt etwa seien hier das „Social Engineering“ genannt, bei dem Cyber-Kriminelle geschickt das Vertrauen der Kinder erschleichen, oder das „Shoulder Surfing“, bei dem Zugangsdaten ausgespäht werden. Hierbei werden die arglosen Kids als Boten genutzt, um gänzlich unbemerkt an die jeweiligen Informationen zu kommen – so kann es passieren, dass das eigene Kind plötzlich zum Erpressungsopfer wird. Es liegt also auf der Hand, dass strikte Sicherheitsbestimmungen, -maßnahmen und deren ebenso strikte Einhaltung für den heimischen Arbeitsplatz unabdingbar sind; darunter Bildschirmsperren (Lockscreens) und Einschränkungen, z. B. das Verbot, im öffentlichen Raum oder Nahverkehr zu arbeiten.
3. Aufklärung und Sensibilisierung
Ziel ist es, Security Awareness und Sensibilität gegenüber möglichen Gefahren besonders im Home-Office zu schaffen: Dabei hilft das auch in vielen anderen Bereichen bewährte Mittel der Schulung – sowohl der Angestellten als auch des Managements. Denn mit einem geschärften Bewusstsein als Basis lässt sich vielen Risiken wirksam vorbeugen.
4. Technische Schutzmaßnahmen
Technische Möglichkeiten gilt es selbstverständlich ebenfalls auszunutzen, um das Home-Office sicherer zu machen. So sollten Schutzziele und -niveau der verwendeten Technik angehoben werden. Hier stehen verschiedene Sicherheitsanwendungen bereit, etwa Endpoint Detection and Response (EDR), WebProxy und Mailgateway. Verhalten und übliche Aktivitäten der Nutzer bestimmen dabei die Ausgestaltung der Maßnahmen – so sind etwa Internet und Surfen, Mail und End-User-Computing (Plattformen und Systeme, auf/mit denen auch Nicht-IT-Affine arbeiten können) relevant.
Fazit: IT-Sicherheitsstrategie mit allen Beteiligten – vom Unternehmen bis zum Angestellten-Nachwuchs
Um wirklich sicherzugehen und den erheblichen potenziellen Gefahren entgegenzutreten, sollten Organisationen bei ihrer Home-Office-Sicherheitsstrategie unbedingt auch die mit im Haushalt lebenden Angehörigen ihrer Angestellten als Faktoren mitdenken – vor allem Kinder und Jugendliche. Dazu sollten die Verantwortlichen im Unternehmen zum einen deutlich informieren und aufklären, bestenfalls klare Handlungsanweisungen ausgeben, zum anderen über die Sicherheitsstrategie jederzeit garantieren, dass alle Daten kontinuierlich sicher geschützt und verfügbar bleiben und die Informationssicherheits-Schutzziele jederzeit erreicht werden.