Am Mostpfuhl 11, 12529 Berlin

Einfallstor Homeoffice

Einleitung

Im Jahr 2020 ist der digitale Arbeitsplatz längst Alltag geworden. Mobile Endgeräte wie PC, Laptop und Smartphone werden für die Erledigung der Arbeitsaufgaben genutzt, und die Arbeitsprozesse dadurch optimiert. Welche Auswirkungen und Risiken resultieren, wenn die Mitarbeiter im Homeoffice tätig werden?  

Der Einsatz privater Endgeräte im Job war schon vor der Corona-Pandemie ein Trend. Durch die CoronaPandemie und einhergehenden staatlichen Schutzverordnungen heißt es jetzt in vielen Unternehmen „Home-Office“ und BYOD (Bring your own device)Der Schutz der Daten und die Einhaltung der EU-DSGVO liegt aber dennoch in der Verantwortlichkeit des Unternehmens. Es gibt viele Angriffspunkte auf Mitarbeiter, die im Home-Office Tätig sind, wohlmöglich mehr als im Büro. Auf einige dieser bereits bekannten und neu entstandenen Risiken gehen wir nun im Folgenden ein: 

Arbeitsplatz

Der Platz Zuhause ist meist limitiert und das WLAN-Signal nicht überall gleich stark. Insbesondere dann, wenn die ganze Familie Zuhause ist, entstehen einige Gefahren. Notebooks und Mobiltelefone können durch spielende Kinder, umfallende Getränke oder Speisereste beschädigt werden. Neugierige Kinder versuchen sich gerne an den Geräten der Eltern. Löschen wohlmöglich wichtige Daten oder drucken sie versehentlich aus. Der Arbeitsplatz an sich birgt mit seinen lokalen Gegebenheiten einen variablen Risikofaktor.  

Hardware

Wenn die Mitarbeiter die Integrität der eigenen für die Arbeit genutzten Endgeräte aufs Spiel setzen, ist dies für den Betrieb augenscheinlich keine große Gefahr. Speichermedien, wie externe Festplatten und USB-Sticks können sensible Daten enthalten. Durch den Verlust oder Diebstahl eines oder mehrere dieser Medien könnten wohlmöglich Dritte auf diese Daten zugreifen. Das könnte durchaus zu weitreichenden Konsequenzen führen.  

Beim dezentralen Arbeiten im Home-Office sind USB-Speichergeräte sehr praktisch, wenn es um die Weitergabe und das Speichern von großen Datenmengen geht. Das Einschleusen von Malware über externe Datenträger auf einen Rechner ist ein ubiquitäres Problem. Häufig kommen dabei Sticks zum Einsatz, deren Ursprung nicht bekannt ist. Grundsätzlich sollten daher unbekannte (Speicher)Geräte nicht an den Rechner angeschlossen werden.  

Cloud

Eine enorme Erleichterung für das dezentrale Arbeiten bieten die Cloud-Anwendungen und Collaboration-Dienste. Die Mehrzahl dieser Anbieter haben Ihren Sitz im Ausland und niedrigere Schutzmechanismen, als die Sicherheitsanforderungen der meisten Unternehmen verlangen. Hinzu kommt, dass die gesetzlichen Regelungen im Ausland mit der Unsrigen stark divergieren können. So ist der „Clarifying Lawful Overseas Use of Data Act“welcher am 23.03.2018 vom “115th United States Congress“ verabschiedet wurde mit der EU-DSGVO nicht vereinbar. Es können Datenspionage und Compliance-Verletzungen drohen 

Hacker

Mit einer Flut an Phishing-E-Mails, neu entwickelter Malware und gefälschten Informationen versuchen sie, aus der Krise Kapital zu schlagen. Die Angriffspunkte sind vielseitig. Jedes mögliche Einfallstor wird genutzt: E-Mail-Anwendungen, Passwörter, gefälschte Websites, Grafiken, WLAN-Zugang (Router), VideokonferenzenOnlinetelefonate, Ausnutzen von Updates und Patchversäumnisse. Auch der Mensch als natürliche Person ist ein Angriffsziel (Social Engineering). 

Im Juni 2020, war die E-Mail-Anwendung von Apple betroffen. Solche Angriffe verlaufen meist völlig unbemerkt. Unter dem Update iOS 13 konnte die Schad-E-Mail, ohne dass sie gelesen werden muss, den Schadcode auf das iPhone aufbringen. Nachdem die Hacker das Gerät gekapert hatten, konnten sie diese E-Mail wieder löschen und ihre Spuren verwischen. 

Social Engineering

Beim Social Engineering werden menschliche Eigenschaften wie Hilfsbereitschaft, Vertrauen, Angst oder Respekt vor Autoritäten ausgenutzt, um Personen geschickt zu manipulieren. Das Zentrale Merkmal der Angriffe besteht in der Täuschung, über die Identität und die Absicht des Täters. Ob als Systemadministrator, Techniker, Mitarbeiter von PayPal/Facebook/Bank oder ein vermeintlicher „Freund/Freundin“ welche(n) man über Social-Media-Kanäle kennengelernt hat. Die Angreifer nutzen die persönlichen Schwachstellen der Zielperson aus und verleiten Sie auf diese Weise beispielsweise dazu, vertrauliche Informationen preiszugeben, Sicherheitsfunktionen auszuhebeln, Überweisungen zu tätigen oder Schadsoftware auf dem privaten Gerät oder einem Computer im Firmennetzwerk zu installieren. In einer realen Gesprächssituation müsste der Angreifer seinem Gegenüber über alle Sinne hinwegtäuschen, aber durch die technisch vermittelte Kommunikation gepaart mit Sprachbarrieren und sozialen Normen ist es deutlich einfacher über private und berufliche Netzwerke die Zielperson zu täuschen oder sogar eine vertrauliche Beziehung zu ihr aufzubauen. Eine Person, welche auf die Täuschung hereinfällt, handelt im guten Glauben, das Richtige zu tun. Tatsächlich spielt es dem realen Motiv des Täters in die Hände, Zugangsdaten abzugreifen oder Schadsoftware einzuschleusen, die einem Angreifer im schlimmsten Fall als Einfallstor zum Eindringen in ein ansonsten gut geschütztes Unternehmensnetzwerk dienen kann. 

Die bekannteste Form des Social Engineering ist das „Phishing“: 

Über E-Mail Anhänge oder Hyperlinks wird Malware eingeschleust, Passwörter verlangt oder ein „notwendiges Update“ heruntergeladen. Um die Trefferquote zu erhöhen wird meistens eine Recherche über eine spezielle Person oder Personengruppe betrieben, um eine zugeschnittene E-Mail zu verfassen (Spear Phishing“). Das „Spear Phishing“ kann in einem CEO-Fraud münden, bei dem der Angreifer zum Beispiel versucht für Zahlungsvorgänge befugte Mitarbeiter oder Mitarbeiterinnen in Unternehmen so zu manipulieren, dass diese vermeintlich im Auftrag des Top-Managements Überweisungen von hohen Geldbeträgen veranlassen. 

Tipps für Homeoffice

Software auf dem neuesten Stand halten:

    • – Einige Sicherheitslücken können durch Software-Updates geschlossen werden. Deshalb ist es wichtig, die Programme auf Arbeitsplatzrechnern, Mobilgeräten und Servern auf dem neuesten Stand zu halten und zeitnah die Updates einzuspielen.  #
    •  
    • – Ignorieren Sie Hinweise auf Updates nicht und schieben Sie diese nicht lange vor sich her. 

Sicherer Umgang mit Passwörtern: 

– Notieren Sie Ihre Passwörter keinesfalls auf Zetteln oder Post-its am Monitor, auch nicht an vermeintlich diskreten Stellen, wie unter der        Tastatur. 

  •  
  • – Tragen Sie Sorge dafür, dass Sie bei der Eingabe Ihres Passworts nicht beobachtet werden. 
  •  
  • – Nutzen Sie für jedes Gerät und jede Anwendung jeweils verschiedene Passwörter und wechseln Sie diese in regelmäßigen Abständen. 
  •  
  • – Falls Sie Ihre Passwörter selbst festlegen können und diese nicht durch die IT-Abteilung vorgegeben werden, wählen Sie ein möglichst 
  • sicheres Passwort, das sich nicht leicht erraten lässt – also nicht Ihren Geburtstag oder den Namen Ihres Kindes oder Haustiers. Eine Kombination aus Buchstaben, Zahlen und Sonderzeichen ist dabei zu empfehlen. 

Vorsicht mit externer Hardware und Software: 

  1. – USB-Sticks sind praktisch und erleichtern den Datentransport. Leider können sie dabei aber auch Computerviren übertragen, wenn sie beispielsweise zuvor auf schlecht gesicherten Geräteim Einsatz waren. Wenn möglich, also lieber darauf verzichten oder den eingesetzten USB-Stick mit der Antiviren-Software überprüfen.  
  2.  
  3. – Seien Sie auch vorsichtig, wenn Sie andere USB-Geräte, wie E-Zigaretten, oder Spielzeug zum Aufladen an Ihren PC anschließen 
  4.  
  1. – Sperren Sie den Zugriff auf Ihr Gerät, sobald Sie Ihren Arbeitsplatz verlassen – auch wenn es sich nur um eine kurze Abwesenheit von wenigen Minuten handelt. 
  2.  
  3. – Schließen Sie keine Wechseldatenträger unbekannter Herkunft, wie als Werbegeschenk erhaltene USB-Sticks, an Ihren Arbeitsplatzrechner an. Es besteht die Gefahr einer Infektion mit Schadcodes. 
  4.  
  5. – Setzen Sie keine private Hardware im Unternehmensnetz ein und speichern Sie keine Unternehmensdaten auf privaten Datenträgern. In einigen Fällen ist dies aber vom Unternehmen erlaubt. Bei Unklarheiten sollte man sich am besten mit der IT-Abteilung in Verbindung setzen. 
  6.  
  7. – Nutzen Sie nur die offiziell von der IT-Abteilung freigegebene Software auf Ihren Arbeitsgeräten. 
  8.  
  9. – Geben Sie auf USB-Sticks mit Arbeitsdokumenten acht und schützen Sie diese ggf. ebenfalls mit einem Passwort. 

Lösung Cloudspeicherdaten

  1. – Die Lösung ist ein datenzentrischer Schutz: Dabei werden Platzhalter in die Cloud eingestellt, die nur Metadaten enthalten. Die Nutzdaten werden fragmentiert im Unternehmensnetzwerk oder an einem anderen Ort abgelegt. Selbst bei einem Angriff auf die Cloud bleiben die vertraulichen Inhalte für nicht befugte Personen unlesbar. 

Umgang mit E-Mails

    • – Geben Sie Obacht bei E-Mails von externen Kontakten, sowie von Kolleginnen und Kollegen.  Urheber von Phishing-Mails können mittlerweile seriöse Absender immer besser nachahmen. 
    •  
    • – Prüfen Sie den Absender, Betreff und den Anhang vor dem Anklicken. 
    •  
    • – Um unerwünschte Mitleser auszuschließen, empfiehlt es sich, E-Mails vor dem Versand zu verschlüsseln. Auf diese Weise kann nur der rechtmäßige Empfänger oder die Empfängerin die Nachricht lesen. Klären Sie mit Ihrer IT-Abteilung, wie Sie verschlüsselt kommunizieren können. 

Internet

    • – Geben Sie Obacht bei E-Mails von externen Kontakten, sowie von Kolleginnen und Kollegen.  Urheber von Phishing-Mails können mittlerweile seriöse Absender immer besser nachahmen. 
    •  
    • – Prüfen Sie den Absender, Betreff und den Anhang vor dem Anklicken. 
    •  
    • – Um unerwünschte Mitleser auszuschließen, empfiehlt es sich, E-Mails vor dem Versand zu verschlüsseln. Auf diese Weise kann nur der rechtmäßige Empfänger oder die Empfängerin die Nachricht lesen. Klären Sie mit Ihrer IT-Abteilung, wie Sie verschlüsselt kommunizieren können. 

Tipps zum Anti Social Engineering

      • – Gehen Sie verantwortungsvoll mit sozialen Netzwerken um. Überlegen Sie genau, welche persönlichen Informationen Sie dort offenlegen, da diese von Kriminellen gesammelt und für Täuschungsversuche missbraucht werden können. 

       

      • – Geben Sie in privaten und beruflichen sozialen Netzwerken keine vertraulichen Informationen über Ihren Arbeitgeber und Ihrer Arbeit preis. 
      • Teilen Sie Passwörter, Zugangsdaten oder Kontoinformationen niemals per Telefon oder E-Mail mit. Banken und seriöse Firmen fordern ihre Kunden nie per E-Mail oder per Telefon zur Eingabe von vertraulichen Informationen auf. 

       

      • – Lassen Sie bei E-Mails von unbekannten Absendern besondere Vorsicht walten: Sollte auch nur ansatzweise der Verdacht bestehen, dass es sich um einen Angriffsversuch handeln könnte, reagieren Sie im Zweifelsfall besser überhaupt nicht und informieren Ihre IT-Abteilung umgehend. Wenn es sich um einen falschen Alarm handeln sollte, wird sich ein Absender ggf. noch über einen anderen Kanal bei Ihnen melden.  

       

      • – Sollte eine Reaktion zwingend erforderlich sein, vergewissern Sie sich durch einen Anruf beim Absender oder der Absenderin, dass es sich um eine legitime E-Mail handelt.