Herausforderung hybride Arbeitsräume
Ein Leitfaden für die IT-Sicherheit im Homeoffice
Viele Arbeitnehmer arbeiten immer mehr von zuhause. Trotz verstärkter Investitionen avanciert das Homeoffice zunehmend zum Einfallstor für Cyberkriminelle. Das Braunschweiger IT-Systemhaus Netzlink hat deshalb einen Leitfaden für IT-Sicherheit im Homeoffice entwickelt.
Rund ein Viertel der Erwerbstätigen in Deutschland arbeitete mit Jahresbeginn 2022 hauptsächlich oder vorwiegend im Homeoffice. Obwohl Unternehmen von Jahr zu Jahr mehr in ihre IT-Infrastruktur investieren, um die Produktivität und Datensicherheit in hybriden Arbeitsumgebungen zu verbessern, avanciert das Homeoffice immer häufiger zum Einfallstor und Angriffsvektor bei Cyberkriminellen. Laut einer Forrester-Studie unter mehr als 1.300 Sicherheitsexperten, Führungskräften und Homeoffice-Beschäftigten1 wurden in den vergangenen 12 Monaten über 90 Prozent der Betriebe Opfer von Hackerangriffen, zwei Drittel davon waren gezielt auf die Mitarbeitenden im Homeoffice gerichtet. Das Braunschweiger IT-Systemhaus Netzlink hat darum einen Leitfaden für IT-Sicherheit im Homeoffice entwickelt, um das eigene Risikoprofil zu verbessern und auf etwaige Schwachstellen im Homeoffice als Teil des Firmennetzes hinzuweisen.
Was passiert eigentlich bei einem Cyber-Angriff?
IT-Security ist wichtig, klar. Doch was genau bei einem Cyberangriff passiert und welche negativen Folgen dieser haben kann, ist für den einzelnen Mitarbeitenden mitunter nicht ganz so eindeutig. Der „Faktor Mensch“ spielt bei dem Thema IT-Sicherheit und Datenschutz eine ganz entscheidende Rolle, ist er doch für über 80 Prozent aller IT-Sicherheitsvorfälle verantwortlich. „Darum können Technologien und Sicherheitskonzepte noch so ausgefeilt sein – wenn sie den Menschen nicht einbeziehen, besteht immer eine zentrale Schwachstelle.
Mitarbeitende im Homeoffice müssen daher mit entsprechenden Awareness-Maßnahmen für die Risiken und Stolpersteine beim Zugang zur Firmen-IT sensibilisiert werden“, erläutert Sven-Ove Wähling, Geschäftsführer Netzlink Informationstechnik. „Insofern trägt der Arbeitgeber hier eine wesentliche Mitverantwortung, das Sicherheitsbewusstsein der Mitarbeitenden mit entsprechenden Leitfäden und Schulungen zu schärfen, um sich und die Daten vor Angriffen von außen zu schützen. Dabei ist es mit einer Maßnahme nicht getan. Schulungen, die die Awareness von Mitarbeitenden erhöhen sollen, müssen ständig wiederholt und vertieft werden.“
Wer die Hintergründe versteht, ist eher imstande und gewillt, seinen Beitrag für die IT-Sicherheit zu leisten – auch eigenverantwortlich im Homeoffice. Was passieren kann, wenn man zum Beispiel auf einen manipulierten Download-Link geklickt und sich Schadsoftware „eingefangen“ hat, oder Angreifer durch ein Datenleck Zugriff erlangen, hat Netzlink anhand von Beispielen zusammengetragen:
- Ransomware: Diese Schadsoftware verschlüsselt alle Dateien auf dem PC und im schlimmsten Fall im gesamten Unternehmensnetzwerk. In vielen Fällen fordern die Angreifer ein Lösegeld, damit sie diese wieder „freigeben“.
- Spyware: Mit diesem ungebetenen Gast auf dem Rechner können sämtliche Aktivitäten am PC überwacht und sämtliche Tastenanschläge mitgelesen werden. Auf diese Weise können Angreifer nicht nur an Passwörter, sondern auch an sämtliche andere Daten gelangen.
- RAT (Remote Access Trojaner): Mit dieser Schadsoftware wird ein Trojaner, eine Hintertür, auf Ihrem System installiert, durch die Unbefugte von außen Zugriff auf den eigenen Rechner erlangen. Dass dies teilweise lange Zeit oder auch nie bemerkt wird, macht es umso gefährlicher.
Sicherheitsrisiken im Homeoffice
Generell können Cyberangriffe durch die Manipulation von Menschen oder durch ausgenutzte Schwachstellen in Hard- oder Software erfolgreich sein. Speziell im Homeoffice gibt es eine Vielzahl möglicher Einfallstore:
- Phishing-Mails: Besonders im Homeoffice besteht die Gefahr, einem Angriff per Phishing-Mail zum Opfer zu fallen. Wird die Arbeit in Isolation erledigt und Kolleginnen und Kollegen sind nicht direkt erreichbar, steigt die Hemmschwelle, bei E-Mails mit ungewöhnlichen Aufforderungen (oder Aussehen) nachzufragen. Dies funktioniert für Angreifer besonders gut in der Kombination mit Social Engineering, also der persönlichen Ansprache von einzelnen Mitarbeitenden. Wird eine Mail nicht sofort geöffnet, erfolgt ein Anruf an den Adressaten in der nach Inhalten dieser Mail gefragt wird oder auf deren Dringlichkeit hingewiesen wird. Dadurch entsteht eine Drucksituation und die Wahrscheinlichkeit, dass diese trotz Zweifel geöffnet wird, steigt damit stark.
- Privater Router: Arbeiten die Mitarbeitenden im Büro, kommunizieren sie größtenteils über das abgesicherte Unternehmensnetzwerk. Im Homeoffice nutzt jeder Mitarbeitende einen eigenen Router, der potenziell verwundbar sein kann. Dadurch eröffnen sich neue Angriffsvektoren und die Gefahr von Schwachstellen steigt enorm.
- Vermischung von Gerätenutzung für Beruf und Privates: Durch private Nutzung von Firmengeräten oder Nutzung von Privatgeräten für die Arbeit kann schadhafte Software auf Privatgeräten Zugriff auf das firmeninterne Netzwerk erlangen. Dies gilt sowohl für Laptop und Smartphone, aber auch beispielsweise ein USB-Stick kann infiziert sein. Vielen Mitarbeitenden fehlt auch das Sicherheitsbewusstsein, dass insbesondere Smartphones mobile und recht leistungsfähige kleine Rechner mit mitunter nennenswerten Datenspeichern darstellen.
- Schatten-IT: Private Anwendungen auf dem Dienstgerät, von denen die IT-Abteilung nichts weiß und die sie entsprechend nicht absichern kann, wird schnell zu einem Sicherheitsrisiko.
- Datenschutz: Genau wie im Büro besteht im Homeoffice die Gefahr, dass vertrauliche Informationen Dritten zugänglich werden. In den eigenen vier Wänden birgt die fehlende Abgrenzung von Arbeits- und Privatleben das Risiko, dass Informationen in die Hände von Mitbewohnern, Besuchern oder gänzlich Fremden gelangen.
- Ein Leitfaden für die IT-Sicherheit im Homeoffice
- Sicherheitsmaßnahmen im Homeoffice
Lesen Sie mehr zum Thema
