IT-Sicherheit im Home-Office: Cyberattacken vermeiden
Die anhaltende Corona-Krise führt dazu, dass viele Beschäftigte im Home-Office arbeiten. Ein durchaus sinnvolles Modell, welches viele Unternehmen gerne auch nach der Krise beibehalten möchten. Hier gibt es jedoch einiges zu beachten: IT-Sicherheit ist und bleibt Chefsache, auch im Home-Office. Die Geschäftsführung trägt hier die Verantwortung. Mit diesem Beitrag greifen wir Ihnen unter die Arme, zeigen aktuelle Bedrohungen fürs Home-Office auf und geben Ihnen Tipps, um die IT-Sicherheit im Home-Office weiter zu steigern.
Hacker- und Cyberattacken im Home-Office nehmen zu
Aktuelle Studien und Untersuchungen zeichnen ein düsteres Bild der aktuellen Bedrohungslage. Neben einer Warnung durch das Bundeskriminalamt (BKA) zeigte eine Studie, dass die Home-Office-Situation die Bedrohungslage weiter verschärft. Im Detail:
Lagebericht des BKA mit COVID-19-Sonderauswertung
Laut aktuellen Lagebericht des BKA steigt die Anzahl der Cybercrime-Fälle, während jedoch die Aufklärungsquote sinkt. Die Sonderauswertung „Cybercrime in Zeiten der COVID-19-Pandemie“ legt dar, dass zwischen März und August 2020, also unmittelbar nach dem Start der Corona-Krise, etliche Websites dadurch auffielen, dass sie Informationen oder Beratungen zur Corona-Soforthilfe anbieten würden. Die Sites zeigten sich häufig angelehnt an die Präsenzen staatlicher Stellen, sodass sie echt wirkten. Nutzer*innen, die die Schaltflächen dieser Fake-Websites anklickten, fingen sich Malware ein.
Auch das E-Mail-Phishing mit Corona-Soforthilfen bescherte Cyberkriminellen hohe Erfolgsraten: Scheinbar stammten die E-Mails von staatlichen Stellen, sodass viele Nutzer*innen entsprechend aktiv wurden und den Anhang öffneten. So wurden auch diese Rechner mit Schadsoftware infiziert.
Viel sonniger wirken auch die Prognosen des BKA nicht: Angesichts der fortschreitenden Digitalisierung sei davon auszugehen, dass sich auch die Bedrohungen weiterentwickeln. Auch wir, die PSW GROUP, gehen von einer steigenden Anzahl an Angriffen aus – und leider auch von einer steigenden Qualität dieser Angriffe. Es gilt, alle Kanäle nach außen vollständig abzusichern, wobei der anhaltende Home-Office-Trend dazu führen sollte, hier klar zu priorisieren.
Studie: Verschärfte Bedrohungslage durch Home-Office
Im Juli 2020 gab Gigamon eine Zero-Trust-Studie (Executive Summary, PDF) bei Vitreous World in Auftrag, bei der IT-Entscheider*innen aus Deutschland, England und Frankreich befragt wurden. Die Ergebnisse dieser Studie haben es in sich: 84 % aller Befragten erklärten, durch die Arbeit im Home-Office hätten IT-Sicherheitsbedrohungen zugenommen. Befragt wurden 500 Entscheider*innen aus Unternehmen mit über 1.000 Mitarbeiter*innen. Die Gründe für diese verstärkte Bedrohungslage decken sich stellenweise mit dem Lagebericht des BKA:
- 33 % der Befragten waren von Verletzungen der Datensicherheit betroffen.
- In ebenfalls 33 % der Fälle haben freigestellte Mitarbeiter die Bedrohung durch Insider erhöht.
- 44 % der Studienteilnehmer*innen gab an, von einem Anstieg der Phishing-Versuche betroffen zu sein.
- 51 % erklärten, dass das Arbeiten im Home-Office durch unsichere Endgeräte anfälliger geworden sei.
IT-Sicherheit im Home-Office – Lesson learned?
Diese und weitere Studien sowie Berichte zeigen auch immer wieder, dass viele Unternehmen in allen Branchen und Größen diese Gefahren erkennen und entsprechende Maßnahmen ergreifen. Die Anzahl jener Unternehmen, die in ihre IT-Sicherheit investieren, steigt an. Wer nicht handelt, kann nichts optimieren: Home-Offices bleiben ungeschützt und leicht angreifbar.
Die Technik ist jedoch nicht alles, sie muss auch bedient werden können. Auch das Wissen immer mehr Firmen: Die Sensibilisierung von Mitarbeiter*innen ist glücklicherweise ein steigender Trend. Denn was nützen eine ausgefeilte Firewall und weitere technische Security-Maßnahmen, wenn der Mitarbeiter doch den Phishing-Link in der E-Mail anklickt?!
IT-Risiken im Home-Office minimieren
In aller Regel zielen Cyberkriminelle aufs schwächste Glied der Kette: Den Heimarbeiter. Damit ist und bleibt der Mensch der größte Sicherheitsfaktor und es müssen Konzepte geschaffen werden, die diese Tatsache berücksichtigen. Oftmals werden massive Schäden von winzigen Schädlingen ausgelöst, was sich durch einen sensiblen Umgang hätte vermeiden lassen. Die folgenden Vorschläge sind effiziente Maßnahmen, die die IT-Risiken im Home-Office minimieren können:
- Ausstattung: Ihre Mitarbeiter*innen im Home-Office sollten eine Standardausstattung erhalten, sodass keine heimischen und privat genutzten Geräte verwendet werden müssen. Diese Standardausstattung sollte auch vor Software und Systemen keinen Halt machen. So muss jede*r Mitarbeiter*in über die erforderlichen Sicherheitslizenzen der AV-Suite verfügen, um präventiv agieren zu können. Bedenken Sie das Implementieren einer Firewall, um externe Zugriffe einzuschränken. Der BYOD-Trend („Bring your own device“; weitere Informationen im Artikel „BYOD: Trend mit Chancen – und Risiken“) muss durch Sicherheitsrichtlinien näher bestimmt oder sogar ausgeschlossen werden.
- Internet: Setzen Sie auf Cloud-Services, gilt es, diese vor unbefugten Zugriffen zu schützen. Mittels Rechtemanagement können Sie einrichten, dass jede*r Mitarbeiter*in nur auf die Inhalte zugreifen darf, mit denen er/ sie arbeitet. Die Vergabe sicherer Passwörter sollte ebenfalls Inhalt Ihrer Sicherheitsleitlinie sein. Außerdem sind Mitarbeiter*innen im Home-Office beim sicheren Einrichten von WLAN und Netzwerk zu unterstützen.
- Verhalten: Ihre Mitarbeiter*innen müssen einfach wissen, was sie tun. Erklären Sie in Ihrer Leitlinie und idealerweise auch in Awareness-Schulungen, wie E-Mail-Anwendungen sicher genutzt werden, wie der Umgang mit Patches und Updates sein sollte und wie Videokonferenzen in den Alltag eingebunden werden.
Erhöhen Sie die IT-Sicherheit im Home-Office
Zwei Themen sind von enormer Wichtigkeit, weil sie nachhaltig für IT-Sicherheit sorgen: Einerseits die Sicherheitsrichtlinie, die Mitarbeiter*innen Hilfe und Auskunft geben soll. Andererseits die Schulung der Mitarbeiter*innen, damit gesammeltes Wissen auch in der Praxis angewandt werden kann. Der erste Lockdown versetzte viele Unternehmen in die unschöne Lage, zügig reagieren zu müssen. In der Folge waren zahlreiche Home-Office-Mitarbeiter*innen schutzlos.
Viele lernten bereits aus diesen Fehlern und es ist gelungen, ein positives Investitionsklima für die IT-Sicherheit zu schaffen. Insgesamt sind Unternehmen mittlerweile sensibilisierter, und auch die Mitarbeiter*innen selbst sind bereit mitzuziehen. Dafür möchten und müssen sie jedoch vermehrt geschult werden, denn Security Awareness ist einer der relevantesten Faktoren für eine effiziente IT-Sicherheit im Home-Office. Mit den folgenden Tipps erhöhen auch Sie die IT-Sicherheit im Home-Office:
- Sicherheitsleitlinie entwickeln: Ihre Sicherheitsleitlinie enthält Dos and Don’ts für Ihr Team. Neben Standards für (Sicherheits-)Software und Hardware (Stichwort BYOD, s. o.) werden hier auch Verhaltensregeln definiert, beispielsweise, dass Updates und Patches zeitnah, idealerweise automatisiert eingespielt werden.
- Sicherheitssoftware: Jede*r Mitarbeiter*in nutzt auf seinem/ ihrem Gerät eine Endpoint Security-Lösung, die kontinuierlich aktualisiert wird. Achten Sie darauf, dass Ihre Sicherheitssoftware auch über Anti-Phishing-Funktionen verfügt. Dies schützt nicht nur Ihre Daten, sondern reduziert Sicherheitsrisiken erheblich.
- Datensicherung: Ihre Leitlinie sollte auch den Punkt „Datensicherung“ beinhalten. Backups sollten regelmäßig in festen Intervallen außerhalb des Firmennetzwerks durchgeführt werden. Ein Cloud-Server bietet sich genauso an wie eine externe Festplatte – definieren Sie auch dies in Ihrer Leitlinie. Werden Mitarbeiter*innen angegriffen, gelingt durch das Backup der Daten die Wiederherstellung mühelos.
- Schulungen: Schulen Sie Ihre Mitarbeiter*innen regelmäßig! Die Bedrohungslandschaft wächst, wie wir gesehen haben, also muss auch das Wissen wachsen, das sich diesen Bedrohungen entgegenstellt. Übrigens: Die fortschreitende Digitalisierung als Folge von COVID-19 führt dazu, dass Schulungen auch online angeboten werden. Sie sparen sich also die Reisekosten und Ihre Mitarbeiter*innen können von zu Hause lernen.
Schreibe einen Kommentar