Cyber Security im Home-Office? Geht auch die Familie an!
Home-Office und Mobile Office, hybrides Arbeiten und New Work stellen die Sicherheitskonzepte von Unternehmen auf die Probe: Die Grenzen zwischen privatem Network und Unternehmensnetz verschmelzen. Mit den richtigen Maßnahmen funktionieren IT-Sicherheits- und Cyber-Security-Lösungen auch am heimischen Schreibtisch oder an jedem beliebigen anderen Ort. Und sie laufen auf allen Endgeräten reibungslos. Vorausgesetzt: Die Familie zieht mit.
Cyber Security im Home-Office auf dünnem Eis
Viele Beschäftigte in Deutschland möchten auch nach der Corona-Pandemie zumindest zeitweise zu Hause arbeiten können. Allgemein gilt das Home-Office inzwischen als produktiver und effizienter Arbeitsort. Dies darf jedoch nicht darüber hinwegtäuschen, dass das Arbeiten in den eigenen vier Wänden auch Gefahren birgt. So hat das Institut der deutschen Wirtschaft in einer Studie errechnet, dass den Unternehmen im Jahr 2020 ein Schaden von 52,5 Milliarden Euro durch Cyber-Angriffe im Home-Office entstand – 31 Milliarden Euro mehr als vor der Pandemie. Den möglichen Gefahren durch Cyber-Angriffe, vor allem im Home-Office, widmen einige Unternehmen offenbar noch nicht die nötige Aufmerksamkeit.
Eine mögliche Erklärung: Viele Mitarbeitende haben von einem auf den anderen Tag ohne große Vorbereitung zu Hause arbeiten müssen. Sie waren dabei im Themengebiet Cyber Security nicht ausreichend geschult. Inzwischen haben fast alle Heimarbeitende Policies unterschrieben, wie sie sich IT-sicher „out of Office“ am Rechner und im Internet verhalten müssen. Ein wesentlicher Bestandteil legt fest, dass natürlich niemand anderes als die berechtigte Person an die Firmen-Hardware darf. Aber Hand aufs Herz: Lässt sich das wirklich garantieren, wenn Kinder und Jugendliche mit im Haushalt leben? Darum: Auch für den Nachwuchs ist es heute wichtiger denn je, zu wissen, wie man sich sicher im Internet bewegt.
Folgenschwere Cyber-Security-Risiken im Home-Office
Sich mit dem Thema Cyber Security zu befassen, geht folglich alle an. Dies gilt insbesondere in Anbetracht der beträchtlichen IT-Sicherheitsrisiken:
- Immer wieder im Fokus: der Verlust oder die ungewollte Veröffentlichung vertraulicher Daten durch unbefugten Zugriff.
- Eine andere Falle: Beim Herunterladen von infizierten Dateien (wie etwa Templates für Schulaufgaben, Spiele oder Bilder zum Ausdrucken) gelangt mitunter unbemerkt Schadsoftware auf den Rechner.
- Schon das bloße Surfen birgt eklatante Risiken. Auf infizierten Websites kann allein durch das Aufrufen der Seite ein „Driveby-Download” starten, der Schadsoftware auf den Rechner lädt.
- Die Gefahr muss nicht sofort sichtbar werden. Kriminelle nutzen das entsprechende Gerät beispielsweise zur Platzierung eines sogenannten Persistent Threads (eines Pfades, der eine andauernde Bedrohung darstellt), um erst später aktiv zu werden. So können sie zeitversetzt und unentdeckt Zugriff zum Firmennetzwerk erhalten.
- Eine Attacke kann auch zunächst nur der Datenbeschaffung dienen, um einem größeren Angriff zu einem späteren Zeitpunkt den Weg zu ebenen.
Daten im Fokus von Cyber-Security-Angriffen
Haben Unbefugte Zugriff zu den Unternehmensdaten, wird es schnell teuer. Es drohen neben dem Diebstahl der Daten auch deren Verschlüsselung durch eine sogenannte Ransomware-Attacke: Im Stile einer Erpressung lassen sich die Daten dann nur durch Zahlung horrender Geldforderungen entschlüsseln.
Noch viel größer kann der Schaden über die sogenannte Double Extortion (doppelte Erpressung) oder sogar eine Triple Extortion (dreifache Erpressung) werden. Dies ist etwa dann der Fall, wenn die Attacke an interne Systeme angebundene Partner und Kunden einbezieht.
Bei alledem sind der ungeschützte Computer der Kolleg:innen im Home-Office oder ihr allzu sorgloses Verhalten im Internet willkommene Einflugschneisen. Kapern Kriminelle den Computer, haben sie in der Regel auch schnell Zugang zur VPN-Verbindung. Sie führt direkt ins Herz der jeweiligen Organisation. Die Mitarbeitenden merken davon in der Regel zunächst wenig: Sie sollen – so das Kalkül der Angreifer – arbeitsfähig bleiben und sich remote mit dem Firmennetzwerk verbinden. So kann der Angriff gelingen, ohne Aufmerksamkeit zu erregen.
Schutzmaßnahmen für Cyber Security im Home-Office
Mit bewährten Schutzmaßnahmen für das Home-Office können Unternehmen und Mitarbeitende die IT-Sicherheit spürbar erhöhen:
Moderne Arbeitsmodelle (auch “New Work” genannt) verlangen eine neue Risikobewertung in der Informationssicherheit. Durch sich ändernde Arbeitsumstände und -plätze sind neue Bedrohungen und dadurch neue Risiken entstanden. Diese gilt es dementsprechend aufzunehmen, sorgfältig zu dokumentieren und zu bewerten. Dadurch lassen sich einzelne Risiken mit bewährten Maßnahmen reduzieren. So gelingt eine Balance zwischen der Risiko-Toleranz und Risiko-Akzeptanz. Die Toleranz-Grenze markiert hierbei die Linie, bis zu der ein Unternehmen keinen Ruin erleidet. Die Akzeptanz-Grenze hingegen zeigt, womit die Organisation bewusst rechnet.
Mit organisatorischen Schutzmaßnahmen für das sichere Arbeiten am heimischen Schreibtisch schaffen Unternehmen einen wichtigen Schritt hin zu Cyber Security im Home-Office. Dabei gilt es auch, Sicherheitsrichtlinien regelmäßig zu überprüfen, anzupassen und die Mitarbeitenden für moderne Angriffsstrategien zu sensibilisieren. Social Engineering ist dabei ein wichtiges Stichwort: Hier versuchen Hacker auf geschickte Weise, das Vertrauen des Nachwuchses zu gewinnen. Auch gefährlich: Shoulder Surfing, also das unbemerkte Ausspähen von Zugangsdaten über die Schulter des Opfers. Die Täter missbrauchen hierbei das Kind als Boten und beschaffen sich so vollkommen unentdeckt die gewünschten Daten. Ein Kind kann so auch schnell in die Rolle eines Erpressungsopfers gelangen. Entsprechend hart sollten darum die Anforderungen an den Arbeitsplatz im eigenen Heim konzipiert sein. In Frage kommen unter anderem Lockscreens (gesperrte Bildschirme) und strenge Regeln, wie etwa ein Arbeitsverbot an öffentlichen Plätzen und im ÖPVN.
Ganzheitlicher Schutz schafft Cyber Security
Durch Schulungen der Mitarbeitenden und des Managements schaffen es Unternehmen, das Bewusstsein aller für die Cyber Security im Home-Office zu schärfen. Die Risiken lassen sich mit Hilfe grundlegender Security Awareness, also einem hohen Maß an Sensibilität gegenüber existenten Bedrohungen, deutlich abschwächen und spürbar eindämmen.
Auch durch technische Schutzmaßnahmen minimieren sich die Cyber-Security-Risiken im Home-Office: Hier hilft es, die Schutzziele und das -niveau auf allen eingesetzten Endgeräten anzuheben. Dabei unterstützen Sicherheitslösungen wie Endpoint Detection and Response (EDR), WebProxy und Mailgateway. Unternehmen sollten sich dabei eng am Nutzerverhalten und allen gängigen Aktivitäten an einem Computer orientieren. Relevant sind beispielsweise Web und Browsing, E-Mail oder End-User-Computing – also Computersysteme und Plattformen, die es auch IT-fernen Menschen ermöglichen, Applikationen zu nutzen.
Cyber-Security-Lösungen helfen Kindern, Eltern und Unternehmen
Beziehen Unternehmen in ihre Cyber-Security-Strategie für das Home-Office auch Kinder und Jugendliche als “Risikofaktoren“ ein, gehen sie auf Nummer sicher und beugen unkontrollierbaren Risiken vor. Die Geschäftsführung sollte hier sensibilisieren, klar kommunizieren und Eltern konkrete Leitfäden an die Hand geben. Darüber hinaus gilt es, die Vertraulichkeit, Integrität und Verfügbarkeit der Daten entsprechend den Schutzzielen der Informationssicherheit jederzeit zu gewährleisten (engl. Confidiality, Integrity, Availability – CIA).
Weiterlesen zum Thema Cyber Security
- Erfahren Sie jetzt mehr über Cyber Security und wie Sie Ihre Organisation auch im Home-Office effektiv schützen.
- Lesen Sie ein spannendes Whitepaper zum Thema „Ransomware“.
- Erfahren Sie mehr über Ransomware im Blogbeitrag „Ransomware: Schutzschilde aktivieren!“.
- Lernen Sie in unserem Blogbeitrag, wie Sie Ransomware frühzeitig erkennen.